Blog
/
Illumio Produkte

Wenig bekannte Funktionen von Illumio ASP — Policy Compute Engine Certificate Checks

Illumio Editorial
,
July 23, 2020
23 min. Lesedauer

In dieser kurzen Serie wird das Produktmanagementteam von Illumio die weniger bekannten (aber nicht weniger leistungsstarken) Funktionen von hervorheben Illumio ASP.

Transport Layer Security (TLS) -Protokoll ist ein kryptografisches Protokoll zur Sicherung der Kommunikation über Computernetzwerke unter Verwendung von Public-Key-Zertifikaten. Das gängigste Format für Public-Key-Zertifikate ist X.509, beschrieben in RFC 5280. X.509-Zertifikate sind komplexe kryptografische Dokumente mit Optionen für verschiedene Verwendungszwecke wie Authentifizierung, Verschlüsselung, Vertrauen usw., wobei branchenweit bewährte Verfahren eingehalten werden. Illumio ASP Die Kommunikation ist mit TLS gesichert.

Um die Kommunikation in Illumio ASP abzusichern, müssen im Zertifikat bestimmte Optionen mit bestimmten Bereitstellungskriterien vorhanden sein, und die Zertifikate müssen auf dem Richtlinie Compute Engine (PCE), das „Gehirn“ von Illumio ASP, das Transparenz und Richtlinienmanagement zentralisiert. Dies sind zwar übliche Kriterien für Zertifikate, sie können jedoch aufwändig sein und die Aufmerksamkeit des Benutzers auf Details erfordern.

In diesem Blogbeitrag werde ich die Bereitstellungskriterien für Illumio PCE-Zertifikate und eine wenig bekannte Funktion für Zertifikatsprüfungen beschreiben.

TLS-Protokoll und Zertifikate

TLS wird zur Sicherung der folgenden Kommunikationssitzungen verwendet:

  • Benutzerzugriff auf die PCE-Webkonsole und die REST-API über das HTTPS-Protokoll (HTTP over TLS).
  • Kommunikation zwischen PCE und VENs mit REST-API über HTTPS und Event Service, einem benutzerdefinierten Protokoll, das TLS über TCP verwendet.
  • Kommunikation zwischen PCE-Diensten auf verschiedenen PCE-Knoten in einem Cluster mit mehreren Knoten, z. B. Clusterverwaltung und Diensterkennung.

Für TLS muss während der Installation ein X.509-Serverzertifikat auf jedem PCE-Knoten installiert werden. Wenn ein Client (z. B. der VEN) eine TLS-Sitzung mit dem PCE öffnet, präsentiert das PCE das X.509-Serverzertifikat, um die Kommunikation mit dem Client abzusichern. Während der Installation wird das Serverzertifikat als Teil eines Zertifikatspakets auf das PCE hochgeladen, das das Serverzertifikat und eine Reihe von CA-Zertifikaten (Intermediate oder Root) enthält, um die Vertrauenskette zurück zu einer Root-CA aufzubauen.

X.509-Zertifikate werden in der Regel von einer öffentlichen Zertifizierungsstelle (CA) wie Digicert, Verisign, GoDaddy und LetsEncrypt ausgestellt. Darüber hinaus können Kunden Zertifikate verwenden, die von ihren eigenen privaten Zertifizierungsstellen (interne CA) ausgestellt wurden, oder selbstsignierte Zertifikate verwenden. Unabhängig davon, wie ein Zertifikat ausgestellt wird, muss der Client in der Lage sein, die Vertrauenskette für dieses Zertifikat bis zur Root-CA zu überprüfen. Andernfalls schlägt der TLS-Handshake fehl und es kann kein sicherer Kommunikationskanal eingerichtet werden.

PCE-Zertifikatsprüfung

Bei der ersten Bereitstellung des PCE muss der Benutzer in der Regel die Zertifikate validieren, um sicherzustellen, dass die vielfältigen und komplizierten Anforderungen erfüllt werden. Illumio PCE wird mit einem Tool zur Zertifikatsprüfung ausgeliefert, das Benutzer dabei unterstützt, die Überprüfung von Zertifikaten anhand der spezifischen Bereitstellungskriterien zu automatisieren.

Das Zertifikatspaket für das Illumio PCE muss die folgenden Kriterien erfüllen:

  • Muss PEM-kodierte Zertifikate enthalten.
  • Zertifikate werden mit einem akzeptablen Signaturalgorithmus signiert.
  • Das Paket muss alle CA-Zertifikate (Intermediate und/oder Root) enthalten, die für den Aufbau der Vertrauenskette zurück zur Root-CA erforderlich sind. Wenn das Zertifikat von einer privaten Zertifizierungsstelle generiert wurde, muss das Paket alle Zertifikate in der Vertrauenskette bis hin zur Stammzertifizierungsstelle und alle Zwischenzertifikate der Zertifizierungsstelle enthalten.
  • Die Serverzertifizierung muss das erste Zertifikat im Paket sein.
  • Alle Zertifikate im Paket müssen für das aktuelle Datum gültig sein.
  • Das Zertifikat muss sowohl in den Feldern Subject als auch Subject Alternative Name (SAN) mit dem PCE-FQDN übereinstimmen.
  • Das Zertifikat muss sowohl die Server- als auch die Client-Authentifizierung unterstützen.

Ebenso muss der private Schlüssel, der dem X.509-Zertifikat entspricht, auf jedem PCE-Knoten mit den folgenden Kriterien installiert werden:

  • Der private Schlüssel muss PEM-kodiert sein.
  • Die Datei darf nicht auf andere Weise codiert werden, z. B. DER, PKCS7/P7B, PKCS8 oder PKCS12/PFX.
  • Die Datei darf nicht passwortgeschützt sein.

Im Laufe der Zeit hat Illumio festgestellt, dass die PCE-Implementierung in Unternehmen bei der Erstellung und Bereitstellung von Zertifikaten vor zahlreichen Herausforderungen steht.

Beispielsweise werden die Zertifikate möglicherweise nicht für den PCE-FQDN ausgestellt; oder die Hostnamen der mehreren Knoten sind nicht korrekt im SAN-Feld enthalten; oder die richtigen Optionen sind nicht im Feld „Erweiterte Schlüsselverwendung“ der Zertifikate enthalten. Ebenso werden die Zertifikate während des Installationsvorgangs möglicherweise ohne die richtigen Berechtigungen für die Dateien oder Verzeichnisse installiert, oder es kann vorkommen, dass einige Teile der Vertrauenskette bei der Installation übersehen werden.

Die Herausforderungen sind dem Erstinstallationsprozess vorbehalten und können darüber hinaus reichen. Wenn das PCE von einem Cluster mit 4 Knoten auf einen Cluster mit 6 Knoten skaliert wird, müssen die Zertifikate aktualisiert werden, sodass der FQDN des neuen Knotens in das SAN-Feld aufgenommen wird. Um den manuellen Aufwand bei der Erstellung von Zertifikaten zu reduzieren, bietet Illumio ein administratives Befehlszeilentool namens „illumio-pce-env“, mit dem Zertifikate automatisch überprüft werden können.

Dieses Tool bietet mehrere Optionen zur Validierung von Zertifikaten für eine Vielzahl von Anwendungsfällen. Einige davon sind:

  1. Führen Sie den folgenden Befehl aus, um das TLS-Zertifikat mit grundlegenden Tests, einschließlich der Vertrauenskette und anderer Aspekte, zu validieren:
  2. illumio-pce-env setup --list
  4. Die angegebene Option „--list“ überprüft Ihre Konfiguration und Zertifikate und weist auf mögliche Probleme hin, indem der Rückgabecode gesetzt wird. Dies ist eine schnelle Methode, um nach Problemen zu suchen. Sie kann als Teil von Chef-, Ansible- oder anderen Installationsskripten aufgerufen werden.
  6. Führen Sie den folgenden Befehl aus, um das TLS-Zertifikat mit grundlegenden Tests, einschließlich der Vertrauenskette und anderer Aspekte, zu validieren:
  7. illumio-pce-env setup —list —test 5
  9. Wenn der vorherige Befehl fehlschlägt, möchte ein Administrator möglicherweise genau herausfinden, was schief gelaufen ist. Um dabei zu helfen, ist es möglich, mit der Option --test ein Argument für die Ausführlichkeitsstufe — 1 (mindestens) bis 5 (am meisten) — anzugeben. Bei Verwendung der Ausführlichkeitsstufe 5 zeigt der Befehl bei jedem Schritt der Zertifikatsvalidierung detaillierte Ergebnisse an, einschließlich Informationen zu den ausgeführten Tests und den Ergebnissen der einzelnen Tests. Dies hilft bei der Diagnose des genauen Problems mit den Zertifikaten oder der Vertrauenskette.
  11. Führen Sie den folgenden Befehl aus, um Ihre Zertifikate mit alternativen Domainnamen zu validieren:
  12. illumio-pce-env setup --list — test 5: some.alternative.hostanddomainname
  14. Falls sich der FQDN-Plan, der für den PCE in der Produktion verwendet werden soll, von der Testbereitstellung unterscheidet oder wenn ein PCE von einem Cluster mit 4 Knoten auf einen Cluster mit 6 Knoten erweitert wird, muss das Zertifikat überprüft werden, ob das SAN-Feld die richtigen Hostnamen enthält. Das SAN-Feld erlaubt die Verwendung von Platzhaltern, was die manuelle Bestätigung gültiger Hostnamen etwas schwierig macht. Diese Syntax vergleicht das Zertifikat und die Kette mit dem angegebenen some.alternative.hostandDomainName.
  16. Führen Sie den folgenden Befehl aus, um Ihre Zertifikate mit einem Ende-zu-Ende-Test unter Verwendung der '+'-Syntax zu validieren:
  17. illumio-pce-env setup --list --test 5+
  19. Hier lautet das zu testende Argument „5+“. Manchmal reichen die statischen Tests eines Zertifikats möglicherweise nicht aus, und ein Administrator möchte das System möglicherweise mit einem vollständigen Ende-zu-Ende-Test des Zertifikats mit den TLS-Bibliotheken des Betriebssystems validieren. Dies emuliert die tatsächliche Laufzeitnutzung des Zertifikats. Die '+'-Syntax erstellt einen Loopback-OpenSSL-Server, der auf Port 4433 läuft, und versucht, den Befehl curl zu verwenden, um eine TLS-Verbindung herzustellen.
  21. Führen Sie den folgenden Befehl aus, um Ihre Zertifikate zu validieren, bevor Sie sie an Ihren geplanten Produktionsstandort kopieren:
  22. illumio-pce-env setup --batch --list\ email=required @emailaddress node=value\ cert=/path/to/cert\ pkey=/path/to/private_key\ trust=/path/to/certificate_chain\ --test 5
  24. Wenn ein Administrator das Zertifikat überprüfen möchte, ohne es tatsächlich zu installieren, gibt es eine Syntax, die dies zulässt. Dies würde verwendet werden, wenn ein neues Zertifikat bereitgestellt wird und der Administrator überprüfen möchte, ob es die PCE-Anforderungen erfüllt.

Eine vollständige Liste der vom Tool illumio-pce-env angezeigten Meldungen sowie eine umfassende Liste potenzieller Fehlermeldungen finden Sie in der Illumio PCE-Dokumentation.

Zusammenfassend lässt sich sagen, dass die X.509-Zertifikate, die zur Sicherung der Kommunikation mit TLS verwendet werden, unterschiedliche und komplizierte Anforderungen haben und die Validierung für den Administrator mühsam sein kann. Illumio ASP bietet ein Befehlszeilentool mit einer Vielzahl von Optionen zur Validierung von Zertifikaten für unterschiedliche Anforderungen — von einfachen Tests über vollständige End-to-End-Tests bis hin zu genaueren und präziseren Tests vor der Bereitstellung.

Ich hoffe, dieser Blogbeitrag hat dazu beigetragen, einen Einblick in diese wenig bekannte, nützliche Funktion des Illumio PCE zu geben. Bei weiteren Fragen kontaktieren Sie uns bitte unter [email protected] und vergessen Sie nicht, sich die anderen Beiträge aus dieser Serie anzusehen, die sich mit folgenden Themen befassen:

Verwandte Themen

Kern

In Verbindung stehende Artikel

Illumio ist für Black Hat 2022 in Las Vegas
Illumio Produkte

Illumio ist für Black Hat 2022 in Las Vegas

Schauen Sie am Stand #984 vorbei oder besuchen Sie die virtuelle Plattform, um Illumio auf der Black Hat 2022 zu sehen.

Lesen Sie mehr
3 neue Möglichkeiten zur Vereinfachung der Zero-Trust-Segmentierung mit Illumio
Illumio Produkte

3 neue Möglichkeiten zur Vereinfachung der Zero-Trust-Segmentierung mit Illumio

Erfahren Sie mehr über die neuen Innovationen von Illumio, die Ihnen helfen werden, Ihre Zero-Trust-Segmentierung einfacher denn je einzusetzen.

Lesen Sie mehr
Illumio CloudSecure: Eindämmung von Cloud-Angriffen mit proaktiven Kontrollen der Segmentierungsrichtlinien
Illumio Produkte

Illumio CloudSecure: Eindämmung von Cloud-Angriffen mit proaktiven Kontrollen der Segmentierungsrichtlinien

Erfahren Sie, wie die Zero-Trust-Segmentierung mit Illumio Ihnen helfen kann, proaktiv Richtlinien festzulegen, die Angriffe in der Cloud stoppen und eindämmen.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr