Cloud Next Generation Firewall offre un servizio di intercettazione e decriptazione Transport Layer Security (TLS) in grado di ispezionare il traffico criptato e non criptato per rilevare attacchi e interruzioni di rete. Le connessioni TLS vengono ispezionate sia su quelle in entrata che in uscita, compreso il traffico da e verso internet e il traffico all'interno di Google Cloud.
Cloud NGFW decripta il traffico TLS per consentire all'endpoint firewall di eseguire un'ispezione di livello 7, come la prevenzione delle intrusioni, nella tua rete. Dopo l'ispezione, Cloud NGFW cripta nuovamente il traffico prima di inviarlo alla sua destinazione.
Cloud NGFW utilizza Certificate Authority Service (CAS) gestito da Google per generare certificati intermedi di breve durata. Cloud NGFW utilizza questi certificati intermedi per generare i certificati necessari per decriptare il traffico intercettato. Puoi configurare pool di autorità di certificazione (CA) e, facoltativamente, configurazioni di attendibilità, per archiviare e gestire un elenco di certificati CA attendibili.
Questa pagina fornisce una panoramica dettagliata delle funzionalità di ispezione TLS di Cloud NGFW.
Specifiche
Cloud NGFW supporta le versioni dei protocolli TLS 1.0, 1.1, 1.2 e 1.3.
Cloud NGFW supporta le seguenti suite di crittografia TLS:
Valore IANA Nome della suite di crittografia 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW utilizza un criterio di ispezione TLS per configurare l'ispezione TLS su un endpoint firewall.
Puoi configurare pool di CA e, facoltativamente, configurare l'attendibilità delle configurazioni per generare certificati TLS attendibili per i client TLS. Facoltativamente, puoi configurare configurazioni di attendibilità per archiviare e gestire i certificati CA attendibili. Puoi includere le informazioni di configurazione sui pool di CA e sulle configurazioni di attendibilità in un criterio di ispezione TLS. Questo criterio viene quindi collegato all'endpoint firewall e alla rete VPC di destinazione e viene utilizzato per decriptare il traffico che vuoi ispezionare.
Per saperne di più su come configurare l'ispezione TLS in Cloud NGFW, consulta Configurare l'ispezione TLS.
Un criterio di ispezione TLS e un pool di CA sono entrambi risorse di regione. Devi quindi creare un pool di CA e un criterio di ispezione TLS per ogni regione in cui stai abilitando l'ispezione TLS.
Se vuoi utilizzare configurazioni di attendibilità nel criterio di ispezione TLS, assicurati che la configurazione di attendibilità e il criterio di ispezione TLS si trovino nella stessa regione.
Ruolo dell'autorità di certificazione nell'ispezione TLS
Cloud NGFW intercetta il traffico TLS generando dinamicamente certificati per i client. Questi certificati sono firmati da CA intermedie configurate all'interno dell'endpoint firewall. Queste CA intermedie sono firmate da pool di CA all'interno di CA Service. Cloud NGFW genera nuove CA intermedie ogni 24 ore.
Ogni volta che un client stabilisce una connessione TLS, Cloud NGFW intercetta la connessione e genera un certificato per il nome del server richiesto per il ritorno al client. Cloud NGFW può anche convalidare i certificati di backend firmati privatamente utilizzando una configurazione di attendibilità. Puoi aggiungere certificati attendibili a una configurazione di attendibilità di Gestore certificati.
Puoi aggiungere configurazioni di configurazione di attendibilità e pool di CA a un criterio di ispezione TLS. Questo criterio viene quindi aggiunto all'associazione degli endpoint firewall e viene utilizzato per decriptare il traffico intercettato.
Le CA archiviate nel servizio CA sono supportate dall'hardware Security Module (HSM) e generano audit log a ogni utilizzo.
Le CA intermedie di breve durata generate da Cloud NGFW vengono archiviate solo in memoria. Ogni certificato server firmato da una CA intermedia non genera un audit log da CA Service. Inoltre, poiché i certificati server non vengono generati direttamente da CA Service, i criteri di emissione o i vincoli relativi ai nomi configurati nel pool di CA non si applicano ai certificati server generati da Cloud NGFW. Cloud NGFW non applica questi vincoli durante la generazione di certificati server con CA intermedie.
Flag --tls-inspect della regola del criterio firewall
Per abilitare la decrittografia del traffico corrispondente alle regole dei criteri firewall configurate, utilizza il flag --tls-inspect. Quando configuri il flag --tls-inspect nella regola del criterio firewall, Cloud NGFW genera un nuovo certificato del server per il traffico TLS corrispondente. Le CA intermedie in Cloud NGFW firmano questo certificato. Queste CA intermedie sono, a loro volta, firmate da pool di CA all'interno del servizio CA. Il certificato viene poi presentato al client e viene stabilita una connessione TLS. Il certificato generato viene memorizzato nella cache per un breve periodo di tempo per le successive connessioni allo stesso host.
Limitazioni
Cloud NGFW non supporta il traffico QUIC, HTTP/3 o protocollo PROXY con ispezione TLS.