El tráfico encriptado con seguridad de la capa de transporte (TLS) representa la gran mayoría del tráfico web. Dado que los actores de amenazas suelen usar estos canales encriptados para ocultar actividades maliciosas, es fundamental inspeccionar este tráfico antes de que llegue a su destino.
El proxy web seguro proporciona un servicio de inspección de TLS integrado que te permite interceptar y desencriptar el tráfico HTTPS. Al obtener visibilidad de la solicitud encriptada, el proxy web seguro puede aplicar políticas de seguridad avanzadas, como el filtrado de URLs en la ruta de solicitud completa y la inspección de encabezados HTTP, para proteger tu entorno de las amenazas ocultas dentro de los túneles encriptados.
Cómo funciona
La inspección de TLS funciona estableciendo dos conexiones encriptadas separadas, con el proxy web seguro actuando como intermediario seguro.
Negociación del cliente: Cuando un cliente intenta conectarse a un sitio externo, como
www.example.com, el proxy web seguro intercepta la solicitud.Generación de certificados: Secure Web Proxy se comunica con Certificate Authority Service (CA Service) privado. El proxy genera un certificado temporal para
www.example.comen tiempo real, firmado por la CA subordinada privada de tu organización.Validación de confianza: Luego, el cliente recibe ese certificado temporal.
Punto de inspección: El tráfico se desencripta dentro de la instancia de Secure Web Proxy. En esta etapa, se aplican políticas de seguridad a los datos HTTP de texto simple.
Protocolo de enlace del servidor: Luego, el proxy web seguro inicia una segunda conexión TLS con el servidor de destino real. El tráfico se vuelve a encriptar y se envía a la dirección de destino.
Características clave
El servicio de inspección de TLS del proxy web seguro ofrece un marco de trabajo flexible y escalable para administrar el tráfico encriptado a través de las siguientes capacidades:
Confianza privada integrada: La integración integrada con el servicio de CA proporciona un repositorio administrado por Google y con alta disponibilidad para tus AC privadas.
Raíz de confianza flexible: Usa una autoridad certificadora (CA) raíz local existente para firmar CA subordinadas alojadas en el servicio de CA. Luego, puedes generar y administrar un certificado raíz completamente nuevo directamente en el Servicio de CA.
Desencriptación específica: Usa
SessionMatcherpara definir con precisión qué tráfico desencriptar. Puedes activar la inspección de TLS según los siguientes parámetros:- Nombres de dominio de sitios web: Coinciden con sitios web específicos usando expresiones regulares y listas de dominios.
- Criterios de red: Segmenta los anuncios para que se muestren en rangos de direcciones IP de origen o bloques de enrutamiento entre dominios sin clases (CIDR) específicos, como
10.0.0.0/24, para definir los límites de la red. - Lógica booleana: Combina varias condiciones, como una IP de origen y una URL de destino, para crear reglas de seguridad muy específicas.
Arquitectura de políticas escalable:
Políticas dedicadas: Asigna una política de inspección de TLS y un grupo de CA únicos a cada política de Secure Web Proxy para un aislamiento estricto.
Políticas compartidas: Simplifican la administración de políticas, ya que comparten una sola configuración de inspección de TLS en varias políticas de proxy.
Visibilidad completa del identificador uniforme de recursos (URI): Inspecciona todo el URI (incluido el dominio, la ruta de acceso y las cadenas de consulta, como
www.example.com/downloads/malware.exe) en lugar de solo el nombre de dominio.Control de acceso preciso: Usa la inspección de TLS para aplicar políticas a rutas específicas de un sitio web. Por ejemplo, puedes permitir el acceso a
www.example.com/documentation, pero bloquearwww.example.com/uploads.
Roles de las autoridades certificadoras en la inspección de TLS
Para inspeccionar el tráfico encriptado, el proxy web seguro actúa como intermediario de confianza. Esto implica un proceso coordinado entre el proxy, el servicio de CA y el dispositivo cliente.
Requisitos de confianza del cliente
La inspección de TLS está diseñada para entornos en los que una organización tiene control administrativo sobre los dispositivos cliente, como laptops, servidores o máquinas virtuales (VMs) administrados.
- Ancla de confianza privada: Debido a que Secure Web Proxy presenta certificados firmados por tu CA interna en lugar de una CA pública, los clientes confían en la conexión solo si tu CA raíz privada está preinstalada.
- Alcance administrativo: Las conexiones de hardware no administrado suelen activar advertencias de
Insecure connectionporque estos dispositivos no tienen la entidad de certificación específica de tu organización.
Cómo controlar las fallas de intercepción
Incluso en los dispositivos administrados, no se pueden interceptar ciertas conexiones debido a la fijación de certificados. La fijación de certificados se produce cuando una aplicación está codificada de forma rígida para aceptar solo una clave pública específica o una cadena de AC pública específica.
- Ejemplos de fijación de certificados: Los servicios comunes que usan la fijación incluyen las actualizaciones del sistema de Windows y macOS, las actualizaciones de Google Chrome y ciertas aplicaciones para dispositivos móviles de alta seguridad.
- Resultado de la fijación de certificados: Cuando Secure Web Proxy presenta su certificado firmado, la aplicación detecta que el certificado no coincide con sus expectativas codificadas y finaliza la conexión.
Mitigación y control preciso
Para evitar interrupciones del servicio en las aplicaciones fijadas o mantener la privacidad de los sitios web sensibles, puedes usar el atributo SessionMatcher para omitir la inspección. Puedes restringir o omitir la inspección según los siguientes parámetros:
- Atributos de destino: Nombres de dominio completamente calificados (FQDN) específicos.
- Atributos de origen: etiquetas seguras, cuentas de servicio o direcciones IP.
- Lógica personalizada: Usa expresiones booleanas para excluir el tráfico específico mientras inspeccionas el resto del entorno.
Métodos de configuración de la autoridad certificadora
Para habilitar la inspección de TLS, configura tu autoridad certificadora (CA) con cualquiera de los siguientes métodos:
CA subordinada en el servicio de CA: Usa una CA raíz externa existente para firmar una CA subordinada almacenada en Google Cloud.
CA raíz externa: Usa una CA raíz externa para firmar certificados que se generan en el tiempo de ejecución a través de CA subordinadas.
CA raíz administrada por Google: Genera un nuevo certificado raíz directamente en el servicio de CA para firmar tus CA subordinadas.
Para obtener más información sobre estos métodos, consulta Crea un grupo de CA subordinada.