Le trafic chiffré TLS (Transport Layer Security) représente la grande majorité du trafic Web. Étant donné que les auteurs de menaces utilisent souvent ces canaux chiffrés pour masquer les activités malveillantes, il est essentiel d'inspecter ce trafic avant qu'il n'atteigne sa destination.
Le proxy Web sécurisé fournit un service d'inspection TLS intégré qui vous permet d'intercepter et de déchiffrer le trafic HTTPS. En obtenant de la visibilité sur la requête chiffrée, le proxy Web sécurisé peut appliquer des règles de sécurité avancées, telles que le filtrage des URL sur le chemin d'accès complet à la requête et l'inspection des en-têtes HTTP, pour protéger votre environnement contre les menaces cachées dans les tunnels chiffrés.
Fonctionnement
L'inspection TLS fonctionne en établissant deux connexions chiffrées distinctes, le proxy Web sécurisé agissant comme intermédiaire sécurisé.
Échange client : lorsqu'un client tente de se connecter à un site externe, tel que
www.example.com, le proxy Web sécurisé intercepte la requête.Génération de certificats : le proxy Web sécurisé communique avec Certificate Authority Service (CA Service) privé. Le proxy génère un certificat temporaire pour
www.example.comen temps réel, signé par l'autorité de certification subordonnée privée de votre organisation.Validation de la confiance : le client reçoit ensuite ce certificat temporaire.
Point d'inspection : le trafic est déchiffré dans l'instance Secure Web Proxy. À ce stade, les règles de sécurité sont appliquées aux données HTTP en texte brut.
Handshake du serveur : le proxy Web sécurisé initie ensuite une deuxième connexion TLS au serveur de destination réel. Le trafic est à nouveau chiffré et envoyé à l'adresse de destination.
Principales fonctionnalités
Le service d'inspection TLS du proxy Web sécurisé offre un framework flexible et évolutif pour gérer le trafic chiffré grâce aux fonctionnalités suivantes :
Confiance privée intégrée : l'intégration intégrée à CA Service fournit un dépôt disponibilité élevée et géré par Google pour vos autorités de certification privées.
Racine de confiance flexible : utilisez une autorité de certification (CA) racine sur site existante pour signer les CA subordonnées hébergées dans CA Service. Vous pouvez ensuite générer et gérer un tout nouveau certificat racine directement dans CA Service.
Déchiffrement spécifique : utilisez
SessionMatcherpour définir précisément le trafic à déchiffrer. Vous pouvez déclencher l'inspection TLS en fonction des paramètres suivants :- Noms de domaine de sites Web : faites correspondre des sites Web spécifiques à l'aide d'expressions régulières et de listes de domaines.
- Critères réseau : ciblez des plages d'adresses IP sources ou des blocs CIDR (Classless Inter-Domain Routing) spécifiques, tels que
10.0.0.0/24, pour définir les limites du réseau. - Logique booléenne : combinez plusieurs conditions (par exemple, une adresse IP source et une URL de destination) pour créer des règles de sécurité très spécifiques.
Architecture de règles évolutive :
Règles dédiées : attribuez une règle d'inspection TLS et un pool d'autorités de certification uniques à chaque règle de proxy Web sécurisé pour une isolation stricte.
Règles partagées : simplifiez la gestion des règles en partageant une seule configuration d'inspection TLS entre plusieurs règles de proxy.
Visibilité complète de l'URI (Uniform Resource Identifier) : inspectez l'intégralité de l'URI (y compris le domaine, le chemin d'accès et les chaînes de requête, comme
www.example.com/downloads/malware.exe) plutôt que le nom de domaine uniquement.Contrôle d'accès précis : utilisez l'inspection TLS pour appliquer des règles à des chemins d'accès spécifiques d'un site Web. Par exemple, vous pouvez autoriser l'accès à
www.example.com/documentation, mais bloquerwww.example.com/uploads.
Rôle des autorités de certification dans l'inspection TLS
Pour inspecter le trafic chiffré, le proxy Web sécurisé fait office d'intermédiaire de confiance. Cela implique un processus coordonné entre le proxy, le service d'autorité de certification et l'appareil client.
Exigences concernant la confiance des clients
L'inspection TLS est conçue pour les environnements dans lesquels une organisation dispose d'un contrôle administratif sur les appareils clients, tels que les ordinateurs portables gérés, les serveurs ou les machines virtuelles (VM).
- Ancre de confiance privée : étant donné que Secure Web Proxy présente des certificats signés par votre autorité de certification interne plutôt que par une autorité de certification publique, les clients ne font confiance à la connexion que si votre autorité de certification racine privée est préinstallée.
- Périmètre administratif : les connexions à partir de matériel non géré déclenchent généralement des avertissements
Insecure connection, car ces appareils ne disposent pas de l'ancrage de confiance spécifique à votre organisation.
Gérer les échecs d'interception
Même sur les appareils gérés, certaines connexions ne peuvent pas être interceptées en raison de l'épinglage de certificat. L'épinglage de certificat se produit lorsqu'une application est codée en dur pour n'accepter qu'une clé publique spécifique ou une chaîne d'autorité de certification publique spécifique.
- Exemples d'épinglage de certificat : les services courants qui utilisent l'épinglage incluent les mises à jour du système Windows et macOS, les mises à jour de Google Chrome et certaines applications mobiles à sécurité élevée.
- Résultat de l'épinglage de certificats : lorsque Secure Web Proxy présente son certificat signé, l'application détecte que le certificat ne correspond pas à ses attentes codées en dur et met fin à la connexion.
Atténuation et contrôle précis
Pour éviter les interruptions de service pour les applications épinglées ou pour préserver la confidentialité des sites Web sensibles, vous pouvez utiliser l'attribut SessionMatcher pour contourner l'inspection. Vous pouvez restreindre ou ignorer l'inspection en fonction des paramètres suivants :
- Attributs de destination : noms de domaine complets spécifiques.
- Attributs sources : tags sécurisés, comptes de service ou adresses IP.
- Logique personnalisée : utilisez des expressions booléennes pour exclure un trafic spécifique tout en inspectant le reste de l'environnement.
Méthodes de configuration de l'autorité de certification
Pour activer l'inspection TLS, configurez votre autorité de certification (CA) à l'aide de l'une des méthodes suivantes :
Autorité de certification subordonnée dans CA Service : utilisez une autorité de certification racine externe existante pour signer une autorité de certification subordonnée stockée dans Google Cloud.
Autorité de certification racine externe : utilisez une autorité de certification racine externe pour signer les certificats générés au moment de l'exécution par le biais d'autorités de certification subordonnées.
CA racine gérée par Google : générez un nouveau certificat racine directement dans CA Service pour signer vos CA subordonnées.
Pour en savoir plus sur ces méthodes, consultez Créer un pool d'autorités de certification subordonnées.