A firewall de nova geração da nuvem oferece um serviço de interceção e desencriptação do Transport Layer Security (TLS) que pode inspecionar o tráfego encriptado e não encriptado para ataques e interrupções de rede. As ligações TLS são inspecionadas nas ligações recebidas e enviadas, incluindo o tráfego de e para a Internet e o tráfego dentro do Google Cloud.
O NGFW da nuvem desencripta o tráfego TLS para permitir que o ponto final da firewall realize a inspeção da camada 7, como a prevenção de intrusões, na sua rede. Após a inspeção, o Cloud NGFW volta a encriptar o tráfego antes de o enviar para o respetivo destino.
O Cloud NGFW usa o Certificate Authority Service (CAS) gerido pela Google para gerar certificados intermédios de curta duração. O NGFW da nuvem usa estes certificados intermédios para gerar os certificados necessários para desencriptar o tráfego intercetado. Configura pools de autoridades de certificação (AC) e, opcionalmente, configurações de confiança para armazenar e manter uma lista de certificados de AC fidedignos.
Esta página oferece uma vista geral detalhada das capacidades de inspeção TLS do Cloud NGFW.
Especificações
O NGFW da nuvem suporta as versões 1.0, 1.1, 1.2 e 1.3 do protocolo TLS.
O NGFW da nuvem suporta os seguintes conjuntos de cifras TLS:
Valor da IANA Nome do conjunto de cifras 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA O NGFW na nuvem usa uma política de inspeção TLS para configurar a inspeção TLS num ponto final da firewall.
Configura pools de CA e, opcionalmente, configurações de confiança para gerar certificados TLS fidedignos para clientes TLS. Opcionalmente, também pode configurar as configurações de confiança para armazenar e manter certificados da AC fidedignos. Inclui as informações de configuração sobre pools de ACs e configurações de confiança numa política de inspeção TLS. Esta política é, em seguida, anexada ao ponto final da firewall e à rede da nuvem virtual privada (VPC) de destino, e é usada para desencriptar o tráfego que quer inspecionar.
Para saber como configurar a inspeção TLS no Cloud NGFW, consulte o artigo Configurar inspeção TLS.
Uma política de inspeção TLS e um conjunto de ACs são recursos regionais. Por conseguinte, tem de criar um conjunto de ACs e uma política de inspeção TLS para cada região onde está a ativar a inspeção TLS.
Se quiser usar configurações de fidedignidade na sua política de inspeção TLS, certifique-se de que a configuração de fidedignidade e a política de inspeção TLS estão na mesma região.
Função da autoridade de certificação na inspeção TLS
O Cloud NGFW interceta o tráfego TLS gerando dinamicamente certificados para clientes. Estes certificados são assinados por CAs intermédias configuradas no ponto final da firewall. Estas ACs intermédias são assinadas por conjuntos de ACs no âmbito do serviço de AC. O NGFW da nuvem gera novas ACs intermédias a cada 24 horas.
Sempre que um cliente estabelece uma ligação TLS, o Cloud NGFW interceta a ligação e gera um certificado para o nome do servidor pedido para devolver ao cliente. O Cloud NGFW também pode validar certificados de back-end assinados de forma privada através de uma configuração de confiança. Pode adicionar certificados fidedignos a uma configuração de confiança do Gestor de certificados.
Adiciona a configuração de confiança e as configurações do conjunto de CAs a uma política de inspeção TLS. Esta política é, em seguida, adicionada à associação do ponto final da firewall e é usada para desencriptar o tráfego intercetado.
As ACs armazenadas no serviço de AC são suportadas pelo módulo de segurança de hardware (HSM) e geram registos de auditoria com cada utilização.
As ACs intermédias de curta duração geradas pelo Cloud NGFW são armazenadas apenas na memória. Cada certificado de servidor assinado por uma AC intermédia não resulta num registo de auditoria do serviço de AC. Além disso, uma vez que os certificados de servidor não são gerados diretamente pelo serviço de AC, as políticas de emissão ou as restrições de nomes configuradas no conjunto de AC não se aplicam aos certificados de servidor gerados pelo Cloud NGFW. O Cloud NGFW não aplica estas restrições quando gera certificados do servidor com ACs intermédias.
Flag --tls-inspect de regra de política de firewall
Para ativar a desencriptação do tráfego que corresponde às regras da política de firewall configurada, use a flag --tls-inspect. Quando configura a flag --tls-inspect
na regra da política de firewall, o Cloud NGFW gera um novo certificado de servidor para o tráfego TLS correspondente. As CAs intermédias no Cloud NGFW assinam este certificado. Por sua vez, estas ACs intermédias são assinadas por conjuntos de ACs no serviço de ACs. Este certificado
é apresentado ao cliente e é estabelecida uma ligação TLS. O certificado gerado é colocado em cache durante um curto período para ligações subsequentes ao mesmo anfitrião.
Inspeção TLS através de HTTP CONNECT
O Cloud NGFW suporta a interceção e a desencriptação de TLS no tráfego HTTPS de saída que um cliente envia através do HTTP Connect.
Por exemplo, considere um cenário em que um cliente envia um pedido HTTP Connect para estabelecer um túnel seguro entre o cliente e o servidor através de um servidor proxy Web intermédio, como o Secure Web Proxy. Após estabelecer o túnel, o Cloud NGFW interceta e desencripta qualquer tráfego de Internet TLS de saída que passe pelo túnel e executa uma inspeção da camada 7, como deteção e prevenção de intrusões.
Limitações
O NGFW na nuvem não suporta tráfego HTTP/2, QUIC, HTTP/3 nem protocolo PROXY com inspeção TLS. No entanto, a inspeção TLS é suportada para tráfego TCP que não seja HTTPS.
O NGFW da nuvem só suporta desencriptação TLS. Não suporta a desencriptação de tráfego que usa outros protocolos de encriptação, como o SSH.