Traffic web yang dienkripsi dengan Transport Layer Security (TLS) mencakup sebagian besar dari semua traffic web, dan pelaku ancaman dapat menggunakan saluran terenkripsi ini untuk meluncurkan serangan berbahaya. Oleh karena itu, sangat penting untuk memeriksa traffic yang dienkripsi TLS sebelum meneruskannya ke tujuannya.
Proxy Web Aman menawarkan layanan pemeriksaan TLS yang memungkinkan Anda menangkap traffic TLS, memeriksa permintaan yang dienkripsi, dan menerapkan kebijakan keamanan.
Berdasarkan aturan keamanan yang diterapkan dan konfigurasi pemeriksaan TLS, solusi Proxy Web Aman membuat dua koneksi aman, satu dengan klien dan satu lagi dengan server eksternal. Solusi {i>Secure Web Proxy<i} kemudian memeriksa lalu lintas di antara dua koneksi aman. Setelah verifikasi berhasil, Anda dapat menerapkan kontrol pemfilteran dan keamanan yang sama ke traffic terenkripsi yang Anda lakukan ke traffic yang tidak dienkripsi.
Peran certificate authority dalam pemeriksaan TLS
Untuk menentukan apakah Secure Web Proxy harus memeriksa koneksi TLS, Proxy Web Aman akan memeriksa flag tls_inspection_enabled
pada setiap aturan kebijakan keamanannya. Jika tanda ini disetel dan koneksi TLS terdeteksi, Secure Web Proxy akan membuat sertifikat server baru. Sertifikat ini akan mengirimkan sertifikat ini ke Certificate Authority Service (CAS) untuk ditandatangani oleh kumpulan certificate authority (CA) bawahan Anda.
Sertifikat ini kemudian diberikan kepada klien, dan koneksi TLS
akan dibuat. Sertifikat yang dihasilkan akan di-cache dalam waktu singkat untuk digunakan
pada koneksi berikutnya ke host yang sama.
Jika ingin memeriksa traffic TLS, Anda harus membuat sertifikat server untuk host yang coba dihubungkan oleh klien. CA pribadi yang dikelola organisasi harus menandatangani sertifikat server ini. Hanya klien yang dikonfigurasi untuk memercayai CA pribadi ini yang memercayai sertifikat server yang dihasilkan ini. Ini termasuk browser dan klien HTTP tersemat. Akibatnya, pemeriksaan TLS hanya dapat digunakan untuk menangkap dan memeriksa koneksi TLS dari klien yang kontrol administratifnya dimiliki organisasi Anda.
Tidak semua koneksi TLS berhasil dicegat, bahkan pada komputer yang kontrol administratifnya dimiliki organisasi. Hal ini karena beberapa klien (terutama yang disematkan di dalam aplikasi lain) di-hardcode agar hanya menerima sertifikat server tertentu atau yang ditandatangani oleh CA tertentu (praktik yang dikenal sebagai penyematan sertifikat). Pembaruan perangkat lunak Microsoft Windows, MacOS, dan Google Chrome adalah beberapa contohnya. Koneksi tersebut gagal saat ada pemeriksaan TLS. Hal ini terjadi karena kunci publik dan rantai CA sertifikat server yang diberikan oleh Secure Web Proxy kepada klien tidak cocok dengan parameter yang disimpan secara lokal.
Jika aturan dikonfigurasi untuk memeriksa traffic TLS, tetapi klien tidak memercayai sertifikat pemeriksaan yang diberikan Proxy Web Aman, koneksi akan gagal. Dalam kasus ini, pemeriksaan TLS diketahui dapat memutus koneksi klien-server meskipun server dapat dipercaya. Untuk mengatasi situasi ini, Anda dapat menambahkan aturan
untuk mengabaikan pemeriksaan TLS untuk kriteria tertentu. Anda juga dapat membatasi pemeriksaan TLS
untuk host tujuan tertentu (dengan menggunakan FQDN), sumber (dengan menggunakan
Tag Aman, Akun Layanan, atau alamat IP), dan menggunakan
atribut SessionMatcher
dari suatu aturan.
Fitur yang didukung
Pemeriksaan TLS Proxy Web Aman mendukung fitur berikut:
- Integrasi erat dengan CAS, yang merupakan repositori yang sangat tersedia dan skalabel untuk CA pribadi.
- Kemampuan untuk menggunakan root kepercayaan Anda sendiri jika diperlukan. Anda juga dapat menggunakan root CA yang ada untuk menandatangani CA subordinate yang dimiliki oleh CAS. Jika mau, Anda dapat membuat root certificate baru di dalam CAS.
- Kriteria dekripsi terperinci menggunakan
SessionMatcher
dalam aturan kebijakan Proxy Web Aman. Kriteria ini mencakup host yang cocok yang ada dalam daftar URL, ekspresi reguler, rentang alamat IP, dan ekspresi serupa. Jika diperlukan, kriteria dapat digabungkan dengan ekspresi boolean. - Setiap kebijakan Secure Web Proxy dapat dikonfigurasi dengan kebijakan pemeriksaan TLS dan kumpulan CA-nya sendiri. Atau, beberapa kebijakan Proxy Web Aman dapat menggunakan satu kebijakan pemeriksaan TLS.
Kasus penggunaan umum
Untuk mengaktifkan pemeriksaan TLS, Anda dapat menggunakan salah satu metode berikut:
Menggunakan CA root yang ada untuk menandatangani CA subordinat yang dimiliki dalam CAS. CA subordinate yang disimpan dalam CAS digunakan untuk menandatangani sertifikat server yang dibuat saat runtime.
Menggunakan root CA yang ada yang disimpan secara eksternal (bukan di CAS) untuk menandatangani CA subordinat. Saat CA subordinate ditandatangani oleh root CA, Anda dapat menggunakannya untuk menandatangani sertifikat server yang dibuat saat runtime.
Menggunakan root certificate yang dibuat dalam CAS. Setelah membuat root certificate, Anda akan membuat subordinate CA yang ditandatangani oleh root CA baru. CA subordinat tersebut digunakan untuk menandatangani sertifikat server yang dibuat saat runtime.
Untuk mengetahui informasi selengkapnya tentang metode ini, lihat Membuat kumpulan CA subordinate.