Protegendo Tráfego com Inspeção TLS Usando Certificados Privados

Por que usar seus próprios certificados CA para Inspeção TLS?

Excelente pergunta! O principal caso de uso para usar seus próprios certificados CA é para conformidade interna, segurança e governança sobre sua inspeção de tráfego. Isso significa que você pode utilizar sua infraestrutura de certificados para descriptografar e inspecionar o tráfego que percorre seu ambiente. Como lembrete, a inspeção TLS é um recurso pré-requisito para outros recursos da Cato, como RBI, CASB e DLP.

Como funciona a Inspeção TLS com Certificados CA Privados?

Existem duas abordagens principais para usar a inspeção TLS com seus próprios certificados CA:

  • Faça upload do seu próprio certificado CA com a chave privada CA

  • Solicitação de Assinatura de Certificado da Cato (Certificado assinado pelo cliente)

A opção de usar o certificado fornecido pela Cato para inspeção TLS também está sempre disponível. Você pode ler mais sobre essa opção Insira o código de impressão digital de 40 caracteres.

É importante notar que você pode criar vários certificados, mas apenas um certificado pode estar ativo a qualquer momento.

Além de melhorar a postura geral de segurança do ambiente do cliente, uma vez configurado, o certificado personalizado será usado para inspeção TLS nas seguintes regras:

  • Firewall

  • Anti-malware

  • IPS

  • CASB/DLP

  • RBI

Com a inspeção TLS ativada por um desses métodos, todo o tráfego TLS será descriptografado para inspeção, exceto para tráfego que é ignorado usando regras.

Fazendo upload de um Certificado CA Existente para Inspeção TLS

certificate_management.png

Para a opção de usar um certificado CA corporativo existente para inspeção TLS, primeiro, você vai querer fazer upload desse certificado assinado junto com a chave privada não criptografada.

Quando o certificado CA é carregado, você verá uma visão detalhada do certificado, incluindo o nome do CA assinado, cadeia de certificados e data de expiração.

Se você precisar fazer upload de um novo certificado para atualizar o período de validade do certificado, você pode remover os arquivos atuais carregados e iniciar o processo novamente com um novo certificado e par de chaves. O Aplicativo de Gerenciamento Cato começará a alertar administradores 60 dias antes da expiração do certificado, tanto no Aplicativo de Gerenciamento Cato quanto com uma notificação por email (e repetirá em 30 dias, 7 dias e no dia da expiração) para evitar qualquer inconveniente e interrupção de segurança com um certificado expirado.

Certificados com menos de 60 dias de validade terão um ícone de triângulo laranja ao lado do botão Ativar. Quando você passar o cursor sobre ele, mostrará "Certificado está prestes a expirar em XX dias". Uma vez que o certificado tenha expirado, haverá um ícone de círculo vermelho ao lado do botão Ativar, e ele mostrará "Certificado expirado" quando passar o cursor sobre o ícone, e o botão Ativar ficará cinza.

Nota

Nota: Cato atualmente não pode revogar certificados.

Para carregar um certificado personalizado existente:

  1. No menu de navegação, clique em Segurança > Gerenciamento de Certificados.

  2. Clique em Novo, e então selecione Certificado Personalizado

  3. No painel Certificado Personalizado, procure e carregue tanto o certificado personalizado quanto a chave privada para o certificado. Após ambos os arquivos terem sido carregados com sucesso, clique em Enviar.

    Custom_certificate_panel.png

    Após clicar em Enviar, o certificado e a chave são validados para garantir que todas as informações necessárias estejam corretas e prontas para uso. O certificado carregado e a chave serão validados para:

    • O certificado deve ser um certificado publicador intermediário ou CA (o certificado deve ser capaz de assinar outros certificados)

    • A cadeia de certificados existe e inclui o CA raiz

    • O arquivo do certificado deve estar no formato PEM

    • Arquivo de chave não está protegido por senha e o comprimento mínimo da chave de criptografia é 2048 bits no formato RSA

    • A chave privada deve corresponder ao certificado CA carregado

    Se alguma dessas validações falhar, um erro será exibido.

Usando esse par de chaves de certificado, a Cato gerará um novo par de chaves e, em seguida, o certificado intermediário personalizado. O novo par de chaves criado será assinado usando a chave privada importada e será criptografado e armazenado no repositório de chaves da Cato. Após o novo certificado intermediário ser gerado, a chave não criptografada carregada será excluída do sistema e apenas o certificado intermediário recém-gerado será usado.

Gerando uma Solicitação de Assinatura de Certificado

Esta opção permitirá que você gere uma Solicitação de Assinatura de Certificado (CSR) do seu locatário Cato, e então assinada por qualquer certificado intermediário que seja assinado pelo CA da organização. Esta opção, ao aumentar a postura de segurança de um ambiente, torna mais fácil para os administradores criar os certificados necessários, já que o CSR será gerado pela plataforma que os utilizará.

Nota

Nota: Enquanto muitos CSRs podem ser gerados, apenas um certificado pode ser ativado por vez por conta.

Para gerar um CSR personalizado para sua conta:

  1. No menu de navegação, clique em Segurança > Gerenciamento de Certificados.

  2. Clique em Novo, e então selecione CSR - Solicitação de Assinatura de Certificado.

    O painel Criar CSR aparece.

  3. Preencha os seguintes campos obrigatórios:

    • Nome do Certificado

    • Nome da Organização

    • Nome Comum

    Nota: Embora outros campos do CSR sejam opcionais, é uma prática recomendada preencher todas as informações.

  4. Clique em Criar CSR para gerar o CSR a ser assinado pela sua autoridade certificadora.

    Create_CSR.png

    Após você gerar o CSR, você terá uma opção apresentada para carregar o certificado assinado.

    Create_CSR_Upload.png

  5. O CSR concluído será automaticamente baixado para a máquina local do administrador, onde você pode enviar o arquivo CSR para sua autoridade certificadora para assinatura.

  6. O certificado assinado pela CA precisará ser carregado na Aplicação de Gerenciamento Cato. Retorne ao menu Gerenciamento de Certificados e clique em Carregar Certificado.

  7. Selecione o certificado assinado da sua máquina local para carregar no ambiente Cato, o que permitirá que o certificado seja usado para regras de inspeção TLS.

NOTA: O certificado assinado deve incluir o seguinte:

  • Assinado por qualquer um dos seguintes algoritmos RSA:

    • sha256WithRSAEncryption

    • sha512WithRSAEncryption

  • Assinado com tamanho mínimo de chave de 2048

  • Precisa incluir os seguintes atributos:

    • authorityKeyIdentifier=keyid,issuer

    • basicConstraints=CA:TRUE

    • keyUsage = keyCertSign,cRLSign

    Os atributos podem ser confirmados usando o seguinte comando:

    openssl x509 -in signed_cert.crt -text -noout

    NOTA: A revogação de certificados não é suportada no momento.

Monitoramento e Auditoria

Nenhum evento é gerado para certificados expirados, no entanto, entradas de log de auditoria são criadas quando certificados são gerados, carregados ou removidos. Pesquise usando "tls account" em Conta > Trilha de Auditoria > Campo de pesquisa, e isso mostrará a trilha de auditoria dos certificados Criados e Excluídos:

image-20230423-104436.png

Como Parece Quando Está Funcionando

Quando um certificado personalizado está funcionando, o navegador mostra que o certificado retornado é o mesmo que o certificado personalizado que foi carregado pelo cliente em 'Gerenciamento de Certificados' na Aplicação de Gerenciamento Cato. Você pode então comparar o nome comum e a impressão digital do certificado retornado com o certificado ativo na Aplicação de Gerenciamento Cato.

image-20230423-104907.png

Recursos

Aqui estão alguns comandos OpenSSL úteis que podem ajudar ao trabalhar com certificados:

  • Verificando o comprimento da chave privada usando OpenSSL:

    • openssl rsa -in myCA.key -text -noout

  • Validando as chaves CA e privadas:

    • openssl x509 -noout -modulus -in cert.crt | openssl md5

    • openssl rsa -noout -modulus -in privkey.txt | openssl md5

    Onde:

    • cert.crt é o seu certificado

    • privkey.txt é a sua chave privada

    Compare a saída de ambos os comandos. Se forem idênticos, então a chave privada corresponde ao certificado.

  • Assinando o certificado usando OpenSSL:

    • openssl x509 -req -sha256 -CA myCA.pem -CAkey myCA.key -in test\ request.csr -out signed_cert.crt -days 365 -CAcreateserial -extfile signed_cert_attributes.conf

    Onde:

    • sha256 é o algoritmo de assinatura. Em mac o padrão é sha-1. Você pode usar sha512 também.

    • myCA.pem é o seu CA

    • myCA.key é a sua chave privada

    • request.csr é o arquivo csr que você obteve do cc2

    • signed_cert.crt é o seu novo certificado assinado

    • O arquivo signed_cert_attributes.conf possui o seguinte conteúdo de exemplo:

      • basicConstraints=CA:TRUE

      • authorityKeyIdentifier=keyid,issuer

      • keyUsage = keyCertSign,cRLSign

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário