O tráfego Web encriptado com Transport Layer Security (TLS) representa uma grande parte de todo o tráfego Web, e os autores de ameaças podem usar estes canais encriptados para lançar ataques maliciosos. Como resultado, é fundamental verificar o tráfego encriptado com TLS antes de o encaminhar para o respetivo destino.
O proxy Web seguro oferece um serviço de inspeção TLS que lhe permite intercetar o tráfego TLS, inspecionar o pedido encriptado e aplicar políticas de segurança.
Com base nas regras de segurança implementadas e na configuração de inspeção TLS, a solução de proxy Web seguro estabelece duas ligações seguras, uma com o cliente e outra com o servidor externo. A solução Secure Web Proxy inspeciona o tráfego entre as duas ligações seguras. Após a validação bem-sucedida, pode aplicar os mesmos controlos de filtragem e segurança ao tráfego encriptado que aplica ao tráfego não encriptado.
Função das autoridades de certificação na inspeção TLS
Para determinar se o proxy Web seguro deve inspecionar uma ligação TLS, verifica a flag tls_inspection_enabled nas respetivas regras de política de segurança individuais. Se a flag estiver definida e for detetada uma ligação TLS, o proxy Web seguro gera um novo certificado de servidor. Envia este certificado para o serviço de autoridade de certificação (CAS) para ser assinado pelo seu conjunto de autoridades de certificação (AC) subordinadas.
Em seguida, este certificado é apresentado ao cliente e é estabelecida uma ligação TLS. O certificado gerado é colocado em cache durante um curto período para ser usado
em ligações subsequentes ao mesmo anfitrião.
Se quiser inspecionar o tráfego TLS, tem de gerar um certificado de servidor para o anfitrião ao qual o cliente está a tentar estabelecer ligação. Uma AC privada gerida pela organização tem de assinar este certificado de servidor. Apenas os clientes configurados para confiar nesta AC privada confiam nestes certificados de servidor gerados. Estes incluem navegadores e clientes HTTP incorporados. Como resultado, a inspeção TLS só pode ser usada para intercetar e inspecionar ligações TLS de clientes sobre os quais a sua organização tem controlo administrativo.
Nem todas as ligações TLS podem ser intercetadas com êxito, mesmo em máquinas sobre as quais a organização tem controlo administrativo. Isto deve-se ao facto de alguns clientes (especialmente os incorporados noutras aplicações) estarem codificados para aceitarem apenas certificados de servidor específicos ou certificados assinados por ACs específicas (uma prática conhecida como afixação de certificados). As atualizações de software do Microsoft Windows, MacOS e Google Chrome são alguns exemplos. Essas ligações falham na presença da inspeção TLS. Isto acontece porque a chave pública e a cadeia da AC do certificado do servidor que o proxy Web seguro apresenta ao cliente não correspondem aos parâmetros armazenados localmente.
Se uma regra estiver configurada para inspecionar o tráfego TLS, mas o cliente não confiar nos
certificados de inspeção que o proxy Web seguro apresenta, a ligação
falha. Nestes casos, sabe-se que a inspeção TLS interrompe as ligações cliente-servidor, mesmo que o servidor seja fidedigno. Para contornar esta situação, pode adicionar regras para ignorar a inspeção TLS para critérios específicos. Também pode restringir a inspeção TLS a anfitriões de destino específicos (através do FQDN), origens (através de
etiquetas seguras, conta de serviço ou endereço IP) e através do atributo
SessionMatcher
de uma regra.
Funcionalidades suportadas
A inspeção TLS do proxy Web seguro suporta as seguintes funcionalidades:
- Integração estreita com o CAS, que é um repositório altamente disponível e escalável para ACs privadas.
- A capacidade de usar a sua própria raiz de confiança, se necessário. Também pode usar uma AC raiz existente para assinar ACs subordinadas detidas por CAS. Se preferir, pode gerar um novo certificado de raiz no CAS.
- Critérios de desencriptação detalhados através da utilização de
SessionMatchernas regras de políticas do proxy Web seguro. Este critério inclui a correspondência de anfitriões presentes em listas de URLs, expressões regulares, intervalos de endereços IP e expressões semelhantes. Se necessário, pode combinar critérios com expressões booleanas. - Cada política de proxy Web seguro pode ser configurada com a sua própria política de inspeção TLS e conjunto de ACs. Em alternativa, várias políticas de proxy Web seguro podem partilhar uma única política de inspeção TLS.
Exemplos de utilização comuns
Para ativar a inspeção TLS, pode usar qualquer um dos seguintes métodos:
Use uma CA de raiz existente para assinar CAs subordinadas alojadas no CAS. Uma AC subordinada mantida no CAS é usada para assinar certificados de servidor gerados no tempo de execução.
Use uma CA de raiz existente detida externamente (não no CAS) para assinar CAs subordinadas. Quando as CAs subordinadas são assinadas pela sua CA de raiz, pode usá-las para assinar certificados de servidor gerados em tempo de execução.
Use um certificado de raiz gerado na CAS. Depois de criar o certificado de raiz, crie uma CA subordinada assinada pela nova CA de raiz. Essa AC subordinada é usada para assinar certificados de servidor gerados em tempo de execução.
Para mais informações sobre estes métodos, consulte o artigo Crie um conjunto de ACs subordinadas.