ビュー:
Deep Security Agentは、Deep Security Managerへの通信を開始することも、コンピュータオブジェクトが双方向モードで動作するように設定されている場合、マネージャから連絡を受けることもあります。Deep Security Managerは、エージェントへのすべての接続を同様に扱います。エージェントがアクティブ化されていない場合、限られた範囲の操作が可能です。エージェントがアクティブ化されている場合 (管理者によるか、エージェントによるアクティブ化機能を介して)、すべての操作が有効になります。Deep Security Managerは、TCP接続を形成する際にクライアントであったかどうかに関係なく、すべての場合にHTTPクライアントとして機能します。エージェントは、データを要求したり、操作を開始したりすることはできません。マネージャは、イベントやステータスなどの情報を要求し、操作を実行し、エージェントに構成をプッシュします。このセキュリティドメインは厳密に管理されており、エージェントがDeep Security Managerやその実行中のコンピュータにアクセスすることはありません。
エージェントとマネージャの両方が、HTTPリクエストのためのセキュアチャネルを確立するために2つの異なるセキュリティコンテキストを使用します。
  1. 有効化の前に、Agentはまずブートストラップ証明書を受け入れてSSLまたはTLSチャネルを確立します。
  2. 認証後、接続を開始するには相互認証が必要です。相互認証のために、マネージャの証明書がエージェントに送信され、エージェントの証明書がマネージャに送信されます。エージェントは、特権アクセスが許可される前に、証明書が同じ証明機関 (Deep Security Manager) から発行されたものであることを検証します。
安全なチャネルが確立されると、エージェントはHTTP通信のサーバとして機能します。エージェントはマネージャへのアクセスが制限されており、リクエストに応答することしかできません。安全なチャネルは認証、暗号化による機密性、および完全性を提供します。相互認証の使用により、SSL通信チャネルが悪意のある第三者を介してプロキシされる中間者攻撃 (MiTM) から保護されます。ストリーム内では、内部コンテンツがGZIPを使用し、構成はPKCS #7を使用してさらに暗号化されます。