【要約】【今さら聞けない証明書の仕組み】SSL/TLS証明書・認証局・TLS復号をCloudflareで理解する SASE基礎 [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
SASEやゼロトラストを導入するエンジニアが、暗号化通信の可視化において直面する課題を整理している。
- ・HTTPS通信が暗号化されているため、通信内容の検査が困難である。
- ・暗号化されたままでは、マルウェア検知やDLP(データ漏洩防止)が機能しない。
- ・通信の安全性を確保しつつ、いかにして中身を検査するかが課題となる。
// Approach
Cloudflareが通信の仲介者として振る舞う、TLS復号(TLS Inspection)の手法を解説している。
- ・クライアントとCloudflare間で、仮の証明書を用いたTLS接続を確立する。
- ・Cloudflareが通信を一度復号し、URLフィルタリングやマルウェア検査を実施する。
- ・検査後、Cloudflareから本物のサーバーへ再度TLS接続を行い、通信を転送する。
// Result
TLS復号の導入により、暗号化トラフィックに対する高度なセキュリティ検査が可能になる。
- ・URLフィルタリング、マルウェアスキャン、DLP検査の実現。
- ・Cloudflare Gateway CAを端末に配布することで、仮の証明書を信頼させる運用を実現。
- ・ただし、証明書ピンニングを利用する通信には、復号除外設定が必要となる。
Senior Engineer Insight
> TLS復号はセキュリティ強化に不可欠だが、運用負荷を伴う。Gateway CAの配布や、証明書ピンニングへの対応が必須だ。設計段階で、検査対象と除外対象の切り分けを明確にする必要がある。スケーラビリティとプライバシーのバランスが鍵となる。