Informações gerais sobre a inspeção da TLS

O tráfego criptografado com Transport Layer Security (TLS) representa a grande maioria do tráfego da Web. Como os invasores geralmente usam esses canais criptografados para ocultar atividades maliciosas, é fundamental inspecionar esse tráfego antes que ele chegue ao destino.

O Secure Web Proxy oferece um serviço integrado de inspeção TLS que permite interceptar e descriptografar o tráfego HTTPS. Ao ter visibilidade da solicitação criptografada, o Secure Web Proxy pode aplicar políticas de segurança avançadas, como filtragem de URL no caminho completo da solicitação e inspeção de cabeçalho HTTP, para proteger seu ambiente contra ameaças ocultas em túneis criptografados.

Como funciona

A inspeção TLS funciona estabelecendo duas conexões criptografadas separadas, com o Secure Web Proxy atuando como um intermediário seguro.

  • Handshake do cliente: quando um cliente tenta se conectar a um site externo, como www.example.com, o proxy da Web seguro intercepta a solicitação.

  • Geração de certificados: o proxy da Web seguro se comunica com o Certificate Authority Service (serviço de AC) particular. O proxy gera um certificado temporário para www.example.com em tempo real, assinado pela CA subordinada privada da sua organização.

  • Validação de confiança: o cliente recebe esse certificado temporário.

  • Ponto de inspeção: o tráfego é descriptografado na instância do Secure Web Proxy. Nesta etapa, as políticas de segurança são aplicadas aos dados HTTP de texto simples.

  • Handshake do servidor: o proxy da Web seguro inicia uma segunda conexão TLS com o servidor de destino real. O tráfego é reencriptado e enviado para o endereço de destino.

Principais recursos

O serviço de inspeção TLS do Secure Web Proxy oferece uma estrutura flexível e escalonável para gerenciar o tráfego criptografado com os seguintes recursos:

  • Confiança privada integrada: a integração integrada com o CA Service fornece um repositório altamente disponível e gerenciado pelo Google para suas ACs particulares.

  • Raiz de confiança flexível: use uma autoridade de certificação (CA) raiz local para assinar CAs subordinadas hospedadas no CA Service. Em seguida, gere e gerencie um certificado raiz completamente novo diretamente no CA Service.

  • Descriptografia específica: use SessionMatcher para definir exatamente qual tráfego descriptografar. É possível acionar a inspeção TLS com base nos seguintes parâmetros:

    • Nomes de domínio de sites: corresponda a sites específicos usando expressões regulares e listas de domínios.
    • Critérios de rede: segmentar intervalos de endereços IP de origem específicos ou blocos de roteamento entre domínios sem classe (CIDR), como 10.0.0.0/24, para definir limites de rede.
    • Lógica booleana: combine várias condições, como um IP de origem e um URL de destino, para criar regras de segurança altamente específicas.

  • Arquitetura de política escalonável:

    • Políticas dedicadas: atribua uma política de inspeção TLS e um pool de CA exclusivos a cada política do Secure Web Proxy para um isolamento estrito.

    • Políticas compartilhadas: simplifique o gerenciamento de políticas compartilhando uma única configuração de inspeção de TLS em várias políticas de proxy.

  • Visibilidade completa do URI (Uniform Resource Identifier): inspecione todo o URI (incluindo o domínio, o caminho e as strings de consulta, como www.example.com/downloads/malware.exe) em vez de apenas o nome de domínio.

  • Controle de acesso preciso: use a inspeção de TLS para aplicar políticas a caminhos específicos de um site. Por exemplo, você pode permitir o acesso a www.example.com/documentation, mas bloquear www.example.com/uploads.

Papel das autoridades certificadoras na inspeção de TLS

Para inspecionar o tráfego criptografado, o proxy seguro da Web atua como um intermediário confiável. Isso envolve um processo coordenado entre o proxy, o serviço de CA e o dispositivo cliente.

Requisitos de confiança do cliente

A inspeção TLS foi projetada para ambientes em que uma organização tem controle administrativo sobre os dispositivos clientes, como laptops gerenciados, servidores ou máquinas virtuais (VMs).

  • Âncora de confiança privada: como o Secure Web Proxy apresenta certificados assinados pela sua CA interna em vez de uma CA pública, os clientes confiam na conexão somente se a CA raiz privada estiver pré-instalada.
  • Escopo administrativo: as conexões de hardware não gerenciado geralmente acionam avisos Insecure connection porque esses dispositivos não têm a âncora de confiança específica da sua organização.

Lidar com falhas de interceptação

Mesmo em dispositivos gerenciados, algumas conexões não podem ser interceptadas devido ao fixação de certificado. A fixação de certificado ocorre quando um aplicativo é codificado para aceitar apenas uma chave pública específica ou uma cadeia de AC pública específica.

  • Exemplos de fixação de certificados: serviços comuns que usam a fixação incluem atualizações do sistema Windows e macOS, atualizações do Google Chrome e alguns aplicativos móveis de alta segurança.
  • Resultado da fixação de certificado: quando o Secure Web Proxy apresenta o certificado assinado, o aplicativo detecta que ele não corresponde às expectativas codificadas e encerra a conexão.

Mitigação e controle preciso

Para evitar interrupções de serviço em aplicativos fixados ou manter a privacidade de sites sensíveis, use o atributo SessionMatcher para ignorar a inspeção. É possível restringir ou pular a inspeção com base nos seguintes parâmetros:

  • Atributos de destino: nomes de domínio totalmente qualificados (FQDNs) específicos.
  • Atributos de origem: tags seguras, contas de serviço ou endereços IP.
  • Lógica personalizada: use expressões booleanas para excluir tráfego específico enquanto inspeciona o restante do ambiente.

Métodos de configuração da autoridade certificadora

Para ativar a inspeção TLS, configure sua autoridade de certificação (CA) usando um dos métodos a seguir:

  • CA subordinada no CA Service: use uma CA raiz externa para assinar uma CA subordinada armazenada em Google Cloud.

  • CA raiz externa: use uma CA raiz externa para assinar certificados gerados em tempo de execução por CAs subordinadas.

  • CA raiz gerenciada pelo Google: gere um novo certificado raiz diretamente no CA Service para assinar suas CAs subordinadas.

Para mais informações sobre esses métodos, consulte Criar um pool de ACs subordinadas.

A seguir