Cloud Next Generation Firewall は、Transport Layer Security(TLS)インターセプト / 復号サービスを提供します。これにより、暗号化されたトラフィックと暗号化されていないトラフィックを検査し、ネットワーク攻撃や中断の有無を調べることができます。TLS 接続は、インターネットとの間のトラフィック、Google Cloud 内のトラフィックなど、インバウンド接続とアウトバウンド接続の両方で検査されます。
Cloud NGFW は TLS トラフィックを復号し、ファイアウォール エンドポイントがネットワークで侵入防止などのレイヤ 7 検査を実行できるようにします。検査後、Cloud NGFW はトラフィックを再度暗号化してから宛先に送信します。
Cloud NGFW は、Google マネージド Certificate Authority Service(CAS)を使用して、有効期間の短い中間証明書を生成します。Cloud NGFW は、これらの中間証明書を使用して、インターセプトされたトラフィックの復号に必要な証明書を生成します。認証局(CA)プールを設定し、必要に応じて信頼構成を設定します。信頼できる CA 証明書のリストを保存して維持します。
このページでは、Cloud NGFW の TLS インスペクション機能について詳しく説明します。
仕様
Cloud NGFW は、TLS プロトコル バージョン 1.0、1.1、1.2、1.3 をサポートしています。
Cloud NGFW は、次の TLS 暗号スイートをサポートしています。
IANA 値 暗号スイート名 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW は、TLS インスペクション ポリシーを使用して、ファイアウォール エンドポイントに TLS インスペクションを設定します。
CA プールを設定し、必要に応じて信頼構成を作成して、TLS クライアント用に信頼できる TLS 証明書を生成します。必要に応じて、信頼構成を設定し、信頼できる CA 証明書を保存して維持することもできます。CA プールと信頼構成に関する構成情報を TLS インスペクション ポリシーに含めます。このポリシーは、ファイアウォール エンドポイントとターゲット Virtual Private Cloud(VPC)ネットワークに接続され、検査対象トラフィックの復号に使用されます。
Cloud NGFW で TLS インスペクションを設定する方法については、TLS インスペクションを設定するをご覧ください。
TLS インスペクション ポリシーと CA プールはどちらもリージョン リソースです。したがって、TLS インスペクションを有効にするリージョンごとに CA プールと TLS インスペクション ポリシーを作成する必要があります。
TLS インスペクション ポリシーで信頼構成を使用する場合は、信頼構成と TLS インスペクション ポリシーが同じリージョンにあることを確認してください。
TLS インスペクションでの認証局の役割
Cloud NGFW は、クライアントの証明書を動的に生成することで TLS トラフィックをインターセプトします。これらの証明書は、ファイアウォール エンドポイント内で構成された中間 CA によって署名されます。これらの中間 CA は、CA Service 内の CA プールによって署名されます。Cloud NGFW は、24 時間ごとに新しい中間 CA を生成します。
クライアントが TLS 接続を確立するたびに、Cloud NGFW が接続をインターセプトし、クライアントに返すためにリクエストされたサーバー名の証明書を生成します。Cloud NGFW は、信頼構成を使用して非公開で署名されたバックエンド証明書を検証することもできます。信頼できる証明書を Certificate Manager の信頼構成に追加できます。
信頼構成と CA プールの構成を TLS インスペクション ポリシーに追加します。このポリシーはファイアウォール エンドポイントの関連付けに追加され、インターセプトされたトラフィックの復号に使用されます。
CA Service に保存されている CA はハードウェア セキュリティ モジュール(HSM)を基盤とし、使用するたびに監査ログを生成します。
Cloud NGFW によって生成された有効期間の短い中間 CA はメモリにのみ保存されます。中間 CA によって署名された各サーバー証明書は、CA Service の監査ログに記録されません。また、サーバー証明書は CA Service によって直接生成されないため、CA プールで構成された発行ポリシーや名前の制約は、Cloud NGFW によって生成されたサーバー証明書には適用されません。Cloud NGFW は、中間 CA を使用してサーバー証明書を生成するときに、これらの制約を適用しません。
ファイアウォール ポリシールールの --tls-inspect フラグ
構成したファイアウォール ポリシー ルールに一致するトラフィックの復号を有効にするには、--tls-inspect フラグを使用します。ファイアウォール ポリシー ルールで --tls-inspect フラグを構成すると、Cloud NGFW は一致する TLS トラフィックに新しいサーバー証明書を生成します。この証明書は、Cloud NGFW 内の中間 CA によって署名されます。これらの中間 CA は、さらに CA Service 内の CA プールによって署名されます。この証明書がクライアントに提示され、TLS 接続が確立されます。生成された証明書は、同じホストへの後続の接続のため、しばらくの間キャッシュに保存されます。
制限事項
Cloud NGFW は、TLS インスペクションで QUIC、HTTP/3、PROXY プロトコル トラフィックをサポートしていません。