Fonctionnalités peu connues d'Illumio ASP - Vérifications des certificats du moteur de calcul de la politique

Dans cette courte série, l'équipe de gestion des produits d'Illumio mettra en lumière les caractéristiques moins connues (mais non moins puissantes) des produits suivants Illumio ASP.

Le protocole Transport Layer Security (TLS) est un protocole cryptographique destiné à sécuriser les communications sur les réseaux informatiques, utilisant des certificats de clé publique. Le format le plus courant pour les certificats de clé publique est le format X.509, décrit dans la RFC 5280. Les certificats X.509 sont des documents cryptographiques complexes qui offrent des options pour diverses utilisations telles que l'authentification, le cryptage, la confiance, etc. Conformément aux meilleures pratiques de l'industrie, lescommunications ASP d' Illumio sont sécurisées à l'aide de TLS.

Pour sécuriser les communications dans Illumio ASP, certaines options doivent être présentes dans le certificat avec des critères de déploiement spécifiques, et les certificats doivent être installés sur le Policy Compute Engine (PCE), le "cerveau" d'Illumio ASP qui centralise la visibilité et la gestion des politiques. Bien qu'il s'agisse de critères courants pour les certificats, ils peuvent être onéreux et nécessiter une attention particulière de la part de l'utilisateur.

Dans cet article de blog, je décrirai les critères de déploiement des certificats Illumio PCE et une fonctionnalité peu connue de vérification des certificats.

Protocole TLS et certificats

TLS est utilisé pour sécuriser les sessions de communication suivantes :

• Accès de l'utilisateur à la console web PCE et à l'API REST via le protocole HTTPS (HTTP over TLS).
• Communication entre le PCE et les VEN, avec l'API REST sur HTTPS et le service d'événements, un protocole personnalisé utilisant TLS sur TCP.
• Communication entre les services PCE sur différents nœuds PCE dans une grappe à plusieurs nœuds, comme la gestion de la grappe et la découverte de services.

Pour TLS, un certificat de serveur X.509 doit être installé sur chaque nœud PCE lors de l'installation. Lorsqu'un client (par exemple, le VEN) ouvre une session TLS avec l'ECP, ce dernier présente le certificat de serveur X.509 pour sécuriser la communication avec le client. Lors de l'installation, le certificat du serveur est téléchargé sur l'ECP dans le cadre d'un paquet de certificats, qui contient le certificat du serveur et un ensemble de certificats d'autorité de certification (intermédiaire ou racine) afin d'établir la chaîne de confiance jusqu'à une autorité de certification racine.

Les certificats X.509 sont généralement émis par une autorité de certification (AC) publique telle que Digicert, Verisign, GoDaddy et LetsEncrypt. En outre, les clients peuvent utiliser des certificats émis par leurs propres AC privées (AC interne) ou utiliser des certificats auto-signés. Quel que soit le mode d'émission d'un certificat, le client doit être en mesure de valider la chaîne de confiance jusqu'à l'autorité de certification racine de ce certificat ; dans le cas contraire, la poignée de main TLS échoue et un canal de communication sécurisé ne peut pas être établi.

Vérification du certificat PCE

Lors du déploiement initial de l'ECP, l'utilisateur doit généralement valider les certificats pour s'assurer que les exigences variées et complexes sont satisfaites. Illumio PCE est livré avec un outil de vérification des certificats qui aide les utilisateurs en automatisant la vérification des certificats par rapport aux critères de déploiement spécifiques.

Le paquet de certificats pour l'ECP Illumio doit répondre aux critères suivants :

• Doit contenir des certificats codés en PEM.
• Les certificats sont signés à l'aide d'un algorithme de signature acceptable.
• Le paquet doit inclure tous les certificats d'autorité de certification (intermédiaire et/ou racine) nécessaires pour établir la chaîne de confiance jusqu'à l'autorité de certification racine. Si le certificat est généré par une AC privée, le paquet doit inclure tous les certificats de la chaîne de confiance jusqu'à l'AC racine et tous les certificats des AC intermédiaires.
• Le certificat du serveur doit être le premier certificat de la liasse.
• Tous les certificats de la liasse doivent être valides pour la date du jour.
• Le certificat doit correspondre au FQDN de l'ECP, dans les champs Subject et Subject Alternative Name (SAN).
• Le certificat doit permettre l'authentification du serveur et du client.

De même, la clé privée correspondant au certificat X.509 doit être installée sur chaque nœud PCE selon les critères suivants :

• La clé privée doit être codée en PEM.
• Le fichier ne doit pas être codé d'une autre manière, par exemple DER, PKCS7/P7B, PKCS8 ou PKCS12/PFX. 
• Le fichier ne doit pas être protégé par un mot de passe.

Au fil du temps, Illumio a découvert que le déploiement de l'ECP dans les entreprises est confronté à de multiples défis lorsqu'il s'agit de la création et du déploiement de certificats.

Par exemple, les certificats peuvent ne pas être émis pour le FQDN de l'ECP, ou les noms d'hôte des nœuds multiples ne sont pas correctement inclus dans le champ SAN, ou le bon ensemble d'options n'est pas fourni dans le champ Extended Key Usage des certificats. De même, au cours du processus d'installation, les certificats peuvent être installés sans les autorisations correctes pour les fichiers ou les répertoires, ou certains éléments de la chaîne de confiance peuvent être oubliés au cours de l'installation.

Les défis sont réservés au processus d'installation initial et peuvent se prolonger au-delà. Si l'ECP passe d'un cluster de 4 nœuds à un cluster de 6 nœuds, les certificats devront être mis à jour pour inclure le FQDN du nouveau nœud dans le champ SAN. Pour réduire les efforts manuels liés aux certificats, Illumio fournit un outil administratif en ligne de commande appelé "illumio-pce-env" pour vérifier les certificats automatiquement.

Cet outil offre plusieurs options de validation des certificats pour une variété de cas d'utilisation, dont voici quelques exemples :

1. Pour valider le certificat TLS à l'aide de tests de base, y compris la chaîne de confiance et d'autres aspects, exécutez la commande suivante :
2. illumio-pce-env setup --list
4. L'option "--list" vérifie votre configuration et vos certificats et indique les problèmes éventuels en définissant le code de retour. Il s'agit d'un moyen rapide de vérifier les problèmes et il peut être invoqué dans le cadre des scripts d'installation Chef, Ansible ou autres.
6. Pour valider le certificat TLS à l'aide de tests de base, y compris la chaîne de confiance et d'autres aspects, exécutez la commande suivante :
7. illumio-pce-env setup -list -test 5
9. Si la commande précédente échoue, l'administrateur peut vouloir savoir exactement ce qui s'est passé. Pour vous aider, il est possible de spécifier un argument de niveau de verbosité - de 1 (le moins) à 5 (le plus) - avec l'option --test. Avec un niveau de verbosité de 5, la commande affiche les résultats détaillés de chaque étape de la validation du certificat, y compris les informations sur les tests exécutés et les résultats de chacun d'entre eux. Cela permet de diagnostiquer le problème exact lié aux certificats ou à la chaîne de confiance.
11. Pour valider vos certificats avec d'autres noms de domaine, exécutez la commande suivante :
12. illumio-pce-env setup --list -test 5:some.alternative.hostAndDomainName
14. Dans le cas où le FQDN prévu pour l'ECP en production est différent du déploiement de test ou si un ECP passe d'un cluster de 4 nœuds à un cluster de 6 nœuds, le certificat devra être vérifié si le champ SAN inclut les noms d'hôtes corrects. Le champ SAN permet l'utilisation de caractères génériques, ce qui complique quelque peu la confirmation manuelle des noms d'hôtes valides. Cette syntaxe vérifie le certificat et la chaîne par rapport au nom de domaine et d'hôte spécifié.
16. Pour valider vos certificats à l'aide d'un test de bout en bout utilisant la syntaxe "+", exécutez la commande suivante :
17. illumio-pce-env setup --list --test 5+
19. Ici, l'argument à tester est "5+". Il arrive que les tests statiques d'un certificat ne suffisent pas et qu'un administrateur veuille valider le système par un test complet de bout en bout du certificat avec les bibliothèques TLS du système d'exploitation. Cela permet d'émuler l'utilisation réelle du certificat en cours d'exécution. La syntaxe '+' crée un serveur OpenSSL de bouclage fonctionnant sur le port 4433 et tente d'utiliser la commande curl pour établir une connexion TLS.
21. Pour valider vos certificats avant de les copier dans l'emplacement de production prévu, exécutez la commande suivante :
22. illumio-pce-env setup --batch --list \email=required@emailaddress node=value \cert=/path/to/cert \pkey=/path/to/private_key \trust=/path/to/certificate_chain \--test 5
24. Si un administrateur souhaite vérifier le certificat sans l'installer, il existe une syntaxe qui le permet. Cette fonction est utilisée lorsqu'un nouveau certificat est déployé et que l'administrateur souhaite vérifier s'il répond aux exigences de l'ECP.

Veuillez consulter la documentation Illumio PCE pour obtenir une liste complète des messages affichés par l'outil illumio-pce-env ainsi qu'une liste exhaustive des messages d'erreur potentiels.

En résumé, les certificats X.509 utilisés pour sécuriser les communications avec TLS ont des exigences variées et compliquées et peuvent être lourds à valider pour l'administrateur. Illumio ASP fournit un outil en ligne de commande avec un riche ensemble d'options pour valider les certificats pour différents besoins - des tests de base aux tests complets de bout en bout pour tester avec plus de précision et d'exactitude avant le déploiement.

J'espère que cet article de blogue vous a aidé à mieux comprendre cette fonction peu connue et utile de l'Illumio PCE. Pour toute question complémentaire, veuillez nous contacter à l'adresse [email protected] et n'oubliez pas de consulter les autres articles de cette série, qui traitent des sujets suivants :

• Filtre contre les déficiences de la vision des couleurs
• Exportation de logs vers Amazon S3 Buckets
• Filtres de diffusion et de multidiffusion