Cloud Next Generation Firewall은 네트워크 공격 및 중단에 대한 암호화되거나 암호화되지 않은 트래픽을 검사할 수 있는 전송 계층 보안(TLS) 가로채기 및 복호화 서비스를 제공합니다. 인터넷 송수신 트래픽과 Google Cloud 내부 트래픽을 포함한 인바운드 및 아웃 바운드 연결에서 TLS 연결을 검사합니다.
Cloud NGFW는 TLS 트래픽을 복호화하여 방화벽 엔드포인트가 네트워크에서 침입 방지와 같은 레이어 7 검사를 수행할 수 있도록 합니다. 검사 후 Cloud NGFW는 트래픽을 대상으로 전송하기 전에 다시 암호화합니다.
Cloud NGFW는 Google 관리 Certificate Authority Service(CAS)를 사용하여 단기 중간 인증서를 생성합니다. Cloud NGFW는 이러한 중간 인증서를 사용하여 가로채기 트래픽을 복호화하는 데 필요한 인증서를 생성합니다. 인증 기관(CA) 풀과 트러스트 구성(필요한 경우)을 설정하여 신뢰할 수 있는 CA 인증서 목록을 저장하고 유지보수합니다.
이 페이지에서는 Cloud NGFW의 TLS 검사 기능 개요를 자세히 설명합니다.
사양
Cloud NGFW는 TLS 프로토콜 버전 1.0, 1.1, 1.2, 1.3을 지원합니다.
Cloud NGFW는 다음 TLS 암호화 스위트를 지원합니다.
IANA 값 암호화 스위트 이름 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW는 TLS 검사 정책을 사용하여 방화벽 엔드포인트에 TLS 검사를 설정합니다.
CA 풀과 트러스트 구성(필요한 경우)을 설정하여 TLS 클라이언트에 대한 신뢰할 수 있는 TLS 인증서를 생성합니다. 필요한 경우 트러스트 구성을 설정하여 신뢰할 수 있는 CA 인증서를 저장 및 유지보수할 수도 있습니다. TLS 검사 정책에 CA 풀 및 트러스트 구성에 대한 구성 정보를 포함합니다. 그러면 이 정책은 방화벽 엔드포인트와 대상 Virtual Private Cloud(VPC) 네트워크에 연결되고 검사하려는 트래픽을 복호화하는 데 사용됩니다.
Cloud NGFW에서 TLS 검사를 설정하는 방법에 대한 자세한 내용은 TLS 검사 설정을 참조하세요.
TLS 검사 정책과 CA 풀 모두 리전별 리소스입니다. 따라서 TLS 검사를 사용 설정하는 리전마다 CA 풀과 TLS 검사 정책을 만들어야 합니다.
TLS 검사 정책에서 트러스트 구성을 사용하려면 트러스트 구성과 TLS 검사 정책이 같은 리전에 있는지 확인합니다.
TLS 검사에서 인증 기관 역할
Cloud NGFW는 클라이언트에 대한 인증서를 동적으로 생성하여 TLS 트래픽을 가로챕니다. 이러한 인증서는 방화벽 엔드포인트 내에서 구성된 중간 CA에서 서명됩니다. 이러한 중간 CA는 CA 서비스 내 CA 풀에서 서명됩니다. Cloud NGFW는 24시간마다 새로운 중간 CA를 생성합니다.
클라이언트에서 TLS 연결을 설정할 때마다 Cloud NGFW는 연결을 가로채고 클라이언트에 다시 반환할 수 있도록 요청한 서버 이름에 대한 인증서를 생성합니다. Cloud NGFW에서 트러스트 구성을 사용하여 비공개로 서명된 백엔드 인증서의 유효성을 검사할 수도 있습니다. 인증서 관리자 트러스트 구성에 신뢰할 수 있는 인증서를 추가할 수 있습니다.
TLS 검사 정책에 트러스트 구성과 CA 풀 구성을 추가합니다. 그러면 이 정책은 방화벽 엔드포인트 연결에 추가되고 가로채는 트래픽을 복호화하는 데 사용됩니다.
CA 서비스에 저장된 CA는 하드웨어 보안 모듈(HSM)에서 지원되며 사용할 때마다 감사 로그를 생성합니다.
Cloud NGFW에서 생성한 단기 중간 CA는 메모리에만 저장됩니다. 중간 CA에서 서명한 각 서버 인증서는 CA 서비스의 감사 로그를 생성하지 않습니다. 또한 CA 서비스에서 서버 인증서를 직접 생성하지 않으므로 CA 풀에 구성된 발급 정책이나 이름 제약조건은 Cloud NGFW에서 생성한 서버 인증서에 적용되지 않습니다. Cloud NGFW는 중간 CA로 서버 인증서를 생성할 때 이러한 제약조건을 적용하지 않습니다.
방화벽 정책 규칙 --tls-inspect
플래그
구성된 방화벽 정책 규칙과 일치하는 트래픽의 복호화를 사용 설정하려면 --tls-inspect
플래그를 사용합니다. 방화벽 정책 규칙에서 --tls-inspect
플래그를 구성하면 Cloud NGFW에서 일치하는 TLS 트래픽에 대한 새 서버 인증서를 생성합니다. Cloud NGFW 내 중간 CA에서 이 인증서를 서명합니다. 이러한 중간 CA는 CA 서비스 내 CA 풀에서 차례대로 서명됩니다. 그런 다음 이 인증서가 클라이언트에 제공되고 TLS 연결이 설정됩니다. 생성된 인증서는 같은 호스트에 대한 이후 연결을 위해 잠시 동안 캐시됩니다.
제한사항
Cloud NGFW는 TLS 검사를 사용하는 HTTP/2, QUIC, HTTP/3 또는 프록시 프로토콜 트래픽을 지원하지 않습니다.