O tráfego da Web criptografado com Transport Layer Security (TLS) representa uma grande parte de todo o tráfego da Web, e os agentes de ameaças podem usar esses canais criptografados para lançar ataques maliciosos. Por isso, é fundamental verificar o tráfego criptografado com TLS antes de encaminhar para o destino.
O Secure Web Proxy oferece um serviço de inspeção TLS que permite interceptar o tráfego TLS, inspecionar a solicitação criptografada e aplicar políticas de segurança.
Com base nas regras de segurança implementadas e na configuração de inspeção TLS, a solução de proxy da Web seguro estabelece duas conexões seguras, uma com o cliente e outra com o servidor externo. A solução do Proxy seguro da Web inspeciona o tráfego entre as duas conexões seguras. Após a verificação bem-sucedida, é possível aplicar os mesmos controles de filtragem e segurança ao tráfego criptografado que você aplica ao tráfego não criptografado.
Papel das autoridades certificadoras na inspeção de TLS
Para determinar se o Secure Web Proxy precisa inspecionar uma conexão TLS, ele verifica
a flag tls_inspection_enabled nas regras de política de segurança individuais. Se a
flag estiver definida e uma conexão TLS for detectada, o proxy da Web seguro vai gerar
um novo certificado do servidor. Ele envia esse certificado ao serviço de autoridade certificadora (CAS, na sigla em inglês) para ser assinado pelo pool de autoridades certificadoras (ACs, na sigla em inglês) subordinadas.
Em seguida, esse certificado é apresentado ao cliente e uma conexão de TLS é
estabelecida. O certificado gerado é armazenado em cache por um curto período para ser usado
em conexões subsequentes para o mesmo host.
Se você quiser inspecionar o tráfego TLS, gere um certificado do servidor para o host ao qual o cliente está tentando se conectar. Uma AC particular gerenciada pela organização precisa assinar esse certificado do servidor. Somente os clientes configurados para confiar nessa AC particular confiam nesses certificados de servidor gerados. Isso inclui navegadores e clientes HTTP incorporados. Como resultado, a inspeção de TLS só pode ser usada para interceptar e inspecionar conexões TLS de clientes que sua organização tem controle administrativo.
Nem todas as conexões TLS podem ser interceptadas, mesmo em máquinas em que a organização tem controle administrativo. Isso ocorre porque alguns clientes (principalmente os incorporados em outros aplicativos) são codificados para aceitar apenas certificados de servidor específicos ou aqueles assinados por ACs específicas, uma prática conhecida como fixação de certificado. Atualizações de software do Microsoft Windows, MacOS e Google Chrome são alguns exemplos. Essas conexões falham na presença da inspeção de TLS. Isso acontece porque a chave pública e a cadeia de AC do certificado do servidor que o Secure Web Proxy apresenta ao cliente não correspondem aos parâmetros armazenados localmente.
Se uma regra estiver configurada para inspecionar o tráfego TLS, mas o cliente não confiar nos
certificados de inspeção apresentados pelo Secure Web Proxy, a conexão
vai falhar. Nesses casos, a inspeção de TLS interrompe as conexões cliente-servidor,
mesmo que o servidor seja confiável. Para contornar essa situação, adicione regras
para ignorar a inspeção de TLS em critérios específicos. Também é possível restringir a inspeção de TLS a hosts de destino específicos (usando FQDN), origens (usando tags seguras, conta de serviço ou endereço IP) e usando o atributo SessionMatcher de uma regra.
Recursos compatíveis
A inspeção TLS do Secure Web Proxy oferece suporte aos seguintes recursos:
- Integração estreita com o CAS, que é um repositório altamente disponível e escalonável para ACs particulares.
- A capacidade de usar sua própria raiz de confiança, se necessário. Também é possível usar uma AC raiz para assinar ACs subordinadas mantidas por ACs. Se preferir, você pode gerar um novo certificado raiz no CAS.
- Defina critérios de descriptografia granular usando
SessionMatchernas regras de política do Secure Web Proxy. Esse critério inclui hosts correspondentes presentes em listas de URLs, expressões regulares, intervalos de endereços IP e expressões semelhantes. Se necessário, os critérios podem ser combinados com expressões booleanas. - Cada política do proxy da Web seguro pode ser configurada com a própria política de inspeção de TLS e o pool de ACs. Como alternativa, várias políticas do Secure Web Proxy podem compartilhar uma única política de inspeção TLS.
Casos de uso comuns
Para ativar a inspeção da TLS, use um dos seguintes métodos:
Use uma AC raiz atual para assinar ACs subordinadas mantidas na CAS. Uma AC subordinada mantida no CAS é usada para assinar certificados do servidor gerados no tempo de execução.
Use uma AC raiz externa (não em CAS) para assinar ACs subordinadas. Quando as ACs subordinadas são assinadas pela AC raiz, elas podem ser usadas para assinar certificados do servidor gerados no tempo de execução.
Use um certificado raiz gerado no CAS. Depois de criar o certificado raiz, crie uma AC subordinada assinada pela nova AC raiz. Essa AC subordinada é usada para assinar certificados do servidor gerados no tempo de execução.
Para mais informações sobre esses métodos, consulte Criar um pool de AC subordinado.