인증서 및 키

인증서 및 키

TLS 인증서 및 키는 프록시 시나리오에서 Multicloud Defense 게이트웨이에 의해 사용됩니다. 인그레스(리버스 프록시) 사용자는 Multicloud Defense 게이트웨이을(를) 통해 애플리케이션에 액세스하며 서비스에 대해 구성된 인증서를 제공합니다. 이그레스(포워드 프록시)의 경우 외부 호스트의 인증서가 가장되고 정의된 인증서로 서명됩니다. 게이트웨이 인스턴스는 자체적으로 인증 기관 역할을 해야 합니다. 이는 클라이언트가 연결을 시작하는 모든 외부 웹사이트에 대해 로컬에서 생성된 사칭 인증서를 서명하기 위해 자체 서명된 인증서와 연관된 개인 키를 반드시 보유해야 함을 의미합니다. 위조 서버 인증서는 표면상 실제 외부 서버의 인증서와 유사하며, 클라이언트가 특정 웹사이트에 연결하기 위해 TLS Hello 요청을 발행할 때 즉석에서 생성됩니다.

인증서 본문을 Multicloud Defense 컨트롤러로 가져옵니다. 개인 키는 다음과 같은 방식으로 제공할 수 있습니다.

  • 개인 키 콘텐츠를 가져옵니다.

  • AWS Secrets Manager에 저장하고 암호 이름을 제공합니다.

  • AWS KMS에 저장하고 암호 텍스트 콘텐츠를 제공합니다.

  • GCP Secrets Manager에 저장하고 암호 이름을 제공합니다.

  • Azure Key Vault and secret에 저장하고 키 저장소 및 암호 이름을 입력합니다.

테스트 목적으로 Multicloud Defense 컨트롤러에서 자체 서명 인증서를 생성할 수도 있습니다. 이는 로컬 파일 시스템에서 개인 키 콘텐츠를 가져오는 것과 유사합니다.


Note

생성된 인증서는 편집할 수 없습니다. 기존 인증서를 교체해야 하는 경우, 새 인증서를 생성하고 새 인증서를 참조하도록 암호 해독 프로파일을 편집한 다음 기존 인증서를 삭제해야 합니다.

인증서 및 개인 키를 가져올 때 Multicloud Defense 컨트롤러/UI는 불일치가 있는 경우 이를 탐지할 수 있습니다. 그러나 클라우드 통신 사업자 내에 개인 키가 저장되어 있는 다른 가져오기 방법을 사용하는 경우, Multicloud Defense 컨트롤러/UI는 불일치가 있는 경우 이를 탐지할 수 없습니다. 이는 클라우드 통신 사업자 내에서 개인 키를 비공개로 유지하기 위한 설계입니다. Multicloud Defense 게이트웨이에서 개인 키가 필요할 때 개인 키에 액세스하여 사용되며, 불일치가 발생하면 오류가 생성됩니다.

인증서 가져오기

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Method(방법)에 대한 프롬프트가 나타나면 Import your Certificate and Private Key(인증서 및 개인 키 가져오기)를 선택합니다.

Step 4

Certificate Body(인증서 본문)에 인증서 파일의 내용을 복사합니다. 여기에는 인증서 및 체인이 포함될 수 있습니다.

Step 5

Certificate Private Key(인증서 개인 키)에 있는 개인 키의 내용을 복사합니다.

Step 6

(선택 사항) 인증서와 체인이 다른 파일에 있는 경우 체인을 Certificate Chain(인증서 체인)으로 가져옵니다.

Step 7

Save(저장)를 클릭합니다.

AWS - KMS

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Method(방법)에서 Import AWS - KMS(AWS 가져오기 - KMS)를 선택합니다.

Step 4

클라우드 어카운트 및 지역을 선택합니다.

Step 5

Certificate Body(인증서 본문)에 인증서 파일의 내용을 복사합니다. 여기에는 인증서 및 체인이 포함될 수 있습니다.

Step 6

AWK KMS 암호화 암호 텍스트를 Private Key Cipher Text(프라이빗 키 암호 텍스트)에 복사합니다. AWS KMS 암호화된 암호 텍스트를 생성하려면 AWS KMS - 개인 키 암호화의 내용을 참조하십시오.

Step 7

Save(저장)를 클릭합니다.

AWS KMS - 개인 키 암호화

로컬 파일 privatekey.pem에 저장된 개인 키를 암호화하려면 다음 명령을 사용합니다. 


aws kms encrypt --key-id 12345678-1234-1234-1234-12345678900 \
    --plaintext fileb://privatekey.pem \
    --output text --query CiphertextBlob > encrypted-cipher-text.txt

AWS - KMS 옵션을 사용하는 동안 Multicloud Defense 컨트롤러에서 encrypted-cipher-text.txt의 내용을 복사하고 이를 에서 개인 키의 내용으로 제공합니다.

자세한 내용은 AWS KMS 암호화 도움말을 참조하십시오.

AWS - Secrets Manager

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Method(방법)에서 Import AWS - Secret(AWS 가져오기 - 암호)을 선택합니다.

Step 4

클라우드 어카운트 및 지역을 선택합니다.

Step 5

Certificate Body(인증서 본문)에 인증서 파일의 내용을 복사합니다. 여기에는 인증서 및 체인이 포함될 수 있습니다.

Step 6

개인 키가 저장된 Secret Name(비밀 이름)을 제공합니다. 개인 키 콘텐츠는 AWS Secrets Manager에서 Other type of Secrets(기타 유형의 비밀) > Plain Text(일반 텍스트)로 저장해야 합니다.

Step 7

Save(저장)를 클릭합니다.

Azure 키 저장소

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Method(방법)에서 Import Azure - Key Vault Secret(Azure 가져오기 - 키 저장소 암호)을 선택합니다.

Step 4

클라우드 어카운트 및 지역을 선택합니다.

Step 5

Certificate Body(인증서 본문)에 인증서 파일의 내용을 복사합니다. 여기에는 인증서 및 체인이 포함될 수 있습니다.

Step 6

Key Vault Name(키 저장소 이름) 및 개인 키가 저장된 암호 이름을 제공합니다.

Step 7

Save(저장)를 클릭합니다.

GCP - Secret Manager

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성) 클릭

Step 3

Method(방법)에서 Import GCP - Secret(가져오기 GCP - 암호)을 선택합니다.

Step 4

클라우드 어카운트를 선택합니다.

Step 5

암호 이름(전체 경로) 및 암호 버전을 제공합니다.

Step 6

Certificate Body(인증서 본문)에 인증서 파일의 내용을 복사합니다. 여기에는 인증서 및 체인이 포함될 수 있습니다.

Step 7

Save(저장)를 클릭합니다.

서버 인증서 검증

게이트웨이가 포워드 프록시로 작동할 경우에는 서버 인증서 검증이 트래픽 처리에 자동으로 포함됩니다. 트래픽을 처리하기 위해 지정된 서버 인증서 검증 작업이 필요하지는 않지만, 일반적인 보안을 향상시킬 수 있습니다. 기본적으로 서버 인증서 검증이 활성화되어 있지 않으며 유효하지 않은 서버 인증서가 있을 수 있는 서버로 이동하는 트래픽은 통과합니다. 서버 인증서 검증 작업을 활성화하여 허용해서는 안 되는 트래픽 또는 서버 인증서 검증 상태와 상관없이 신뢰해야 하는 특정 트래픽에 대한 규칙의 우선 순위를 지정합니다.


참고

이 검증 프로세스는 포워드 프록시 환경 및 해독이 활성화된 경우에만 적용됩니다.

일반 규칙 작업의 TLS 해독 프로파일에서 서버 인증서 검증 작업을 활성화하는 것이 좋습니다. TLS 해독 선택을 재정의해야 하는 경우 FQDN 서비스 개체를 수정하여 검증 작업을 활성화할 수 있습니다. 두 가지 방법으로 서버 인증서 검증을 포함하고 활성화할 수 있습니다.

TLS 암호 해독 프로파일의 서버 인증서 검증

TLS 암호 해독 프로파일 내에서 서버 인증서 검증을 위한 작업을 선택하는 경우, 이 암호 해독 프로파일을 사용하는 모든 규칙 집합에서 이 작업이 사용됩니다. 기본적으로 검증 작업은 서버 인증서의 유효 여부에 관계없이 모든 트래픽을 허용하도록 구성되며 Multicloud Defense은(는) HTTP 로그 내에 알림을 생성하지 않습니다.


참고

Log(로그)에 대한 검증 확인을 활성화한 경우 에서 로그를 찾습니다.

다음 절차를 사용하여 TLS 암호 해독 프로파일에서 서버 인증서 검증을 활성화합니다.

프로시저

단계 1

Multicloud Defense 컨트롤러에서 으로 이동합니다.

단계 2

서버 인증서 검증을 추가할 TLS 암호 해독 프로파일을 선택합니다. 프로파일이 준비되지 않았다면 여기에서 생성하십시오. 자세한 내용은 암호 해독 프로파일를 참조하십시오.

단계 3

암호 해독 프로파일을 편집합니다.

단계 4

Profile Properties(프로파일 속성) 섹션에서 Invalid Server Certificate Action(유효하지 않은 서버 인증서 작업) 드롭다운 목록을 확장합니다.

단계 5

다음 옵션 중 하나를 선택합니다.

  • Deny Log(거부 로그) - 이 옵션은 검증된 서버 인증서를 제공하지 않는 연결을 자동으로 삭제하고 인시던트를 로깅합니다.

  • Deny No Log(거부 로그 없음)- 이 옵션은 검증된 서버 인증서를 제공하지 않으며 인시던트를 로깅하지 않는 연결을 자동으로 삭제합니다.

  • Allow Log(허용 로그) - 이 옵션은 검증된 서버 인증서를 제공하지 않는 연결의 통과를 허용하고 인시던트를 로깅합니다.

  • Allow No Log(허용 로그 없음)- 이 옵션은 검증된 서버 인증서를 제공하지 않는 연결이 통과하도록 허용하며, 인시던트를 로깅하지 않습니다. 이것이 기본 작업 선택 사항입니다.

단계 6

Save(저장)를 클릭합니다.

다음에 수행할 작업

TLS 해독 프로파일이 전달 프록시 서비스 개체와 올바르게 연결되어 있는지 확인하십시오. 자세한 내용은 포워드 프록시 서비스 개체(이그레스/이스트-웨스트)를 참조하십시오.

TLS 암호 해독 프로파일이 서비스 개체에 포함되면 정책 내의 규칙 순서가 원하는 트래픽 처리 방법을 지원하는 순서로 지정되었는지 확인합니다.

FQDN 서비스 개체의 서버 인증서 검증

FQDN 서비스 개체 내 잘못된 서버 인증서 검증은 선택 사항입니다. 지정된 경우 TLS 해독 프로파일에 지정된 동작을 재정의합니다. 여기서 선택 항목을 지정하지 않으면 추가 작업이 없거나 재정의 작업이 수행되지 않습니다. FQDN 서비스 개체 내에서 유효하지 않은 서버 인증서 검증을 사용하여 특정 서버로 향하는 트래픽을 차단하거나 허용할 수 있습니다. 다른 방법으로는 TLS 암호 해독 프로파일에 의해 차단되거나 허용될 수 있습니다.

로그 검증 확인을 활성화하면 이러한 로그는 Investigate(검사) > Flow Analytics(플로우 분석) > HTTPS Logs(HTTPS 로그)에 위치합니다.

FQDN 서비스 개체에 서버 인증서 검증 작업을 포함하려면 다음 절차를 사용합니다.

프로시저

단계 1

Multicloud Defense 컨트롤러에서 로 이동합니다.

단계 2

수정할 FQDN 서비스 개체를 선택합니다.

단계 3

선택한 FQDN 서비스 개체를 편집합니다.

단계 4

규칙 집합에 포함된 FQDN 서비스 개체의 목록에서 Invalid Server Certificate Action(유효하지 않은 서버 인증서 작업) 드롭다운 메뉴를 확장하고 다음 옵션 중 하나를 선택합니다.

  • Deny Log(거부 로그) - 검증된 서버 인증서를 제공하지 않는 연결을 자동으로 삭제하고 인시던트를 로깅합니다.

  • Deny No Log(거부 로그 없음) - 검증된 서버 인증서를 제공하지 않으며 인시던트를 로깅하지 않는 연결을 자동으로 삭제합니다.

  • Allow Log(허용 로그) - 검증된 서버 인증서를 제공하지 않는 연결의 통과를 허용하고 인시던트를 로깅합니다.

  • Allow No Log(허용 로그 없음) - 서버 인증서를 제공하지 않는 연결이 통과하도록 허용하며, 인시던트를 로깅하지 않습니다.

단계 5

Save(저장)를 클릭합니다.

다음에 수행할 작업

FQDN 서비스 개체가 규칙 또는 규칙 집합과 올바르게 연결되어 있는지 확인하십시오. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

FQDN 서비스 개체가 정책에 설정된 규칙 또는 규칙과 성공적으로 연결되면 정책의 규칙 순서가 원하는 트래픽 처리 방법을 지원하는 순서로 지정되어 있는지 확인합니다.

사용자 지정 루트 CA용 인증서

사용자 지정 루트 CA(인증 기관) 저장소는 운영 체제 또는 네트워크 디바이스와 같은 컴퓨팅 환경에서 사용자 지정 루트 CA를 저장하는 데 사용되는 저장소 또는 스토리지 위치입니다. 이를 통해 조직은 운영 체제 또는 브라우저에서 제공하는 표준 CA 저장소에 기본적으로 포함되지 않는 자체 루트 인증서 또는 타사 루트 인증서를 추가할 수 있습니다.

테넌 에서 해독 프로파일이 활성화된 경우 Multicloud Defense 컨트롤러가 자동으로 사용자 지정 루트 CA에 대한 인증서 검증을 시작합니다. 해독 프로파일은 이 프로파일에 의존하여 보안 트래픽 검사를 활성화하므로 네트워크 전체에서 세심한 관리와 신뢰 설정이 필요합니다.