Deep Security Agentは、コンピュータオブジェクトが双方向モードで動作するように設定されている場合、Server & Workload Protectionへの通信を開始するか、Server & Workload Protectionから連絡を受けることがあります。Server & Workload Protectionは、すべてのエージェントへの接続を同様に扱います。エージェントがアクティブ化されていない場合、限られたインタラクションのみが可能です。エージェントがアクティブ化されている場合
(管理者によるか、エージェント起動のアクティブ化機能によるか)、完全なインタラクションが有効になります。Server & Workload Protectionは、TCP接続を形成する際にクライアントであったかどうかに関わらず、すべての場合においてHTTPクライアントとして機能します。エージェントはデータを要求したり、自ら操作を開始することはできません。Server & Workload Protectionは、イベントやステータスなどの情報を要求し、操作を呼び出したり、エージェントに設定をプッシュしたりします。このセキュリティドメインは厳密に管理されており、エージェントがServer & Workload Protectionやそれが動作しているコンピュータにアクセスすることはできません。
エージェントと Server & Workload Protection はどちらも、2つの異なるセキュリティコンテキストを使用してHTTPリクエスト用のセキュアチャネルを確立します。
- 有効化の前に、Agentはまずブートストラップ証明書を受け入れてSSLまたはTLSチャネルを確立します。
- 認証後、接続を開始するには相互認証が必要です。相互認証の場合、 Server & Workload Protection 証明書がAgentに送信され、 エージェントの証明書が Server & Workload Protectionに送信されます。エージェントは、特権アクセスが許可される前に、証明書が同じ認証局 ( Server & Workload Protection) から発行されたものであることを検証します。
セキュアチャネルが確立されると、エージェントはHTTP通信のサーバとして機能します。 Server & Workload Protection へのアクセスは制限されており、要求にのみ応答できます。セキュリティで保護されたチャネルは、認証、暗号化による機密性、および整合性を提供します。相互認証を使用することで、SSL通信チャネルが不正なサードパーティを介してプロキシされるMiTM
(man-in-the-middle) 攻撃から保護できます。ストリーム内では、内部コンテンツにGZIPが使用され、設定はPKCS #7を使用してさらに暗号化されます。
Deep Security製品間の通信に対するSSL/TLSの復号化は推奨されません。すべてのデバイスやミドルウェアはTLSパススルー用に設定する必要があります。例えば、ファイアウォールがSSL検査を行う場合、通信を復号化して再暗号化し、その過程で証明書を変更します。この変更により、提供された元の証明書と異なるものになります。その結果、Deep
Security AgentからDeep Security Managerに通信が届くと、変更された証明書は許可されていないと見なされます。