Traffic web terenkripsi Transport Layer Security (TLS) mencakup sebagian besar semua traffic web, dan pelaku ancaman dapat menggunakan saluran terenkripsi ini untuk meluncurkan serangan berbahaya. Oleh karena itu, sangat penting untuk memeriksa traffic terenkripsi TLS sebelum meneruskannya ke tujuannya.
Secure Web Proxy menawarkan layanan pemeriksaan TLS yang memungkinkan Anda mencegat traffic TLS, memeriksa permintaan terenkripsi, dan menerapkan kebijakan keamanan.
Berdasarkan aturan keamanan yang diterapkan dan konfigurasi pemeriksaan TLS, solusi Secure Web Proxy membuat dua koneksi aman, satu dengan klien dan satu lagi dengan server eksternal. Solusi Secure Web Proxy kemudian memeriksa traffic antara dua koneksi aman. Setelah verifikasi berhasil, Anda dapat menerapkan kontrol keamanan dan pemfilteran yang sama pada traffic terenkripsi seperti yang Anda lakukan pada traffic yang tidak dienkripsi.
Peran certificate authority dalam pemeriksaan TLS
Untuk menentukan apakah Secure Web Proxy harus memeriksa koneksi TLS, proxy akan memeriksa
tanda tls_inspection_enabled pada setiap aturan kebijakan keamanannya. Jika tanda tersebut ditetapkan, dan jika koneksi TLS terdeteksi, Secure Web Proxy akan membuat sertifikat server baru. Sertifikat ini akan dikirim ke Layanan Otoritas Sertifikat (CAS) untuk ditandatangani oleh kumpulan certificate authority (CA) subordinasi Anda.
Sertifikat ini kemudian ditampilkan kepada klien, dan koneksi TLS
akan dibuat. Sertifikat yang dihasilkan akan di-cache untuk waktu yang singkat agar dapat digunakan
pada koneksi berikutnya ke host yang sama.
Jika ingin memeriksa traffic TLS, Anda harus membuat sertifikat server untuk host yang dicoba dihubungkan oleh klien. CA pribadi yang dikelola organisasi harus menandatangani sertifikat server ini. Hanya klien yang dikonfigurasi untuk memercayai Private CA ini yang memercayai sertifikat server yang dihasilkan ini. Ini mencakup browser dan klien HTTP tersemat. Akibatnya, pemeriksaan TLS hanya dapat digunakan untuk mencegat dan memeriksa koneksi TLS dari klien yang kontrol administrative-nya dimiliki organisasi Anda.
Tidak semua koneksi TLS berhasil disadap, bahkan di komputer yang memiliki kontrol administratif organisasi. Hal ini karena beberapa klien (terutama yang disematkan di dalam aplikasi lain) di-hardcode agar hanya menerima sertifikat server tertentu atau yang ditandatangani oleh CA tertentu (praktik yang dikenal sebagai pinning sertifikat). Microsoft Windows, MacOS, dan update software Google Chrome adalah beberapa contohnya. Koneksi tersebut akan gagal jika ada pemeriksaan TLS. Hal ini terjadi karena kunci publik dan rantai CA sertifikat server yang ditampilkan Secure Web Proxy ke klien tidak cocok dengan parameter yang disimpan secara lokal.
Jika aturan dikonfigurasi untuk memeriksa traffic TLS, tetapi klien tidak memercayai
sertifikat pemeriksaan yang ditampilkan oleh Secure Web Proxy, koneksi
akan gagal. Dalam kasus ini, pemeriksaan TLS diketahui dapat merusak koneksi klien-server
meskipun server dipercaya. Untuk mengatasi situasi ini, Anda dapat menambahkan aturan
untuk mengabaikan pemeriksaan TLS untuk kriteria tertentu. Anda juga dapat membatasi pemeriksaan TLS
ke host tujuan tertentu (dengan menggunakan FQDN), sumber (dengan menggunakan
Tag Aman, Akun Layanan, atau alamat IP), dan dengan menggunakan
atribut SessionMatcher
dari aturan.
Fitur yang didukung
Pemeriksaan TLS Secure Web Proxy mendukung fitur berikut:
- Integrasi yang erat dengan CAS, yang merupakan repositori yang sangat tersedia dan skalabel untuk CA pribadi.
- Kemampuan untuk menggunakan root of trust Anda sendiri jika diperlukan. Anda juga dapat menggunakan root CA yang ada untuk menandatangani CA subordinat yang dimiliki oleh CAS. Jika mau, Anda dapat membuat root certificate baru dalam CAS.
- Kriteria dekripsi terperinci menggunakan
SessionMatcherdalam aturan kebijakan Secure Web Proxy. Kriteria ini mencakup host yang cocok yang ada dalam daftar URL, ekspresi reguler, rentang alamat IP, dan ekspresi serupa. Jika diperlukan, kriteria dapat digabungkan dengan ekspresi boolean. - Setiap kebijakan Secure Web Proxy dapat dikonfigurasi dengan kebijakan pemeriksaan TLS dan kumpulan CA-nya sendiri. Atau, beberapa kebijakan Secure Web Proxy dapat berbagi satu kebijakan pemeriksaan TLS.
Kasus penggunaan umum
Untuk mengaktifkan pemeriksaan TLS, Anda dapat menggunakan salah satu metode berikut:
Gunakan CA root yang ada untuk menandatangani CA subordinat yang disimpan dalam CAS. CA subordinat yang disimpan dalam CAS digunakan untuk menandatangani sertifikat server yang dihasilkan saat runtime.
Gunakan CA root yang ada dan disimpan secara eksternal (bukan di CAS) untuk menandatangani CA subordinat. Jika CA subordinat ditandatangani oleh CA root, Anda dapat menggunakannya untuk menandatangani sertifikat server yang dibuat saat runtime.
Gunakan sertifikat root yang dibuat dalam CAS. Setelah membuat sertifikat root, Anda membuat CA subordinat yang ditandatangani oleh root CA baru. CA subordinat tersebut digunakan untuk menandatangani sertifikat server yang dihasilkan pada runtime.
Untuk informasi selengkapnya tentang metode ini, lihat Membuat kumpulan CA subordinat.