Características poco conocidas de Illumio ASP: comprobaciones de certificados de Policy Compute Engine

En esta serie rápida, el equipo de administración de productos de Illumio destacará las características menos conocidas (pero no menos poderosas) de Illumio ASP.

Protocolo de seguridad de la capa de transporte (TLS) es un protocolo criptográfico para asegurar la comunicación a través de redes de computadoras, utilizando certificados de clave pública. El formato más común para los certificados de clave pública es X.509, descrito en RFC 5280. Los certificados X.509 son documentos criptográficos complejos con opciones para diversos usos como autenticación, cifrado, confianza, etc. Siguiendo las mejores prácticas de la industria, Illumio ASP la comunicación se asegura mediante TLS.

Para asegurar la comunicación en Illumio ASP, ciertas opciones deben estar presentes en el certificado con criterios de implementación específicos, y los certificados deben estar instalados en el Motor de computación de políticas (PCE), el “cerebro” de Illumio ASP que centraliza la visibilidad y la gestión de políticas. Si bien estos son criterios comunes para los certificados, pueden ser onerosos y requerir atención a los detalles por parte del usuario.

En esta entrada de blog, describiré los criterios de implementación para los certificados Illumio PCE y una característica poco conocida para las comprobaciones de certificados.

Protocolo TLS y Certificados

TLS se utiliza para asegurar las siguientes sesiones de comunicación:

• Acceso del usuario a la consola web PCE y a la API REST a través del protocolo HTTPS (HTTP sobre TLS).
• Comunicación entre el PCE y los VEN, con API REST sobre HTTPS y Event Service, un protocolo personalizado que utiliza TLS sobre TCP.
• Comunicación entre servicios PCE en diferentes nodos PCE en un cluster de varios nodos, como administración de clústeres y descubrimiento de servicios.

Para TLS, se debe instalar un certificado de servidor X.509 en cada nodo PCE durante la instalación. Cuando cualquier cliente (por ejemplo, el VEN) abre una sesión TLS al PCE, el PCE presenta el certificado de servidor X.509 para asegurar la comunicación con el cliente. Durante la instalación, el certificado de servidor se carga en el PCE como parte de un paquete de certificados, que contiene el certificado de servidor y un conjunto de certificados de CA (Intermedio o Root) para establecer la cadena de confianza de vuelta a una CA raíz.

Los certificados X.509 generalmente son emitidos por una Autoridad de Certificación (CA) pública como Digicert, Verisign, GoDaddy y LetsEncrypt. Además, los clientes pueden usar certificados emitidos por sus propias CA privadas (CA internas) o usar certificados autofirmados. Independientemente de cómo se emita un certificado, el cliente debe poder validar la cadena de confianza de nuevo a la CA raíz para este certificado; de lo contrario, el protocolo de enlace TLS falla y no se puede establecer un canal de comunicación seguro.

Comprobación del certificado PCE

Durante la implementación inicial del PCE, el usuario generalmente tiene que validar los certificados para asegurar que se cumplan los variados y complicados requerimientos. Illumio PCE viene con una herramienta de Verificación de Certificados para ayudar a los usuarios mediante la automatización de la comprobación de certificados en función de los criterios de implementación específicos.

El paquete de certificados para Illumio PCE debe cumplir con los siguientes criterios:

• Debe contener certificados codificados en PEM.
• Los certificados se firman utilizando un algoritmo de firma aceptable.
• El paquete debe incluir todos los certificados de CA (Intermedio y/o Root) necesarios para establecer la cadena de confianza de vuelta a la CA raíz. Si el certificado es generado por una CA privada, el paquete debe incluir todos los certificados de la cadena de confianza de vuelta a la CA raíz y cualquier certificado de CA intermedia.
• La certificación del servidor debe ser el primer certificado del paquete.
• Todos los certificados del paquete deben ser válidos para la fecha actual.
• El certificado debe coincidir con el FQDN de PCE, tanto en los campos Asunto como Nombre alternativo del sujeto (SAN).
• El certificado debe admitir tanto la autenticación del servidor como del cliente.

Del mismo modo, la clave privada que coincida con el certificado X.509 debe instalarse en cada nodo PCE con los siguientes criterios:

• La clave privada debe estar codificada en PEM.
• El archivo no debe codificarse de otras maneras, por ejemplo DER, PKCS7/P7B, PKCS8 o PKCS12/PFX.
• El archivo no debe estar protegido con contraseña.

Con el tiempo, Illumio ha descubierto que la implementación de PCE en las empresas enfrenta múltiples desafíos cuando se trata de creación e implementación de certificados.

Por ejemplo, es posible que los certificados no se emitan para el FQDN de PCE; o que los nombres de host de varios nodos no se incluyan correctamente en el campo SAN; o el conjunto correcto de opciones no se proporciona en el campo Uso extendido de claves de los certificados. Del mismo modo, durante el proceso de instalación, los certificados pueden instalarse sin los permisos correctos para los archivos o directorios, o algunas partes de la cadena de confianza pueden perderse durante la instalación.

Los desafíos están reservados para el proceso de instalación inicial y pueden extenderse más allá. Si el PCE se escala de un cluster de 4 nodos a un cluster de 6 nodos, los certificados deberán actualizarse para incluir el FQDN del nuevo nodo en el campo SAN. Para reducir el esfuerzo manual con certificados, Illumio proporciona una herramienta administrativa de línea de comandos llamada “illumio-pce-env” para verificar certificados automáticamente.

Esta herramienta proporciona varias opciones para validar certificados para una variedad de casos de uso, algunos de los cuales son:

1. Para validar el certificado TLS con pruebas básicas, incluyendo la cadena de confianza y otros aspectos, ejecute el siguiente comando:
2. configuración de illumio-pce-env --list
4. La opción de especificación “--list” comprueba su configuración y certificados e indica posibles problemas configurando el código de retorno. Esta es una manera rápida de verificar si hay problemas y se puede invocar como parte de Chef, Ansible u otros scripts de instalación.
6. Para validar el certificado TLS con pruebas básicas, incluyendo la cadena de confianza y otros aspectos, ejecute el siguiente comando:
7. configuración illumio-pce-env —lista —prueba 5
9. Si el comando anterior falla, es posible que un administrador quiera encontrar exactamente lo que salió mal. Para ayudar con esto, es posible especificar un argumento de nivel de verbosidad —1 (menos) a 5 (más) —con la opción --test. Usando un nivel de verbosidad de 5, el comando muestra los resultados detallados con cada paso de su validación de certificado, incluyendo información sobre las pruebas que se ejecutaron y los resultados de cada prueba. Esto ayuda a diagnosticar el problema exacto con los certificados o la cadena de confianza.
11. Para validar sus certificados con nombres de dominio alternativos, ejecute el siguiente comando:
12. illumio-pce-env setup --list —test 5: some.alternative.host y nombre de dominio
14. En el caso de que el plan FQDN que se utilizará para el PCE en producción sea diferente de la implementación de prueba o si un PCE se está expandiendo de un cluster de 4 nodos a un clúster de 6 nodos, será necesario verificar el certificado si el campo SAN incluye los nombres de host correctos. El campo SAN permite el uso de caracteres comodín, lo que hace que sea un poco complicado confirmar manualmente nombres de host válidos. Esta sintaxis comprueba el certificado y la cadena con el some.Alternative.HostandDomainName especificado.
16. Para validar sus certificados con una prueba end-to-end utilizando la sintaxis '+', ejecute el siguiente comando:
17. configuración de illumio-pce-env --list --test 5+
19. Aquí, el argumento a probar es “5+”. A veces, las pruebas estáticas de un certificado pueden no ser suficientes, y un administrador puede querer validar el sistema con una prueba completa de extremo a extremo del certificado con las bibliotecas TLS del sistema operativo. Esto emula el uso real del certificado en tiempo de ejecución. La sintaxis '+' crea un servidor OpenSSL de loopback que se ejecuta en el puerto 4433 e intenta usar el comando curl para establecer una conexión TLS.
21. Para validar sus certificados antes de copiarlos en su ubicación de producción planificada, ejecute el siguiente comando:
22. configuración illumio-pce-env --batch --list\ email=requerido @emailaddress node=value\ cert=/ruta/to/cert\ pkey=/ruta/to/private_key\ trust=/ruta/a/certificate_chain\ --test 5
24. Si un administrador quiere verificar el certificado sin instalarlo realmente, hay una sintaxis que lo permite. Esto se usaría si se implementa un nuevo certificado y el administrador desea verificar si cumple con los requerimientos de PCE.

Consulte la documentación de Illumio PCE para obtener una lista completa de los mensajes mostrados por la herramienta illumio-pce-env, así como una lista completa de posibles mensajes de error.

En resumen, los certificados X.509 utilizados para asegurar la comunicación con TLS tienen requerimientos variados y complicados y pueden ser onerosos de validar para el administrador. Illumio ASP proporciona una herramienta de línea de comandos con un amplio conjunto de opciones para validar certificados para diferentes necesidades, desde pruebas básicas hasta pruebas completas end-to-end y pruebas de manera más precisa antes de la implementación.

Espero que esta entrada del blog haya ayudado a proporcionar información sobre esta característica poco conocida y útil del PCE de Illumio. Para más preguntas, por favor, póngase en contacto con nosotros en [email protected] y no olvide revisar las otras publicaciones de esta serie, que cubren:

• Filtro de Deficiencia de Visión del Color
• Exportación de registros a buckets de Amazon S3
• Filtros de difusión y multidifusión