Informações gerais sobre a inspeção da TLS

O Cloud Firewall oferece um serviço de interceptação e descriptografia da Transport Layer Security (TLS) que pode inspecionar o tráfego criptografado e não criptografado em busca de ataques e interrupções de rede. As conexões de TLS são inspecionadas em conexões de entrada e de saída, incluindo o tráfego de e para a Internet e o tráfego dentro do Google Cloud.

O Cloud Firewall descriptografa o tráfego de TLS para permitir que o endpoint do firewall realize a inspeção da camada 7, como a prevenção contra invasões, na sua rede. Após a inspeção, o tráfego do Cloud Firewall criptografa o tráfego novamente antes de enviá-lo ao destino.

O Cloud Firewall usa o Certificate Authority Service (CAS) gerenciado pelo Google para gerar certificados intermediários de curta duração. O Cloud NGFW usa esses certificados intermediários para gerar os certificados necessários para descriptografar o tráfego interceptado. Configure pools de autoridade certificadora (CA) e, como opção, configurações de confiança para armazenar e manter uma lista de certificados de CA confiáveis.

Esta página contém informações detalhadas sobre os recursos de inspeção de TLS do Cloud NGFW.

Especificações

  • O Cloud Firewall é compatível com as versões 1.0, 1.1, 1.2 e 1.3 do protocolo de TLS.

  • O Cloud NGFW é compatível com os seguintes pacotes de criptografia de TLS:

    Valor de IANA Nome do pacote de criptografia
    0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
    0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
    0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    0x009C TLS_RSA_WITH_AES_128_GCM_SHA256
    0x009D TLS_RSA_WITH_AES_256_GCM_SHA384
    0x002F TLS_RSA_WITH_AES_128_CBC_SHA
    0x0035 TLS_RSA_WITH_AES_256_CBC_SHA
    0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA

  • O Cloud NGFWl usa uma política de inspeção de TLS para configurar essa inspeção em um endpoint de firewall.

    Você configura pools de CAs e, como opção, confia em configurações para gerar certificados de TLS confiáveis para clientes de TLS. Como opção, também é possível definir configurações de confiança para armazenar e manter certificados de CA confiáveis. Você inclui as informações de configuração sobre pools de CA e configurações de confiança em uma política de inspeção de TLS. Em seguida, essa política é anexada ao endpoint do firewall e à rede de nuvem privada virtual (VPC) de destino e é usada para descriptografar o tráfego que você quer inspecionar.

    Para saber mais sobre como configurar a inspeção de TLS no Cloud NGFW, consulte Configurar inspeção de TLS.

  • Uma política de inspeção de TLS e um pool de CA são recursos regionais. Dessa forma, é necessário criar um pool de CAs e uma política de inspeção de TLS para cada região em que você está ativando essa inspeção.

  • Se você quiser usar configurações de confiança na política de inspeção de TLS, certifique-se de que a configuração de confiança e a política de inspeção de TLS estejam na mesma região.

Papel da autoridade certificadora na inspeção de TLS

O Cloud Firewall intercepta o tráfego de TLS, gerando certificados dinamicamente para clientes. Esses certificados são assinados por CAs intermediárias configuradas no endpoint do firewall. Essas CAs intermediárias são assinadas por pools de CA no serviço da autoridade certificadora. O Cloud Firewall gera novas CAs intermediárias a cada 24 horas.

Sempre que um cliente estabelece uma conexão de TLS, o Cloud Firewall intercepta a conexão e gera um certificado para o nome de servidor solicitado para o retorno ao cliente. O Cloud Firewall também pode validar certificados de back-end assinados particularmente usando uma configuração de confiança. É possível adicionar certificados confiáveis a uma configuração de confiança do Gerenciador de certificados.

Você adiciona configurações de confiança e pool de CAs a uma política de inspeção de TLS. Em seguida, essa política é adicionada à associação de endpoints de firewall e é usada para descriptografar o tráfego interceptado.

As CAs armazenadas no serviço de CA são respaldadas pelo módulo de segurança de hardware (HSM, na sigla em inglês) e geram registros de auditoria a cada uso.

As CAs intermediárias de curta duração geradas pelo Cloud Firewall são armazenadas apenas na memória. Cada certificado do servidor assinado por uma CA intermediária não resulta em um registro de auditoria do serviço de CA. Além disso, como os certificados do servidor não são gerados diretamente pelo serviço de CA, as políticas de emissão ou as restrições de nome configuradas no pool de CA não se aplicam aos certificados do servidor gerados pelo Cloud Firewall. O Cloud Firewall não impõe essas restrições ao gerar certificados do servidor com CAs intermediárias.

Sinalização --tls-inspect da regra de política de firewall

Para ativar a descriptografia do tráfego correspondente às regras da política de firewall configurada, use a sinalização --tls-inspect. Quando você configura a sinalização --tls-inspect na regra da política de firewall, o Cloud Firewall gera um novo certificado do servidor para o tráfego TLS correspondente. CAs intermediárias no Cloud NGFW assinam esse certificado. Essas CAs intermediárias são, por sua vez, assinadas por pools de CA no serviço da autoridade certificadora. Em seguida, esse certificado é apresentado ao cliente e uma conexão de TLS é estabelecida. O certificado gerado é armazenado em cache por um curto período para conexões subsequentes no mesmo host.

Limitações

O Cloud NGFW não é compatível com o tráfego HTTP/2, QUIC, HTTP/3 ou de protocolo PROXY com inspeção TLS.

A seguir