TLS-Prüfung

Der Großteil des Web-Traffics wird über Transport Layer Security (TLS) verschlüsselt. Da Bedrohungsakteure diese verschlüsselten Kanäle häufig verwenden, um schädliche Aktivitäten zu verbergen, ist es wichtig, diesen Traffic zu untersuchen, bevor er sein Ziel erreicht.

Secure Web Proxy bietet einen integrierten TLS-Prüfdienst, mit dem Sie HTTPS-Traffic abfangen und entschlüsseln können. Da Secure Web Proxy Einblick in die verschlüsselte Anfrage erhält, können erweiterte Sicherheitsrichtlinien angewendet werden, z. B. URL-Filterung für den vollständigen Anfragepfad und HTTP-Header-Prüfung. So wird Ihre Umgebung vor Bedrohungen geschützt, die in verschlüsselten Tunneln verborgen sind.

Funktionsweise

Bei der TLS-Prüfung werden zwei separate verschlüsselte Verbindungen hergestellt, wobei Secure Web Proxy als sicherer Vermittler fungiert.

• Client-Handshake: Wenn ein Client versucht, eine Verbindung zu einer externen Website wie www.example.com herzustellen, fängt der sichere Webproxy die Anfrage ab.

• Zertifikatsgenerierung: Secure Web Proxy kommuniziert mit dem privaten Certificate Authority Service (CA Service). Der Proxy generiert in Echtzeit ein temporäres Zertifikat für www.example.com, das von der privaten untergeordneten CA Ihrer Organisation signiert wird.

• Vertrauenswürdigkeitsprüfung: Der Client erhält dann dieses temporäre Zertifikat.

• Prüfpunkt: Der Traffic wird in der Secure Web Proxy-Instanz entschlüsselt. In dieser Phase werden Sicherheitsrichtlinien auf die HTTP-Klartextdaten angewendet.

• Server-Handshake: Secure Web Proxy initiiert dann eine zweite TLS-Verbindung zum eigentlichen Zielserver. Der Traffic wird neu verschlüsselt und an die Zieladresse gesendet.

Wichtige Features

Der TLS-Prüfdienst von Secure Web Proxy bietet ein flexibles, skalierbares Framework für die Verwaltung von verschlüsseltem Traffic mit den folgenden Funktionen:

• Integrierte private Vertrauenswürdigkeit: Die integrierte Einbindung in CA Service bietet ein hochverfügbares, von Google verwaltetes Repository für Ihre privaten Zertifizierungsstellen.

• Flexibler Root of Trust: Verwenden Sie eine vorhandene lokale Stammzertifizierungsstelle (Certificate Authority, CA), um untergeordnete CAs zu signieren, die in CA Service gehostet werden. Anschließend können Sie ein völlig neues Root-Zertifikat direkt in CA Service generieren und verwalten.

• Spezifische Entschlüsselung: Verwenden Sie SessionMatcher, um genau festzulegen, welcher Traffic entschlüsselt werden soll. Sie können die TLS-Prüfung anhand der folgenden Parameter auslösen:

  • Domainnamen von Websites: Sie können bestimmte Websites mithilfe von regulären Ausdrücken und Domainlisten abgleichen.
  • Netzwerkkriterien: Sie können bestimmte Quell-IP-Adressbereiche oder CIDR-Blöcke (Classless Inter-Domain Routing), z. B. 10.0.0.0/24, als Ziel festlegen, um Netzwerkbegrenzungen zu definieren.
  • Boolesche Logik: Kombinieren Sie mehrere Bedingungen wie eine Quell-IP und eine Ziel-URL, um sehr spezifische Sicherheitsregeln zu erstellen.

• Skalierbare Richtlinienarchitektur:

  • Dedizierte Richtlinien: Weisen Sie jeder Secure Web Proxy-Richtlinie eine eindeutige TLS-Prüfungsrichtlinie und einen eindeutigen CA-Pool zu, um eine strikte Isolation zu erreichen.

  • Gemeinsame Richtlinien: Vereinfachen Sie die Richtlinienverwaltung, indem Sie eine einzelne TLS-Prüfungskonfiguration für mehrere Proxyrichtlinien freigeben.

• Vollständige URI-Sichtbarkeit: Untersuchen Sie den gesamten URI (einschließlich Domain, Pfad und Abfragestrings, z. B. www.example.com/downloads/malware.exe) und nicht nur den Domainnamen.

• Genaue Zugriffssteuerung: Mit der TLS-Prüfung können Sie Richtlinien für bestimmte Pfade einer Website erzwingen. Sie können beispielsweise den Zugriff auf www.example.com/documentation zulassen, aber www.example.com/uploads blockieren.

Rolle von Zertifizierungsstellen bei der TLS-Prüfung

Um verschlüsselten Traffic zu prüfen, fungiert Secure Web Proxy als vertrauenswürdiger Vermittler. Dazu ist ein koordinierter Prozess zwischen dem Proxy, dem CA-Dienst und dem Clientgerät erforderlich.

Anforderungen an das Client-Vertrauen

Die TLS-Prüfung ist für Umgebungen konzipiert, in denen eine Organisation administrative Kontrolle über die Clientgeräte hat, z. B. verwaltete Laptops, Server oder virtuelle Maschinen (VMs).

• Privater Vertrauensanker: Da Secure Web Proxy Zertifikate präsentiert, die von Ihrer internen Zertifizierungsstelle und nicht von einer öffentlichen Zertifizierungsstelle signiert wurden, vertrauen Clients der Verbindung nur, wenn Ihre private Stammzertifizierungsstelle vorinstalliert ist.
• Administrativer Bereich: Verbindungen von nicht verwalteter Hardware lösen in der Regel Insecure connection-Warnungen aus, da diese Geräte nicht den spezifischen Vertrauensanker Ihrer Organisation haben.

Fehler beim Abfangen von Anfragen beheben

Auch auf verwalteten Geräten können bestimmte Verbindungen aufgrund von Certificate Pinning nicht abgefangen werden. Certificate Pinning tritt auf, wenn eine Anwendung so programmiert ist, dass sie nur einen bestimmten öffentlichen Schlüssel oder eine bestimmte öffentliche CA-Kette akzeptiert.

• Beispiele für Certificate Pinning: Zu den gängigen Diensten, die Pinning verwenden, gehören Systemupdates für Windows und macOS, Google Chrome-Updates und bestimmte mobile Anwendungen mit hoher Sicherheitsanforderung.
• Ergebnis des Certificate Pinning: Wenn Secure Web Proxy sein signiertes Zertifikat präsentiert, erkennt die Anwendung, dass das Zertifikat nicht den fest codierten Erwartungen entspricht, und beendet die Verbindung.

Abmilderung und präzise Steuerung

Um Dienstunterbrechungen für angepinnte Anwendungen zu verhindern oder den Datenschutz für vertrauliche Websites zu wahren, können Sie das Attribut SessionMatcher verwenden, um die Überprüfung zu umgehen. Sie können die Überprüfung anhand der folgenden Parameter einschränken oder überspringen:

• Zielattribute: bestimmte vollqualifizierte Domainnamen (FQDNs).
• Quellattribute: Sicherheitstags, Dienstkonten oder IP-Adressen.
• Benutzerdefinierte Logik: Mit booleschen Ausdrücken können Sie bestimmten Traffic ausschließen, während Sie den Rest der Umgebung untersuchen.

Methoden zur Konfiguration von Zertifizierungsstellen

Um die TLS-Prüfung zu aktivieren, richten Sie Ihre Zertifizierungsstelle mit einer der folgenden Methoden ein:

• Untergeordnete CA in CA Service: Verwenden Sie eine vorhandene externe Stamm-CA, um eine untergeordnete CA zu signieren, die in Google Cloudgespeichert ist.

• Externe Stamm-CA: Verwenden Sie eine externe Stamm-CA, um Zertifikate zu signieren, die zur Laufzeit über untergeordnete CAs generiert werden.

• Von Google verwaltete Root-Zertifizierungsstelle: Generieren Sie ein neues Root-Zertifikat direkt im CA Service, um Ihre untergeordneten Zertifizierungsstellen zu signieren.

Weitere Informationen zu diesen Methoden finden Sie unter Untergeordneten CA-Pool erstellen.

Nächste Schritte

• Regelauswertungsreihenfolge
• TLS-Prüfung aktivieren