Cloud Next Generation Firewall offre un'intercettazione con Transport Layer Security (TLS) e servizio di decrittografia in grado di ispezionare il traffico criptato e non criptato e gli attacchi alla rete. Le connessioni TLS vengono ispezionate sia in entrata e connessioni in uscita, compreso il traffico da e verso internet e il traffico all'interno di Google Cloud.
Cloud NGFW decripta il traffico TLS per consentire all'endpoint firewall di eseguire l'ispezione di livello 7, ad esempio la prevenzione delle intrusioni, nella tua rete. Dopo l'ispezione, Cloud NGFW cripta nuovamente il traffico prima di inviarlo alla destinazione.
Cloud NGFW utilizza un servizio Certificate Authority Service (CAS) gestito da Google per generare certificati intermedi di breve durata. Cloud NGFW utilizza questi certificati intermedi per generare i certificati richiesti per decriptare è stato intercettato. Configura i pool di autorità di certificazione (CA) e, facoltativamente, le configurazioni attendibili per archiviare e gestire un elenco di certificati CA attendibili.
Questa pagina fornisce una panoramica dettagliata del protocollo TLS di Cloud NGFW funzionalità di ispezione.
Specifiche
Cloud NGFW supporta il protocollo TLS versioni 1.0, 1.1, 1.2 e 1.3.
Cloud NGFW supporta le seguenti suite di crittografia TLS:
Valore IANA Nome della suite di crittografia 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW utilizza un criterio di ispezione TLS per configurare l'ispezione TLS su un endpoint firewall.
Configura i pool di CA e, facoltativamente, le configurazioni attendibili per generare certificati TLS attendibili per i client TLS. Facoltativamente, puoi anche configurare le configurazioni dell'attendibilità per archiviare e gestire certificati CA attendibili. Includi la configurazione informazioni sui pool di CA e sulle configurazioni di attendibilità in un criterio di ispezione TLS. Questo criterio viene quindi collegato all'endpoint firewall e alla destinazione La rete Virtual Private Cloud (VPC) viene utilizzata per decriptare il traffico che vuoi ispezionare.
Per saperne di più su come configurare l'ispezione TLS in Cloud NGFW, consulta Configurare l'ispezione TLS.
Un criterio di ispezione TLS e un pool di CA sono entrambi risorse regionali. Pertanto, devi creare un pool di CA e un criterio di ispezione TLS per ogni regione in cui attivi l'ispezione TLS.
Se vuoi utilizzare le configurazioni di attendibilità nel criterio di ispezione TLS, assicurati che la configurazione di attendibilità e il criterio di ispezione TLS si trovino nella stessa regione.
Ruolo dell'autorità di certificazione nell'ispezione TLS
Cloud NGFW intercetta il traffico TLS generando certificati in modo dinamico per i clienti. Questi certificati sono firmati da CA intermedie che sono configurato in l'endpoint firewall. Queste CA intermedie sono firmate dai pool di CA all'interno di CA Service. Cloud NGFW genera nuove CA intermedie ogni 24 ore.
Ogni volta che un client stabilisce una connessione TLS, Cloud NGFW intercetta la connessione e genera un certificato per il nome del server richiesto da restituire al client. Cloud NGFW può anche convalidare il backend con firma privata utilizzando una configurazione di attendibilità. Puoi aggiungere certificati attendibili a una configurazione di attendibilità del Gestore certificati.
Aggiungi le configurazioni di trust config e del pool di CA a un criterio di ispezione TLS. Questo criterio viene poi aggiunto all'associazione di endpoint firewall e viene utilizzato per decriptare il traffico intercettato.
Le CA archiviate in CA Service sono supportate dal modulo di sicurezza hardware (HSM) e generano log di controllo a ogni utilizzo.
Le CA intermedie di breve durata generate da Cloud NGFW archiviati solo in memoria. Ogni certificato del server firmato da una CA intermedia non genera un audit log da parte di CA Service. Inoltre, perché i certificati server non sono generati direttamente CA Service, eventuali criteri di emissione o vincoli relativi ai nomi configurati nel pool di CA non si applicano ai certificati del server generati generato da Cloud NGFW. Cloud NGFW non applica queste vincoli durante la generazione di certificati server con CA intermedie.
Flag --tls-inspect della regola del criterio firewall
Per attivare la decrittografia del traffico corrispondente alle regole del criterio del firewall configurato, utilizza il flag --tls-inspect. Quando configuri --tls-inspect
nella regola del criterio firewall, Cloud NGFW genera un nuovo
per il traffico TLS corrispondente. CA intermedie in
Cloud NGFW firma questo certificato. Queste CA intermedie sono
a loro volta, firmato dai pool di CA all'interno di CA Service. Questo certificato
viene quindi presentato al client e viene stabilita una connessione TLS. Il
certificato generato viene memorizzato nella cache per un breve periodo di tempo per le connessioni successive
allo stesso host.
Limitazioni
Cloud NGFW non supporta il traffico HTTP/2, QUIC, HTTP/3 o protocollo PROXY con ispezione TLS.