Versione breve:
Sei a conoscenza di qualsiasi dispositivo proxy o firewall che consenta connessioni SSL in uscita agli host con certificati SSL * approvati?
Versione lunga:
Considera il seguente scenario.
Ho una server farm che è protetta da Internet da un firewall. Supponiamo che HTTPS sia autorizzato da Internet, ma che il firewall blocchi l'accesso in uscita da queste macchine a Internet. Non voglio che i miei amministratori del server si annoino e facciano il surfing /. dal data center e non voglio che malware o attori malintenzionati possano connettersi facilmente in uscita in caso di violazione.
Tuttavia, permetto l'accesso in alcuni in uscita. Ad esempio, supponiamo che voglio che i miei server Windows escano a windowsupdate.microsoft.com. Se riesco a determinare gli IP usati da windowsupdate, bene, li apro specificatamente nel firewall, nessun problema.
Ma cosa succede se questi IP non sono noti o non sono conoscibili? In particolare, supponiamo che Microsoft stia utilizzando Akamai o un altro CDN per servire i loro file. L'indirizzo IP a cui ti rivolgi sarà difficile da determinare in anticipo e cambierà regolarmente. In questo caso non posso autorizzare la whitelist tramite IP.
Una soluzione elegante, presumendo che stiamo raggiungendo un servizio protetto con SSL, consiste nella whitelist basata sul certificato SSL piuttosto che sull'indirizzo IP. Quindi, se il certificato del server è * .windowsupdate.microsoft.com ed è firmato da una CA valida, quindi consentire la connessione. Se non è * .windowsupdate.microsoft.com, o se è firmato da SnakeOil, allora non consentire la connessione.
( certificato approvato potrebbe significare qualsiasi numero di cose flessibili Nome e CA attendibile, Nome e specifica CA, certificati specifici firmati da CA, ecc. ecc.)
Il punto di controllo non deve essere sul server interno - se un attore malintenzionato accede a esso, non deve essere in grado di disabilitare questa protezione. Come per la whitelist IP, ha senso rimuovere il controllo sul perimetro come dispositivo proxy o firewall.
Questo mi sembra il modo giusto per farlo. Quali sono le mie opzioni per farlo in questo modo? Si tratta di un paradigma che qualcuno ha mai implementato, libero o commerciale? I loro altri paradigmi di cui dovrei essere a conoscenza possono bloccare l'accesso in uscita in un modo flessibile ma potente che soddisfi i servizi dinamici moderni (Akamai, AWS, Dyn-ish)?
Qualsiasi aiuto apprezzato!