SSLの実装と資格情報のプロビジョニング

Deep Security Agentは、コンピュータオブジェクトが双方向モードで動作するように設定されている場合、Deep Security Managerへの通信を開始するか、マネージャから連絡を受けることがあります。Deep Security Managerは、すべてのエージェントおよびアプライアンスへの接続を同様に扱います。エージェントがアクティベートされていない場合、限られたインタラクションのみが可能です。エージェントがアクティベートされている場合 (管理者によるか、エージェント起動型アクティベーション機能を介して)、完全なインタラクションが有効になります。Deep Security Managerは、TCP接続を形成する際にクライアントであったかどうかに関わらず、すべての場合においてHTTPクライアントとして機能します。エージェントおよびアプライアンスは、データを要求したり、操作を自ら開始したりすることはできません。マネージャは、イベントやステータスなどの情報を要求し、操作を呼び出したり、エージェントに設定をプッシュしたりします。このセキュリティドメインは厳密に管理されており、エージェントおよびアプライアンスがDeep Security Managerやそれが稼働しているコンピュータにアクセスすることはできません。

AgentとManagerの両方で異なる2つのセキュリティコンテンツを使用して、HTTP要求の安全なチャネルを確立します。

1. 有効化の前に、Agentはまずブートストラップ証明書を受け入れてSSLまたはTLSチャネルを確立します。
2. その認証が完了すると、今度は、接続を開始するための相互認証が必要になります。この相互認証を行うために、Managerの証明書がAgentに送信され、Agentの証明書がManagerに送信されます。エージェントは、権限が付与されたアクセスが許可される前に、証明書がDeep Security Managerであることを検証します。

安全なチャネルの確立後は、AgentはHTTP通信のサーバとして機能します。Managerへのアクセスは制限され、要求に対する応答のみが可能です。この安全なチャネルにより、認証性、暗号化による機密性、および整合性が確保されます。相互認証を使用することで、第三者によるSSL通信チャネルの不正なプロキシを防ぎ、中間者 (MiTM) 攻撃から保護することができます。ストリーム内の内部コンテンツにはGZIPが使用され、設定はPKCS #7でさらに暗号化されます。

Deep Security製品間の通信に対するSSL/TLSの復号化は推奨されません。すべてのデバイスやミドルウェアはTLSパススルー用に設定する必要があります。例えば、ファイアウォールがSSL検査を行う場合、通信を復号化してから再暗号化し、その過程で証明書を変更します。この変更により、提供された元の証明書と異なるものになります。その結果、Deep Security AgentからDeep Security Managerに通信が届くと、変更された証明書は許可されていないと見なされます。