Asegurar el tráfico con inspección de TLS utilizando certificados privados

¿Por qué usar sus propios certificados CA para la inspección TLS?

¡Excelente pregunta! El caso de uso principal para usar sus propios certificados CA es para el cumplimiento interno, la seguridad y la gobernanza sobre la inspección de su tráfico. Esto significa que puede aprovechar su infraestructura de certificados para descifrar e inspeccionar el tráfico que atraviesa su entorno. Como recordatorio, la inspección de TLS es una característica previa para otras características de Cato, como RBI, CASB y DLP.

¿Cómo funciona la inspección TLS con certificados CA privados?

Hay dos enfoques principales para usar la inspección de TLS con sus propios certificados CA:

  • Cargue su propio certificado CA con la clave privada CA

  • Solicitud de firma de certificado de Cato (certificado firmado por el cliente)

La opción de usar el certificado proporcionado por Cato para la inspección de TLS también está siempre disponible. Puede leer más sobre esa opción aquí.

Es importante señalar que puede crear múltiples certificados, pero solo un certificado puede estar activo en cualquier momento dado.

Además de mejorar la postura general de seguridad del entorno del cliente, una vez configurado, el certificado personalizado se utilizará para la inspección de TLS en las siguientes reglas:

  • Firewall

  • Antimalware

  • IPS

  • CASB/DLP

  • RBI

Con la inspección de TLS habilitada con uno de estos métodos, todo el tráfico TLS se descifrará para inspección, excepto el tráfico que se omita mediante reglas.

Cargar un Certificado CA Existente para Inspección TLS

certificate_management.png

Para la opción de usar un certificado CA empresarial existente para la inspección de TLS, primero querrá cargar ese certificado firmado junto con la clave privada no cifrada.

Cuando se carga el certificado CA, se le presentará una vista detallada del certificado, incluido el nombre del CA firmado, cadena de certificados y fecha de vencimiento.

Si necesita cargar un nuevo certificado para actualizar el período de validez del certificado, puede eliminar los archivos actualmente cargados y comenzar el proceso nuevamente con un nuevo certificado y par de claves. La aplicación de gestión de Cato comenzará a alertar a los administradores 60 días antes de la expiración del certificado, tanto en la aplicación de gestión de Cato como con una notificación por correo electrónico (y repetirá a los 30 días, 7 días y el día de expiración) para evitar cualquier inconveniente y pérdida de seguridad con un certificado vencido.

Los certificados que tienen menos de 60 días de validez tendrán un ícono de triángulo naranja junto al botón Activar. Cuando pase el cursor sobre él, mostrará "El certificado está a punto de expirar en XX días". Una vez que el certificado haya expirado, habrá un ícono de círculo rojo junto al botón Activar, y mostrará "Certificado expirado" cuando pase el cursor sobre el ícono, y el botón Activar estará desactivado.

Nota

Nota: Actualmente, Cato no puede revocar certificados.

Para cargar un certificado personalizado existente:

  1. Desde el menú de navegación, haz clic en Seguridad > Gestión de Certificados.

  2. Haz clic en Nuevo y luego selecciona Certificado Personalizado

  3. En el panel Certificado Personalizado, navega y carga tanto el certificado personalizado como la clave privada para el certificado. Después de que ambos archivos se hayan cargado exitosamente, haz clic en Enviar.

    custom_certificate_panel.png

    Después de hacer clic en Enviar, se validará el certificado y la clave para asegurar que toda la información requerida sea correcta y esté lista para ser usada. El certificado y la clave cargados serán validados para:

    • El certificado debe ser un certificado intermedio o de publicador CA (el certificado debe poder firmar otros certificados)

    • La cadena de certificados existe e incluye el CA raíz

    • El archivo del certificado debe estar en formato PEM

    • El archivo clave no está protegido por contraseña y la longitud mínima de la clave de cifrado es de 2048 bits en formato RSA

    • La clave privada debe coincidir con el certificado CA cargado

    Si alguna de estas validaciones falla, se mostrará un error.

Usando ese par de clave de certificado, Cato generará un nuevo par de claves, luego el certificado intermedio personalizado. El nuevo par de claves creado será firmado utilizando la clave privada importada y será cifrado y almacenado en el almacén de claves de Cato. Después de que se genere el nuevo certificado intermedio, la clave no cifrada cargada se eliminará del sistema y solo se utilizará el nuevo certificado intermedio generado.

Generando una Solicitud de Firma de Certificado

Esta opción le permitirá generar una solicitud de firma de certificado (CSR) desde su inquilino de Cato y luego ser firmada por cualquier certificado intermedio que esté firmado por el CA de la organización. Esta opción, además de aumentar la postura de seguridad de un entorno, facilita a los administradores la creación de los certificados necesarios, ya que el CSR será generado por la plataforma que los utilizará.

Nota

Nota: Aunque se pueden generar muchos CSRs, solo un certificado puede estar activado a la vez por cuenta.

Para generar un CSR personalizado para su cuenta:

  1. Desde el menú de navegación, haz clic en Seguridad > Gestión de Certificados.

  2. Haz clic en Nuevo y luego selecciona CSR - Solicitud de Firma de Certificado.

    Aparece el panel Crear CSR.

  3. Complete los siguientes campos obligatorios:

    • Nombre del Certificado

    • Nombre de la Organización

    • Nombre Común

    Nota: Aunque otros campos del CSR son opcionales, es mejor práctica completar toda la información.

  4. Haz clic en Crear CSR para generar el CSR que será firmado por su autoridad certificadora.

    create_CSR.png

    Después de generar el CSR, se le presentará una opción para cargar el certificado firmado.

    create_CSR_Upload.png

  5. El CSR completado se descargará automáticamente en la máquina local del administrador, donde podrá enviar el archivo CSR a su autoridad certificadora para su firma.

  6. El certificado firmado por la CA deberá cargarse en la aplicación de gestión de Cato. Regrese al menú de gestión de certificados y haga clic en Cargar Certificado.

  7. Seleccione el certificado firmado de su máquina local para cargarlo en el entorno de Cato, lo que permitirá que el certificado se use para reglas de inspección TLS.

NOTA: El certificado firmado debe incluir lo siguiente:

  • Firmado por cualquiera de los siguientes algoritmos RSA:

    • sha256ConRSAEncryption

    • sha512ConRSAEncryption

  • Firmado con un tamaño de clave mínimo de 2048

  • Debe incluir los siguientes atributos:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    Los atributos pueden ser confirmados usando el siguiente comando:

    openssl x509 -in signed_cert.crt -text -noout

    NOTA: La revocación de certificados no es compatible en este momento.

Monitorización y Auditoría

No se generan eventos para certificados vencidos, sin embargo, se crean entradas en el registro de auditoría cuando se generan, cargan o eliminan certificados. Busque usando "cuenta de tls" bajo Cuenta > Registro de Auditoría > Campo de Búsqueda, y mostrará el rastro de auditoría de los certificados creados y eliminados:

image-20230423-104436.png

Cómo Se Ve Cuando Está Funcionando

Cuando un certificado personalizado está funcionando, el navegador muestra que el certificado devuelto es el mismo que el certificado personalizado que fue cargado por el cliente a 'Gestión de Certificados' en la aplicación de gestión de Cato. Luego puede comparar el nombre común y la huella digital del certificado devuelto con el certificado activo en la aplicación de gestión de Cato.

image-20230423-104907.png

Recursos

Aquí hay algunos comandos útiles de OpenSSL que pueden ayudar al trabajar con certificados:

  • Comprobando la longitud de la clave privada usando OpenSSL:

    • openssl rsa -in myCA.key -text -noout

  • Validando los certificados CA y las claves privadas:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    Donde:

    • cert.crt es su certificado

    • privkey.txt es su clave privada

    Compare la salida de ambos comandos. Si son idénticos, entonces la clave privada coincide con el certificado.

  • Firmando el certificado usando OpenSSL:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    Donde:

    • sha256 es el algoritmo de firma. En Mac el valor predeterminado es sha-1. También puede usar sha512.

    • myCA.pem es su CA

    • myCA.key es su clave privada

    • request.csr es el archivo csr que obtiene de cc2

    • signed_cert.crt es su nuevo certificado firmado

    • El archivo signed_cert_attributes.conf tiene el siguiente contenido de ejemplo:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios