SSL復号化のためのOCI Network Firewallの使用 (2023/04/27)
SSL復号化のためのOCI Network Firewallの使用 (2023/04/27)
https://blogs.oracle.com/cloud-infrastructure/post/oci-network-firewall-ssl-decryption
投稿者:Sachin Sharma | Cloud Networking Specialist
Luis Catalan Hernandez | Cloud Networking Specialist
Oracle Cloud Infrastructure (OCI) Network Firewall は、次世代ファイアウォール (NGFW) 機能を拡張したクラウドネイティブファイアウォールサービスであり、OCIワークロードを保護し、サードパーティの仮想ファイアウォール・アプライアンスのデプロイに関連する運用上および管理上の複雑さなく、サイバー攻撃に対する一元的な保護を提供します。OCI Network Firewallは、Palo Alto NGFWテクノロジに基づいています。
ほぼすべての企業が従来のファイアウォールを使用して、インターネット (南北方向のトラフィック) と内部トラフィック (東西方向のトラフィック) にさらされるワークロードを保護しています。しかし、より多くの顧客は、IP ヘッダーのみをフィルタリングし、レイヤー 4 (トランスポート層) に焦点を当てる従来のファイアウォールでは不十分であることを認識しています。高度な攻撃はますます巧妙化しており、OSI モデルのレイヤー 4 ~ 7 で発生し、主にアプリケーション レイヤーに焦点を当てています。
NGFW は、第 3 世代のファイアウォールテクノロジの一部であり、従来のファイアウォールを、インライン ディープ パケット インスペクション (DPI) を使用するアプリケーション ファイアウォールや侵入防止システム (IPS) などの他のネットワーク デバイス フィルタリング機能と組み合わせます。TLS/SSL 暗号化トラフィック インスペクション、Web サイト フィルタリング、QoS または帯域幅管理、ウイルス対策インスペクション、サード パーティ ID 管理統合など、他の手法も採用される可能性があります。
このブログ投稿では、OCI Network Firewallでこれらの機能の一部を使用して TLS/SSL 暗号化接続を検査し、侵入検知および防止システム (IDS および IPS) をトラフィック フローに適用する方法について説明します。
SSL/TLS トラフィック インスペクション
NGFW の主な用途の 1 つは、IDS および IPS 制御をトラフィックに適用することです。これには、SSL/TLS セキュアチャネルを介した暗号化されたトラフィックが含まれます。このタスクを実行するには、NGFW が SSL/TLS 暗号化トラフィックを復号化する必要があります。安全な暗号化チャネルを NGFW ソフトウェアで復号化できるというのは矛盾しているように思えます。ただし、NGFW は信頼できるデバイスとして、OCI 内のサーバーへの着信 SSL/TLS 接続を復号化して、リモート サーバーを「偽装」することで発信接続に接続するように構成できます。どちらもエンド ユーザーには透過的です。
入荷検査モード
このシナリオは、一般に、外部クライアントに公開される Web アプリケーションおよび HTTPS REST インターフェイスで使用されます。OCI Network Firewallは、ネットワークファイアウォールにインポートされたサーバーの証明書を使用して、クライアントからOCIのサーバーへのインバウンドSSL/TLSトラフィックを復号化し、検査します。ネットワークファイアウォールは、クライアントまたはサーバー間で使用されるマスターキー交換のタイプ (RSA または DHE/ECDHE) に基づいて、さまざまな復号化手法を適用します。
RSAベースの交換の場合、OCI Network Firewallは、SSL/TLS接続を終了せずにSSLインバウンド検査を実行します。サーバーのプレインストールされたX.509秘密鍵を使用して、OCI Network Firewallはマスター鍵交換を復号化および取得でき、クライアントとサーバー間でネゴシエートされた対称鍵を使用して後続の暗号化されたセッショントラフィックを復号化します。
DHE/ECDHEベースのキー交換の場合、OCIネットワーク・ファイアウォールはその秘密キーを持つサーバー証明書を使用して、外部クライアントと内部サーバー間のプロキシとして機能します。Diffie Hellman鍵交換は、マスター鍵を送信しません。両当事者は、交換する良品に基づいて計算を使用してマスター・キーを生成するため、インターセプトするキーが存在しません。次のセクションでは、このプロキシ技術について説明します。
フォワード プロキシ モード
SSLフォワードプロキシモードでは、OCI Network Firewallは、DHE/ECDHEキー交換を使用する場合のインバウンド検査のように、内部クライアントと外部サーバーの間の仲介役として機能します。ネットワークファイアウォールは、2 つのパーティ間でネゴシエートまたは生成されているマスター キーを取得できないため、プロキシモードが必要です。DHE/ECDHE マスター キー交換では、実際のマスター キー交換は発生しません。RSA では、外部サーバーの X509 証明書の秘密鍵を OCI Network Firewall にインポートすることはできないため、対称鍵を傍受することはできません。
クライアントとサーバー間のOCI Network Firewallは、クライアントからのSSL/TLSセッションを終了し、サーバー用に新しいセッションを作成します。
クライアントもサーバーもこのプロキシを認識しておらず、互いに直接接続していると常に信じています。この目標を達成するために、OCI Network Firewall は受信したサーバー証明書のコピーを作成し、ローカル認証局 (CA) 証明書とその秘密鍵で署名します。内部ネットワーク内のすべてのクライアントも、このローカル CA を信頼する必要があります。この信頼がない場合、クライアントはネットワーク ファイアウォールによって再生成または偽装されたサーバー証明書を検証できないため、証明書エラーが表示されます。
インバウンド DHE/ECDHE の場合、ローカル CA 要素は必要ありません。内部 X.509 サーバー証明書とその秘密鍵がインストールされ、外部クライアントとの TLS セッションを終了するためにネットワーク ファイアウォールによって使用されます。次に、ネットワーク ファイアウォールは内部サーバーへの個別のセッションを作成し、2 つのセッションを一緒にプロキシしますが、クライアントはサーバーに直接接続されていると認識します。
チュートリアル
チュートリアル、復号化ルールを使用した SSL フォワード プロキシおよびインバウンド インスペクションに OCI Network Firewallを使用する では、このブログ投稿で説明されている手法を示しています。このチュートリアルには、TLS の包括的な紹介を含む暗号化についての詳細も含まれており、暗号化、証明書、ハンドシェイクなどのトピックをカバーしています。初心者でも、暗号化についてある程度の知識がある場合でも、このチュートリアルは、ネットワーク通信を保護する上での TLS とその役割を理解するのに役立ちます。
まとめ
OCI Network Firewall は、ディープ パケット インスペクション、侵入防止および検出機能など、従来のファイアウォールにはない高度なセキュリティ機能を提供します。OCI Network Firewall は、クラス最高の NGFW 機能を備えたクラウド ネイティブ セキュリティを提供し、サイバー攻撃に対する一元的な保護を可能にします。SSL/TLS インスペクションを使用すると、ネットワーク ファイアウォールは、SSL/TLS セキュア チャネルを介して暗号化されたトラフィックを復号化して検査し、包括的なセキュリティ カバレッジを提供できます。Oracle Cloud Infrastructure Network FirewallとSSL/TLSインスペクションを使用すると、OSIモデルのレイヤー4~7で発生する高度な攻撃からワークロードを保護できます。
詳細については、次のリソースを参照してください。
コメント
コメントを投稿