Ispezione TLS rileva e impedisce minacce avanzate nella rete sui canali TLS crittografati. Questo argomento include i concetti associati alle funzionalità di Ispezione TLS.
Protocollo TLS
In questo argomento viene descritto come funziona l'handshake del protocollo TLS per stabilire un canale crittografato tra il client e il server. La seguente illustrazione relativa al protocollo TLS illustra i vari passaggi necessari per formare un canale crittografato.
Per riepilogare il protocollo TLS:
- TLS avvia una sessione TLS su una sessione TCP stabilita tra il client e il server (ossia un handshake a tre vie).
- Il client invia un Hello del client che include la versione e la crittografia TLS supportate e l'estensione SNI (Server Name Indication). SNI in Hello del client TLS è ciò che Ispezione TLS utilizza per classificare il traffico utilizzando il profilo contesto per utilizzare i profili di decrittografia interni, esterni o ignora decrittografia.
- Il server risponde con il certificato del server per l'autenticazione e l'identificazione e un Hello del server con la versione e la crittografia proposta dal client.
- Una volta che il client convalida il certificato e verifica la versione finale e la crittografia, genera una chiave di sessione simmetrica e la invia al server.
- Per avviare il tunnel TLS sicuro che scambia i dati delle applicazioni sul canale TLS crittografato, il server convalida la chiave della sessione e invia il messaggio completato.
Per impostazione predefinita, il protocollo TLS prova l'identità del server al client solo utilizzando il certificato X.509 e l'autenticazione del client nel server viene lasciata al livello dell'applicazione.
Tipi di decrittografia TLS
La funzionalità di
Ispezione TLS consente agli utenti di definire criteri per decrittografare o ignorare la decrittografia. La funzionalità di ispezione TLS consente due tipi di decrittografia:
- Decrittografia TLS interna: per il traffico che va verso un servizio interno dell'azienda in cui si è proprietari del servizio, del certificato e della chiave privata. Si tratta anche di un proxy inverso o decrittografia in entrata TLS.
- Decrittografia TLS esterna: per il traffico che va verso un servizio esterno (Internet) in cui Enterprise non possiede il servizio, il relativo certificato e la chiave privata. Questo proxy è anche denominato proxy di inoltro TLS o decrittografia in uscita.
Il diagramma Tipi di decrittografia TLS
NSX illustra in che modo il traffico viene gestito dai tipi di decrittografia interna ed esterna di TLS.
Il diagramma e la tabella Come funziona la decrittografia esterna spiegano come funziona la decrittografia esterna TLS
NSX.
Callout | Workflow |
---|---|
1 | SNI hello del client TLS corrisponde al profilo contesto del criterio di Ispezione TLS. |
2 | NSX intercetta la sessione TLS dal client e avvia una nuova sessione nel server previsto. |
3 | NSX applica la versione e la crittografia TLS (configurabile). |
4 | Il server risponde al client con un certificato TLS |
5 | NSX convalida il certificato del server utilizzando il bundle CA attendibile, genera dinamicamente un certificato CA proxy e lo presenta al client. |
Il diagramma e la tabella Come funziona la decrittografia interna spiegano come funziona la decrittografia interna TLS NSX.
Callout | Workflow |
---|---|
1 | SNI hello del client TLS corrisponde al profilo contesto del criterio di ispezione TLS configurato per il dominio interno. |
2 | NSX intercetta la sessione TLS dal client e avvia una nuova sessione nel server previsto. |
3 | NSX applica la versione o la crittografia TLS (configurabile). |
4 | Il server risponde con il certificato come parte dell'handshake TLS (convalida facoltativa). |
5 | NSX presenta il certificato del server, caricato come parte della configurazione, al client. |