このページのトピック

SSLの実装と資格情報のプロビジョニング

Deep Security Agentが Workload Security への通信を開始することがあります。また、コンピュータオブジェクトが双方向モードで動作するように設定されている場合は、 Workload Security から連絡を受けることもできます。Workload Security は、エージェントへのすべての接続を同様の方法で処理します。Agentが有効化されていない場合、相互作用は限られたものになりますが、管理者による有効化またはAgentからのリモート有効化機能によってAgentが有効化されていれば、すべての相互作用が有効になります。Workload Security は、TCP接続を確立する際にクライアントであるかどうかに関係なく、すべての場合にHTTPクライアントとして機能します。エージェントはデータを要求したり、オペレーション自体を開始することはできません。Workload Security は、イベントやステータスなどの情報を要求したり、オペレーションを呼び出したり、エージェントに設定をプッシュしたりします。このセキュリティドメインは、ビジネスセキュリティクライアントが Workload Security またはビジネスセキュリティクライアントが実行されているコンピュータにアクセスできないように、高度に管理されています。

エージェントと Workload Security の両方で、次の2種類のセキュリティコンテキストを使用して、HTTP要求に対する安全なチャネルを確立します。

  1. 有効化の前に、Agentはまずブートストラップ証明書を受け入れてSSLまたはTLSチャネルを確立します。
  2. その認証が完了すると、今度は、接続を開始するための相互認証が必要になります。相互認証の場合、 Workload Security 証明書がエージェントに送信され、エージェントの証明書が Workload Securityに送信されます。エージェントは、権限が付与されたアクセスが許可される前に、証明書が同じ認証機関( Workload Security)から取得されたことを検証します。

安全なチャネルの確立後は、AgentはHTTP通信のサーバとして機能します。 Workload Security へのアクセスが制限されており、要求にのみ応答できます。この安全なチャネルにより、認証性、暗号化による機密性、および整合性が確保されます。相互認証を使用することで、第三者によるSSL通信チャネルの不正なプロキシを防ぎ、中間者 (MiTM) 攻撃から保護することができます。ストリーム内の内部コンテンツにはGZIPが使用され、設定はPKCS #7でさらに暗号化されます。