El tráfico web encriptado con la seguridad de la capa de transporte (TLS) representa una gran parte de todo el tráfico web, y los actores de amenazas pueden usar estos canales encriptados para lanzar ataques maliciosos. Como resultado, es fundamental verificar el tráfico encriptado con TLS antes de reenviarlo a su destino.
El proxy web seguro ofrece un servicio de inspección de TLS que te permite interceptar el tráfico de TLS, inspeccionar la solicitud encriptada y aplicar políticas de seguridad.
Según las reglas de seguridad implementadas y la configuración de la inspección de TLS, la solución de proxy web seguro establece dos conexiones seguras: una con el cliente y otra con el servidor externo. Luego, la solución de proxy web seguro inspecciona el tráfico entre las dos conexiones seguras. Después de realizar una verificación correcta, puedes aplicar al tráfico encriptado los mismos filtros y controles de seguridad que al tráfico no encriptado.
Función de las autoridades certificadoras en la inspección de TLS
Para determinar si el proxy web seguro debe inspeccionar una conexión TLS, verifica la marca tls_inspection_enabled
en sus reglas individuales de política de seguridad. Si se configura la marca y se detecta una conexión TLS, el proxy web seguro genera un certificado de servidor nuevo. Envía este certificado al Certificate Authority Service (CAS) para que lo firme tu grupo de autoridades certificadoras (CA) subordinadas.
Luego, se presenta este certificado al cliente y se establece una conexión TLS. El certificado generado se almacena en caché por un período breve para usarlo en conexiones posteriores al mismo host.
Si deseas inspeccionar el tráfico TLS, debes generar un certificado de servidor para el host al que el cliente intenta conectarse. Una CA privada administrada por una organización debe firmar este certificado de servidor. Solo los clientes configurados para confiar en esta CA privada confían en estos certificados de servidor generados. Entre estos, se incluyen navegadores y clientes HTTP incorporados. Como resultado, la inspección de TLS solo se puede usar para interceptar e inspeccionar conexiones TLS de clientes sobre los que tu organización tiene control administrativo.
No todas las conexiones TLS pueden interceptarse correctamente, incluso en máquinas sobre las que la organización tiene control administrativo. Esto se debe a que algunos clientes (en especial, los que están incorporados dentro de otras aplicaciones) están codificados para aceptar solo certificados de servidor específicos o aquellos firmados por CA específicas (una práctica conocida como fijación de certificados). Microsoft Windows, MacOS y las actualizaciones de software de Google Chrome son algunos ejemplos. Esas conexiones fallan en presencia de la inspección de TLS. Esto sucede porque la clave pública y la cadena de la AC del certificado de servidor que el proxy web seguro presenta al cliente no coinciden con los parámetros almacenados de forma local.
Si se configura una regla para inspeccionar tráfico TLS, pero el cliente no confía en los certificados de inspección que presenta el proxy web seguro, la conexión fallará. En estos casos, se sabe que la inspección de TLS interrumpe las conexiones cliente-servidor, incluso si el servidor es de confianza. A fin de solucionar esta situación, puedes agregar reglas para omitir la inspección de TLS en criterios específicos. También puedes restringir la inspección de TLS a hosts de destino específicos (mediante el FQDN), fuentes (mediante etiquetas seguras, cuentas de servicio o dirección IP) y mediante el atributo SessionMatcher
de una regla.
Funciones admitidas
La inspección de TLS del proxy web seguro admite las siguientes características:
- Se realiza una integración estrecha con CAS, que es un repositorio escalable y con alta disponibilidad para AC privadas.
- La capacidad de usar tu propia raíz de confianza si es necesario También puedes usar una AC raíz existente para firmar CA subordinadas en poder de CAS. Si lo prefieres, puedes generar un nuevo certificado raíz dentro de CAS.
- Criterios de desencriptación detallados mediante
SessionMatcher
dentro de las reglas de políticas de proxy web seguro. Este criterio incluye hosts coincidentes presentes en listas de URL, expresiones regulares, rangos de direcciones IP y expresiones similares. Si es necesario, los criterios se pueden combinar con expresiones booleanas. - Cada política de proxy web seguro se puede configurar con su propia política de inspección de TLS y su propio grupo de CA. Como alternativa, varias políticas de proxy web seguro pueden compartir una sola política de inspección de TLS.
Casos de uso habituales
Para habilitar la inspección de TLS, puedes usar cualquiera de los siguientes métodos:
Usa una AC raíz existente para firmar AC subordinadas dentro de CAS. Una CA subordinada retenida dentro de CAS se usa para firmar certificados de servidor generados en el entorno de ejecución.
Usa una AC raíz existente que se encuentre externamente (no en CAS) para firmar AC subordinadas. Cuando las AC subordinadas están firmadas por tu AC raíz, puedes usarlas para firmar certificados de servidor generados en el entorno de ejecución.
Usa un certificado raíz generado en CAS. Después de crear el certificado raíz, debes crear una AC subordinada firmada por tu AC raíz nueva. Esa CA subordinada se usa para firmar certificados de servidor generados en el entorno de ejecución.
Para obtener más información sobre estos métodos, consulta Crea un grupo de AC subordinado.