El tráfico web encriptado con seguridad de la capa de transporte (TLS) representa una gran parte de todo el tráfico web, y los agentes de amenazas pueden usar estos canales encriptados para lanzar ataques maliciosos. Como resultado, es fundamental verificar el tráfico encriptado con TLS antes de reenviarlo a su destino.
Secure Web Proxy ofrece un servicio de inspección de TLS que te permite interceptar el tráfico de TLS, inspeccionar la solicitud encriptada y aplicar políticas de seguridad.
En función de las reglas de seguridad implementadas y la configuración de inspección de TLS, la solución de Secure Web Proxy establece dos conexiones seguras, una con el cliente y otra con el servidor externo. Luego, la solución de proxy web seguro inspecciona el tráfico entre las dos conexiones seguras. Después de una verificación exitosa, puedes aplicar los mismos controles de filtrado y seguridad al tráfico encriptado que al tráfico no encriptado.
Roles de las autoridades certificadoras en la inspección de TLS
Para determinar si el proxy web seguro debe inspeccionar una conexión TLS, verifica la marca tls_inspection_enabled en sus reglas individuales de política de seguridad. Si se establece la marca y se detecta una conexión TLS, el proxy web seguro genera un certificado de servidor nuevo. Este certificado se envía al servicio de la autoridad certificadora (CAS) para que lo firme tu grupo de autoridad certificadora (AC) subordinado.
Luego, este certificado se presenta al cliente y se establece una conexión TLS. El certificado generado se almacena en caché por un período breve para usarse en conexiones posteriores al mismo host.
Si deseas inspeccionar el tráfico de TLS, debes generar un certificado de servidor para el host al que el cliente intenta conectarse. Una AC privada administrada por la organización debe firmar este certificado de servidor. Solo los clientes configurados para confiar en esta AC privada confían en estos certificados de servidor generados. Estos incluyen navegadores y clientes HTTP incorporados. Como resultado, la inspección de TLS solo se puede usar para interceptar e inspeccionar conexiones TLS de clientes sobre los que tu organización tiene control administrativo.
No todas las conexiones TLS se pueden interceptar correctamente, incluso en máquinas sobre las que la organización tiene control administrativo. Esto se debe a que algunos clientes (en particular, los incorporados en otras aplicaciones) están codificados para aceptar solo certificados de servidor específicos o aquellos firmados por AC específicas (una práctica conocida como fijación de certificados). Las actualizaciones de software de Microsoft Windows, MacOS y Google Chrome son algunos ejemplos. Estas conexiones fallan cuando hay una inspección de TLS. Esto sucede porque la clave pública y la cadena de AC del certificado del servidor que el proxy web seguro presenta al cliente no coinciden con los parámetros almacenados de forma local.
Si se configura una regla para inspeccionar el tráfico de TLS, pero el cliente no confía en los certificados de inspección que presenta el proxy web seguro, la conexión falla. En estos casos, se sabe que la inspección de TLS interrumpe las conexiones cliente-servidor
incluso si el servidor es de confianza. Para solucionar esta situación, puedes agregar reglas para omitir la inspección de TLS según criterios específicos. También puedes restringir la inspección de TLS a hosts de destino específicos (con FQDN), fuentes (con etiquetas seguras, cuentas de servicio o direcciones IP) y con el atributo SessionMatcher de una regla.
Funciones admitidas
La inspección de TLS del Proxy web seguro admite las siguientes funciones:
- Integración estrecha con CAS, que es un repositorio escalable y con alta disponibilidad para AC privadas.
- La capacidad de usar tu propia raíz de confianza si es necesario También puedes usar una AC raíz existente para firmar las AC subordinadas que tiene el CAS. Si lo prefieres, puedes generar un nuevo certificado raíz dentro de CAS.
- Criterios de desencriptación detallados mediante el uso de
SessionMatcherdentro de las reglas de políticas del Proxy web seguro Este criterio incluye los hosts coincidentes presentes en las listas de URLs, las expresiones regulares, los rangos de direcciones IP y las expresiones similares. Si es necesario, los criterios se pueden combinar con expresiones booleanas. - Cada política de Proxy web seguro se puede configurar con su propia política de inspección de TLS y su propio grupo de AC. Como alternativa, varias políticas de Proxy web seguro pueden compartir una sola política de inspección de TLS.
Casos de uso habituales
Para habilitar la inspección de TLS, puedes usar cualquiera de los siguientes métodos:
Usa una AC raíz existente para firmar las AC subordinadas que se encuentran en CAS. Se usa una AC subordinada dentro de CAS para firmar los certificados de servidor generados durante el tiempo de ejecución.
Usa una AC raíz existente que se mantenga de forma externa (no en CAS) para firmar AC subordinadas. Cuando tu AC raíz firma las AC subordinadas, puedes usarlas para firmar los certificados de servidor generados durante el tiempo de ejecución.
Usa un certificado raíz generado dentro de CAS. Después de crear el certificado raíz, creas una AC subordinada firmada por tu nueva AC raíz. Esa AC subordinada se usa para firmar los certificados de servidor generados durante el tiempo de ejecución.
Para obtener más información sobre estos métodos, consulta Crea un grupo de AC subordinada.