Deep Security Agentは、コンピュータオブジェクトが双方向モードで動作するように設定されている場合、Workload Securityへの通信を開始するか、Workload
Securityから連絡を受けることがあります。Workload Securityは、すべてのエージェントへの接続を同様に扱います。エージェントがアクティブ化されていない場合、限られたインタラクションのみが可能です。エージェントがアクティブ化されている場合
(管理者によって、またはエージェント起動型アクティベーション機能を介して)、すべてのインタラクションが有効になります。Workload Securityは、TCP接続を形成する際にクライアントであったかどうかに関わらず、すべての場合においてHTTPクライアントとして動作します。エージェントはデータを要求したり、操作を自ら開始したりすることはできません。Workload
Securityは、イベントやステータスなどの情報を要求し、操作を呼び出したり、エージェントに設定をプッシュしたりします。このセキュリティドメインは厳密に管理されており、エージェントがWorkload
Securityやそれが実行されているコンピュータにアクセスすることはできません。
エージェントと Workload Security の両方で、次の2種類のセキュリティコンテキストを使用して、HTTP要求に対する安全なチャネルを確立します。
- 有効化の前に、Agentはまずブートストラップ証明書を受け入れてSSLまたはTLSチャネルを確立します。
- その認証が完了すると、今度は、接続を開始するための相互認証が必要になります。相互認証の場合、 Workload Security 証明書がエージェントに送信され、エージェントの証明書が Workload Securityに送信されます。エージェントは、権限が付与されたアクセスが許可される前に、証明書が同じ認証機関( Workload Security)から取得されたことを検証します。
安全なチャネルの確立後は、AgentはHTTP通信のサーバとして機能します。 Workload Security へのアクセスが制限されており、要求にのみ応答できます。この安全なチャネルにより、認証性、暗号化による機密性、および整合性が確保されます。相互認証を使用することで、第三者によるSSL通信チャネルの不正なプロキシを防ぎ、中間者
(MiTM) 攻撃から保護することができます。ストリーム内の内部コンテンツにはGZIPが使用され、設定はPKCS #7でさらに暗号化されます。
Deep Security製品間の通信におけるSSL/TLSの復号化は推奨されません。デバイスやミドルウェアはTLSパススルーに設定する必要があります。例えば、ファイアウォールがSSL検査を行う場合、通信を復号化して再暗号化し、その過程で証明書が変更されます。この変更により、提供された元の証明書と異なるものになります。その結果、Deep
Security AgentからDeep Security Managerに通信が届くと、変更された証明書は許可されていないと見なされます。