Cloud Next Generation Firewall bietet einen Abfang- und Entschlüsselungsdienst für Transport Layer Security (TLS), der verschlüsselten und unverschlüsselten Traffic auf Netzwerkangriffe und Störungen untersuchen kann. TLS-Verbindungen werden sowohl für eingehende als auch für ausgehende Verbindungen geprüft, einschließlich Traffic zum und vom Internet und Traffic innerhalb von Google Cloud.
Cloud NGFW entschlüsselt den TLS-Traffic, damit der Firewall-Endpunkt die Layer 7-Prüfung wie den URL-Filterdienst und den Einbruchserkennungs- und ‑präventionsdienst in Ihrem Netzwerk ausführen kann. Nach der Prüfung verschlüsselt Cloud NGFW den Traffic neu, bevor er an sein Ziel gesendet wird.
Cloud NGFW verwendet den von Google verwalteten Certificate Authority Service (CAS), um kurzlebige Zwischenzertifikate zu generieren. Cloud NGFW verwendet diese Zwischenzertifikate, um die Zertifikate zu generieren, die zum Entschlüsseln des abgefangenen Traffics erforderlich sind. Sie richten CA-Pools (Certificate Authority, Zertifizierungsstelle) und optional Vertrauenskonfigurationen ein, um eine Liste vertrauenswürdiger CA-Zertifikate zu speichern und zu verwalten.
Auf dieser Seite erhalten Sie eine detaillierte Übersicht über die TLS-Prüfungsfunktionen von Cloud NGFW.
Spezifikationen
Cloud NGFW unterstützt die TLS-Protokollversionen 1.0, 1.1, 1.2 und 1.3.
Cloud NGFW unterstützt die folgenden TLS-Cipher-Suites:
IANA-Wert Cipher-Suite-Name 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW verwendet eine TLS-Prüfungsrichtlinie, um eine TLS-Prüfung auf einem Firewall-Endpunkt einzurichten.
Sie richten CA-Pools und optional Vertrauenskonfigurationen ein, um vertrauenswürdige TLS-Zertifikate für TLS-Clients zu generieren. Optional können Sie auch Vertrauenskonfigurationen einrichten, um vertrauenswürdige CA-Zertifikate zu speichern und zu verwalten. Sie fügen die Konfigurationsinformationen zu CA-Pools und Vertrauenskonfigurationen in eine TLS-Prüfungsrichtlinie ein. Diese Richtlinie wird dann an den Firewall-Endpunkt und das VPC-Zielnetzwerk (Virtual Private Cloud) angehängt und wird zur Entschlüsselung des Traffics verwendet, den Sie untersuchen möchten.
Weitere Informationen zum Einrichten der TLS-Prüfung in Cloud NGFW finden Sie unter TLS-Prüfung einrichten.
TLS-Prüfungsrichtlinien und CA-Pools sind regionale Ressourcen. Daher müssen Sie für jede Region, in der Sie die TLS-Prüfung aktivieren, einen CA-Pool und eine TLS-Prüfungsrichtlinie erstellen.
Wenn Sie Vertrauenskonfigurationen in Ihrer TLS-Prüfungsrichtlinie verwenden möchten, müssen sich die Vertrauenskonfiguration und die TLS-Prüfungsrichtlinie in derselben Region befinden.
Rolle der Zertifizierungsstelle in der TLS-Prüfung
Cloud NGFW fängt TLS-Traffic ab, indem Zertifikate für Clients dynamisch generiert werden. Diese Zertifikate werden von Zwischen-CAs signiert, die innerhalb des Firewall-Endpunkts konfiguriert sind. Diese Zwischen-CAs werden von CA-Pools in CA Service signiert. Cloud NGFW generiert alle 24 Stunden neue Zwischen-CAs.
Jedes Mal, wenn ein Client eine TLS-Verbindung herstellt, fängt Cloud NGFW die Verbindung ab und generiert ein Zertifikat für den angeforderten Servernamen für die Rückgabe an den Client. Cloud NGFW kann auch privat signierte Backend-Zertifikate mithilfe einer Vertrauenskonfiguration validieren. Sie können einer Zertifikatsmanager-Vertrauenskonfiguration vertrauenswürdige Zertifikate hinzufügen.
Sie fügen einer TLS-Prüfungsrichtlinie eine Vertrauenskonfiguration und CA-Pool-Konfigurationen hinzu. Diese Richtlinie wird dann der Firewall-Endpunktverknüpfung hinzugefügt und wird zum Entschlüsseln des abgefangenen Traffics verwendet.
Die in CA Service gespeicherten Zertifizierungsstellen werden vom Hardware Security Module (HSM) unterstützt und generieren bei jeder Verwendung Audit-Logs.
Die von Cloud NGFW generierten kurzlebigen Zwischen-CAs werden nur im Arbeitsspeicher gespeichert. Jedes Serverzertifikat, das von einer Zwischen-CA signiert wird, führt nicht zu einem Audit-Log von CA Service. Da Serverzertifikate nicht direkt von CA Service generiert werden, gelten im CA-Pool konfigurierte Ausstellungsrichtlinien oder Namenseinschränkungen nicht für Serverzertifikate, die von Cloud NGFW generiert werden. Cloud NGFW erzwingt diese Einschränkungen nicht, wenn Serverzertifikate mit Zwischen-CAs generiert werden.
Firewallrichtlinienregel-Flag --tls-inspect
Verwenden Sie das Flag --tls-inspect, um die Entschlüsselung des Traffics zu aktivieren, der den konfigurierten Firewallrichtlinienregeln entspricht. Wenn Sie das Flag --tls-inspect in der Firewallrichtlinienregel konfigurieren, generiert Cloud NGFW ein neues Serverzertifikat für übereinstimmenden TLS-Traffic. Zwischen-CAs in Cloud NGFW signieren dieses Zertifikat. Diese Zwischen-CAs werden wiederum von CA-Pools in CA Service signiert. Das Zertifikat wird dann dem Client präsentiert und es wird eine TLS-Verbindung hergestellt. Das generierte Zertifikat wird für kurze Zeit für nachfolgende Verbindungen zum selben Host im Cache gespeichert.
TLS-Prüfung über HTTP CONNECT
Cloud NGFW unterstützt das Abfangen und Entschlüsseln von TLS-Traffic für den Egress-HTTPS-Traffic, den ein Client über HTTP Connect sendet.
Stellen Sie sich beispielsweise ein Szenario vor, in dem ein Client eine HTTP-Connect-Anfrage sendet, um über einen zwischengeschalteten Webproxyserver wie Secure Web Proxy einen sicheren Tunnel zwischen Client und Server herzustellen. Nachdem der Tunnel eingerichtet wurde, fängt Cloud NGFW ausgehenden TLS-Internet-Traffic ab, der den Tunnel durchläuft, entschlüsselt ihn und führt eine Layer 7-Prüfung wie die Einbruchserkennung und ‑prävention durch.
Beschränkungen
Cloud NGFW unterstützt keinen HTTP/2-, QUIC-, HTTP/3- oder Proxyprotokoll-Traffic mit TLS-Prüfung. Die TLS-Prüfung wird jedoch für TCP-Traffic unterstützt, der nicht HTTPS ist.
Cloud NGFW unterstützt nur die TLS-Entschlüsselung. Die Entschlüsselung von Traffic, bei dem andere Verschlüsselungsprotokolle wie SSH verwendet werden, wird nicht unterstützt.