O tráfego da Web criptografado por Transport Layer Security (TLS) é responsável por uma grande parte de todo o tráfego da Web, e agentes de ameaças podem usar esses canais criptografados para lançar ataques maliciosos. Por isso, é fundamental verificar o tráfego criptografado por TLS antes de encaminhá-lo ao destino.
O Secure Web Proxy oferece um serviço de inspeção TLS que permite interceptar o tráfego TLS, inspecionar a solicitação criptografada e aplicar políticas de segurança.
Com base nas regras de segurança implementadas e na configuração da inspeção TLS, a solução de Proxy seguro da Web estabelece duas conexões seguras, uma com o cliente e outra com o servidor externo. Em seguida, a solução de Proxy seguro da Web inspeciona o tráfego entre as duas conexões seguras. Após a verificação, é possível aplicar os mesmos controles de filtragem e segurança do tráfego não criptografado ao tráfego criptografado.
Papel das autoridades de certificação na inspeção TLS
Para determinar se o Secure Web Proxy precisa inspecionar uma conexão TLS, ele verifica a sinalização tls_inspection_enabled
nas regras de política de segurança individuais. Se a sinalização estiver definida e se uma conexão TLS for detectada, o Secure Web Proxy gerará um novo certificado do servidor. Ele envia esse certificado ao Certificate Authority Service (CAS) para ser assinado pelo pool de autoridades de certificação (CA) subordinada.
Em seguida, esse certificado é apresentado ao cliente, e uma conexão TLS é
estabelecida. O certificado gerado é armazenado em cache por um curto período para ser usado
em conexões subsequentes com o mesmo host.
Se você quiser inspecionar o tráfego TLS, gere um certificado do servidor para o host ao qual o cliente está tentando se conectar. Uma CA particular gerenciada pela organização precisa assinar esse certificado do servidor. Apenas os clientes configurados para confiar nessa CA particular confiam nesses certificados de servidor gerados. Isso inclui navegadores e clientes HTTP incorporados. Consequentemente, a inspeção TLS só pode ser usada para interceptar e inspecionar conexões TLS de clientes sobre os quais sua organização tem controle administrativo.
Nem todas as conexões TLS podem ser interceptadas, mesmo em máquinas sobre as quais a organização tem controle administrativo. Isso ocorre porque alguns clientes, especialmente aqueles incorporados em outros aplicativos, são fixados no código para aceitar apenas certificados de servidor específicos ou aqueles assinados por CAs específicas (uma prática conhecida como fixação de certificados). Atualizações de software do Microsoft Windows, MacOS e Google Chrome são alguns exemplos. Essas conexões falham na presença da inspeção TLS. Isso acontece porque a chave pública e a cadeia de CA do certificado do servidor que o Secure Web Proxy apresenta ao cliente não correspondem aos parâmetros armazenados localmente.
Se uma regra estiver configurada para inspecionar o tráfego TLS, mas o cliente não confiar nos certificados de inspeção apresentados pelo Secure Web Proxy, a conexão falhará. Nesses casos, a inspeção TLS interrompe as conexões cliente-servidor,
mesmo se o servidor for confiável. Para contornar essa situação, você pode adicionar regras
para ignorar a inspeção TLS para critérios específicos. Também é possível restringir a inspeção TLS
a hosts de destino específicos (usando o FQDN), origens (usando
tags seguras, contas de serviço ou endereço IP) e usando o
atributo SessionMatcher
de uma regra.
Recursos compatíveis
A inspeção TLS do Secure Web Proxy oferece suporte aos seguintes recursos:
- forte integração com o CAS, que é um repositório altamente disponível e escalonável para CAs particulares.
- A capacidade de usar sua própria raiz de confiança, se necessário. Também é possível usar uma CA raiz atual para assinar CAs subordinadas mantidas pelo CAS. Se preferir, gere um novo certificado raiz no CAS.
- Critérios de descriptografia granulares usando
SessionMatcher
nas regras da política do Proxy da Web seguro. Esse critério inclui hosts correspondentes presentes em listas de URL, expressões regulares, intervalos de endereços IP e expressões semelhantes. Se necessário, os critérios podem ser combinados com expressões booleanas. - Cada política do Secure Web Proxy pode ser configurada com a própria política de inspeção TLS e um pool de CAs. Como alternativa, várias políticas do Secure Web Proxy podem compartilhar uma única política de inspeção de TLS.
Casos de uso comuns
Para ativar a inspeção TLS, use um destes métodos:
Use uma CA raiz atual para assinar CAs subordinadas realizadas no CAS. Uma CA subordinada mantida no CAS é usada para assinar certificados de servidor gerados no momento da execução.
Use uma CA raiz existente mantida externamente (não no CAS) para assinar CAs subordinadas. Quando as CAs subordinadas são assinadas pela CA raiz, você pode usá-las para assinar certificados de servidor gerados no momento da execução.
Usar um certificado raiz gerado no CAS. Depois de criar o certificado raiz, crie uma CA subordinada assinada pela nova CA raiz. Essa CA subordinada é usada para assinar certificados do servidor gerados no momento da execução.
Para mais informações sobre esses métodos, consulte Criar um pool de CA subordinado.