TLS 검사은 암호화된 TLS 채널을 통해 네트워크에서 고급 위협을 감지하고 방지합니다. 이 항목에는 TLS 검사 기능과 연결된 개념이 포함되어 있습니다.
TLS 프로토콜
이 항목에서는 TLS 프로토콜 핸드셰이크가 클라이언트와 서버 간에 암호화된 채널을 설정하는 방법에 대해 설명합니다. 다음 TLS 프로토콜 그림은 암호화된 채널 구성과 관련된 다양한 단계를 제공합니다.
TLS 프로토콜을 요약하려면:
- TLS는 클라이언트와 서버 간에 설정된 TCP 세션을 통해 TLS 세션을 시작합니다(즉, 3방향 핸드셰이크).
- 클라이언트는 지원되는 TLS 버전 및 암호와 SNI(Server Name Indication) 확장을 포함하는 Client Hello를 전송합니다. TLS Client Hello의 SNI는 TLS 검사에서 내부, 외부 또는 바이패스 암호 해독 프로파일을 사용하기 위해 컨텍스트 프로파일을 사용하여 트래픽을 분류하는 데 사용합니다.
- 서버는 인증 및 확인을 위한 서버 인증서와 클라이언트에서 제안된 버전 및 암호를 포함하는 Server Hello로 응답합니다.
- 클라이언트는 인증서의 유효성을 검사하고 최종 버전과 암호를 확인하고 나면 대칭 세션 키를 생성하여 서버로 보냅니다.
- 암호화된 TLS 채널을 통해 애플리케이션 데이터를 교환하는 보안 TLS 터널을 시작하기 위해 서버는 세션 키의 유효성을 검사하고 완료된 메시지를 전송합니다.
기본적으로 TLS 프로토콜은 X.509 인증서를 사용하여 클라이언트에 대한 서버 ID만 증명하며 서버에 대한 클라이언트 인증은 애플리케이션 계층에 남아 있습니다.
TLS 암호 해독 유형
TLS 검사 기능을 사용하면 사용자가 암호를 해독하거나 암호 해독을 우회하는 정책을 정의할 수 있습니다. TLS 검사 기능은 다음 두 가지 유형의 암호 해독을 허용합니다.
- 내부 TLS 암호 해독 - 서비스, 인증서 및 개인 키를 소유한 엔터프라이즈 내부 서비스로 이동하는 트래픽에 해당합니다. 이것을 TLS 역방향 프록시 또는 인바운드 암호 해독이라고도 합니다.
- 외부 TLS 암호 해독 - 엔터프라이즈가 서비스, 인증서 및 개인 키를 소유하지 않는 외부 서비스(인터넷)로 이동하는 트래픽에 해당합니다. 이것을 TLS 정방향 프록시 또는 아웃바운드 암호 해독이라고도 합니다.
다음 다이어그램은 TLS 내부 및 외부 암호 해독 유형에 의해 트래픽이 처리되는 방식을 나타냅니다.
다음 다이어그램과 표에서는 NSX TLS 외부 암호 해독이 NSX에서 작동하는 방식을 설명합니다.
설명선 | 워크플로 |
---|---|
1 | TLS client hello SNI는 TLS 검사 정책 컨텍스트 프로파일과 일치합니다. |
2 | NSX는 클라이언트에서 TLS 세션을 가로채서 의도한 서버에 대한 새 세션을 시작합니다. |
3 | NSX는 TLS 버전 및 암호를 적용합니다(구성할 수 있음). |
4 | 서버가 TLS 인증서를 사용하여 클라이언트에 응답합니다. |
5 | NSX는 신뢰할 수 있는 CA 번들을 사용하여 서버 인증서의 유효성을 검사하고 동적으로 프록시 CA 인증서를 생성하여 클라이언트에 제공합니다. |
다음 다이어그램과 표에서는 NSX TLS 내부 암호 해독이 NSX에서 작동하는 방식을 설명합니다.
설명선 | 워크플로 |
---|---|
1 | TLS client hello SNI는 내부 도메인에 대해 구성된 TLS 검사 정책 컨텍스트 프로파일과 일치합니다. |
2 | NSX는 클라이언트에서 TLS 세션을 가로채서 의도한 서버에 대한 새 세션을 시작합니다. |
3 | NSX는 TLS 버전/암호를 적용합니다(구성 가능). |
4 | 서버가 TLS 핸드셰이크(선택 사항: 유효성 검사)의 일부로 인증서로 응답합니다. |
5 | NSX는 구성의 일부로 업로드된 서버의 인증서를 클라이언트에 제공합니다. |