ブログ
/
イルミオ製品

Illumio ASPのほとんど知られていない機能 — ポリシーコンピュートエンジン証明書チェック

イルミオエディトリアル
July 23, 2020
23 最小読取り

このクイックシリーズでは、イルミオの製品管理チームがあまり知られていない(しかしそれほど強力ではない)機能に焦点を当てますイルミオ ASP

トランスポート層セキュリティ (TLS) プロトコル は、公開鍵証明書を利用して、コンピュータネットワーク上の通信を保護するための暗号化プロトコルです。公開鍵証明書の最も一般的な形式は X.509 で、これについてはで説明しています。 5280。X.509 証明書は、認証、暗号化、信頼など、さまざまな用途に使用できる複雑な暗号化文書です。業界のベストプラクティスに従い、 イルミオ ASP 通信は TLS を使用して保護されます。

Illumio ASP での通信を保護するには、特定の導入基準を満たす特定のオプションを証明書に含め、証明書を ASP にインストールする必要があります。 ポリシーコンピュートエンジン (PCE)、可視性とポリシー管理を一元化するIllumio ASPの「頭脳」。これらは証明書の一般的な基準ですが、面倒な場合があり、ユーザー側の細部への注意も必要になります。

このブログ記事では、Illumio PCE 証明書の導入基準と、あまり知られていない証明書チェックの機能について説明します。

TLS プロトコルと証明書

TLS は次の通信セッションのセキュリティ保護に使用されます。

  • HTTPS (HTTP over TLS) プロトコルを介した PCE ウェブコンソールと REST API へのユーザーアクセス。
  • HTTPS経由のREST APIとTCP経由のTLSを使用するカスタムプロトコルであるイベントサービスによるPCEとVEN間の通信。
  • マルチノードクラスタ内の異なる PCE ノード上の PCE サービス間の通信 (クラスタ管理やサービス検出など)。

TLS の場合、インストール時に X.509 サーバー証明書を各 PCE ノードにインストールする必要があります。いずれかのクライアント (VEN など) が PCE に TLS セッションを開くと、PCE はクライアントとの通信を保護するために X.509 サーバー証明書を提示します。インストール中、サーバー証明書は証明書バンドルの一部として PCE にアップロードされます。証明書バンドルの一部には、サーバー証明書と、ルート CA への信頼チェーンを確立するための一連の CA 証明書 (中間またはルート) が含まれています。

X.509 証明書は通常、デジサート、ベリサイン、GoDaddy、LetsEncrypt などの公的認証局 (CA) によって発行されます。さらに、お客様は各自のプライベート CA (内部 CA) が発行した証明書を使用することも、自己署名証明書を使用することもできます。証明書の発行方法にかかわらず、クライアントはこの証明書についてルート CA への信頼の連鎖を検証できなければなりません。そうしないと、TLS ハンドシェイクが失敗し、安全な通信チャネルを確立できません。

PCE 証明書チェック

PCE の初期導入時には、通常、ユーザーは証明書を検証して、多様で複雑な要件が満たされていることを確認する必要があります。Illumio PCE には証明書チェックツールが付属しており、特定の導入基準に対する証明書のチェックを自動化することでユーザーを支援します。

Illumio PCEの証明書パッケージは、次の基準を満たしている必要があります。

  • PEM でエンコードされた証明書が含まれている必要があります。
  • 証明書は、許容できる署名アルゴリズムを使用して署名されます。
  • パッケージには、ルートCAへの信頼チェーンを確立するために必要なすべてのCA証明書(中間および/またはルート)が含まれている必要があります。証明書がプライベート CA によって生成された場合、パッケージにはルート CA に戻る信頼チェーンのすべての証明書と中間 CA 証明書が含まれている必要があります。
  • サーバー証明書は、バンドルの最初の証明書である必要があります。
  • バンドルのすべての証明書は、現在の日付で有効である必要があります。
  • 証明書は、サブジェクトフィールドとサブジェクト代替名 (SAN) フィールドの両方で PCE FQDN と一致する必要があります。
  • 証明書はサーバー認証とクライアント認証の両方をサポートしている必要があります。

同様に、X.509証明書と一致する秘密鍵は、次の基準に従って各PCEノードにインストールする必要があります。

  • プライベートキーは PEM でエンコードする必要があります。
  • このファイルは、DER、PKCS7/P7B、PKCS8、PKCS12/PFXなど、他の方法でエンコードしてはなりません。
  • ファイルをパスワードで保護してはいけません。

時が経つにつれ、Illumioは、企業でのPCEの導入が証明書の作成と展開に関して複数の課題に直面していることを発見しました。

たとえば、証明書が PCE FQDN 用に発行されなかったり、複数のノードのホスト名が SAN フィールドに正しく含まれていなかったり、証明書の Extended Key Usage フィールドに正しいオプションセットが提供されなかったりすることがあります。同様に、インストール中に、ファイルやディレクトリに対する適切な権限がない状態で証明書がインストールされたり、インストール中にトラストチェーンの一部が失われたりすることがあります。

課題は初期インストールプロセスに限定され、それ以降も発生する可能性があります。PCE を 4 ノードクラスタから 6 ノードクラスタに拡張する場合、SAN フィールドに新しいノードの FQDN が含まれるように証明書を更新する必要があります。証明書に関する手作業を減らすため、Illumio は証明書を自動的にチェックする「illumio-pce-env」という管理コマンドラインツールを提供しています。

このツールには、次のようなさまざまなユースケースで証明書を検証するためのオプションがいくつか用意されています。

  1. 信頼の連鎖やその他の側面を含む基本的なテストで TLS 証明書を検証するには、次のコマンドを実行します。
  2. イルミオ-PCE-Env セットアップ--リスト
  4. 「--list」オプションを指定すると、設定と証明書がチェックされ、リターンコードを設定することで発生する可能性のある問題が示されます。これは問題の有無をすばやく確認する方法で、Chef、Ansible、またはその他のインストールスクリプトの一部として呼び出すことができます。
  6. 信頼の連鎖やその他の側面を含む基本的なテストで TLS 証明書を検証するには、次のコマンドを実行します。
  7. イルミオ-PCE-ENVセットアップ —リスト —テスト 5
  9. 前のコマンドが失敗した場合、管理者は何が悪かったのかを正確に突き止めたいと思うかもしれません。これを解決するには、--test オプションで冗長レベルの引数 (1 (最小) から 5 (最高)) を指定することができます。冗長レベルを 5 に設定すると、実行されたテストや各テストの結果に関する情報など、証明書検証の各ステップの詳細な結果が表示されます。これにより、証明書またはトラストチェーンに関する正確な問題を診断できます。
  11. 証明書を代替ドメイン名で検証するには、次のコマンドを実行します。
  12. illumio-pce-env setup--list —test 5: Some.Alternative.HostandDomainName
  14. 本番環境の PCE に使用する FQDN 計画がテスト展開と異なる場合、または PCE を 4 ノードクラスタから 6 ノードクラスタに拡張する場合は、SAN フィールドに正しいホスト名が含まれているかどうかを証明書で確認する必要があります。SAN フィールドではワイルドカードを使用できるため、有効なホスト名を手動で確認するのは少し面倒です。この構文では、証明書とチェーンが指定された some.Alternative.HostAndDomainName と照合されます。
  16. 「+」構文を使用したエンドツーエンドのテストで証明書を検証するには、次のコマンドを実行します。
  17. illumio-pce-env セットアップ--リスト--test 5+
  19. ここで、テストする引数は「5+」です。証明書の静的テストだけでは不十分な場合があり、管理者はオペレーティングシステムの TLS ライブラリを使用して証明書をエンドツーエンドで完全にテストしてシステムを検証したい場合があります。これは、証明書を実際に実行時に使用することをエミュレートしたものです。「+」構文は、ポート 4433 上で稼働するループバック OpenSSL サーバーを作成し、curl コマンドを使用して TLS 接続を確立しようとします。
  21. 証明書を運用予定の場所にコピーする前に証明書を検証するには、次のコマンドを実行します。
  22. illumio-pce-env setup--batch--list\ email=必須 @emailaddress node=value\ cert=/path/to/cert\ pkey=/path/to/private_key\ trust=/path/to/certificate_chain\--test 5
  24. 管理者が実際にインストールせずに証明書を確認したい場合、それを許可する構文があります。これは、新しい証明書が導入され、その証明書が PCE 要件を満たしているかどうかを管理者が確認したい場合に使用されます。

illumio-pce-env ツールによって表示されるメッセージの完全なリストと、潜在的なエラーメッセージの包括的なリストについては、Illumio PCE のマニュアルを参照してください。

要約すると、TLSとの通信を保護するために使用されるX.509証明書には、多様で複雑な要件があり、管理者が検証するのが面倒な場合があります。Illumio ASP には、基本的なテストから導入前のより正確で正確なテストまで、さまざまなニーズに合わせて証明書を検証するための豊富なオプションを備えたコマンドラインツールが用意されています。

このブログ記事が、Illumio PCEのこのあまり知られていない便利な機能についての洞察に役立つことを願っています。さらに質問がある場合は、[email protected] までご連絡ください。また、このシリーズの他の記事も忘れずにチェックしてください。内容は次のとおりです。

関連トピック

コア

関連記事

エンドポイントが後ろで話している
イルミオ製品

エンドポイントが後ろで話している

エンドポイントのセキュリティツールがラテラルムーブメントに対して常に安全であるとは限らない理由と、Illumio Endpoint がそのギャップを埋めるのにどのように役立つかをご覧ください。

もっと読む
アプリケーションオーナーをマイクロセグメンテーションのヒーローに
イルミオ製品

アプリケーションオーナーをマイクロセグメンテーションのヒーローに

イルミオの最新の製品、アプリオーナービューをご覧ください。

もっと読む
次のレベルのビジュアライゼーションとポリシー作成 — イルミネーション 2.0
イルミオ製品

次のレベルのビジュアライゼーションとポリシー作成 — イルミネーション 2.0

2014年、IllumioはIlluminationによるマイクロセグメンテーションのためのリアルタイムのアプリケーション依存関係マッピングと可視化を開拓しました。

もっと読む
アイテムが見つかりません。

違反を想定.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく