Freigeben über

Häufig gestellte Fragen zur Transport Layer Security-Inspektion

Dieser Artikel beantwortet häufig gestellte Fragen zur Transport Layer Security-Inspektion.

Was ist transport Layer Security (TLS)-Inspektion?

Die TLS-Inspektion entschlüsselt und analysiert verschlüsselten Netzwerkdatenverkehr, um Organisationen dabei zu helfen, Bedrohungen zu erkennen, Sicherheitsrichtlinien durchzusetzen und Datenexfiltration zu verhindern. Mit der meisten verschlüsselten Internetdatenverkehr bietet die TLS-Inspektion Einblicke in Datenflüsse, die andernfalls undurchsichtig für Sicherheitstools wären. Mit der TLS-Überprüfung können Unternehmen erweiterte Schutzmaßnahmen wie inhaltsfiltern anwenden, ohne die Vertraulichkeit legitimer Kommunikationen zu beeinträchtigen.

Wie funktioniert die TLS-Inspektion?

Die TLS-Inspektion ermöglicht Es Organisationen, verschlüsselten Netzwerkdatenverkehr zu analysieren, indem sie zur Sicherheitsüberprüfung entschlüsselt und erneut verschlüsselt wird, bevor sie an ihr Ziel weitergeleitet wird. Berücksichtigen Sie die folgenden bewährten Methoden, um die TLS-Inspektion effektiv zu implementieren:

  • Kommunizieren Sie klar mit Benutzern: Bevor Sie die TLS-Inspektion in einer Produktionsumgebung aktivieren, stellen Sie sicher, dass Benutzer darüber informiert werden, wie verschlüsselter Datenverkehr verarbeitet wird. Viele Organisationen wählen eine Nutzungsbedingungen (ToU) oder eine ähnliche Benachrichtigung aus.
  • Wählen Sie eine Zertifizierungsstelle aus: Wählen Sie eine Stamm- oder Zwischenzertifizierungsstelle aus, um die zertifikatsignierende Anforderung (CERTIFICATE Signing Request, CSR) zu signieren, die von globaler sicherer Zugriff für TLS-Inspektion erstellt wurde.
  • Definieren Sie eine TLS-Richtlinie: Konfigurieren Sie eine TLS-Inspektionsrichtlinie, die den Sicherheits- und Betriebsanforderungen Ihrer Organisation entspricht.
  • Konfigurieren des bedingten Zugriffs: Erstellen Sie eine Richtlinie für bedingten Zugriff, und ordnen Sie sie dem sicherheitsprofil des globalen sicheren Zugriffs zu, das mit der TLS-Richtlinie verknüpft ist.
  • Verteilen Sie das vertrauenswürdige Zertifikat: Stellen Sie sicher, dass die ausgewählte Zertifizierungsstelle auf allen Clientgeräten installiert ist, um eine Vertrauensstellung einzurichten und eine nahtlose TLS-Überprüfung zu ermöglichen.

Was sind die kryptografischen Algorithmen, die beim Generieren von Zertifikaten für die TLS-Überprüfung unterstützt werden?

Globaler sicherer Zugriff unterstützt derzeit SHA-256, SHA-384 und SHA-512 für die Signaturzertifikate.

Wie signiere ich CSR mithilfe der Active Directory-Zertifikatdienste (AD CS)

Die TLS-Prüfung erfordert eine zwischengeschaltete Zertifizierungsstelle, stellen Sie sicher, dass Sie die Vorlage für untergeordnete Zertifizierungsstellen verwenden. Um CSR aus TLS-Einstellungen zu signieren, können Sie die AD CS-Webregistrierungsbenutzeroberfläche verwenden oder das Befehlszeilentool certreq verwenden.

certreq -submit -attrib "CertificateTemplate:SubCA" "C:\pathtoyourCSR\tlsca.csr" "tlsca.cer"

Was ist das Anheften von Zertifikaten und wie wirkt es sich auf die TLS-Inspektion aus?

Das Anheften von Zertifikaten ist ein Sicherheitsmechanismus, der die TLS-Verbindungen einer Anwendung auf einen bestimmten Satz vertrauenswürdiger Zertifikate oder öffentlicher Schlüssel einschränkt. Durch das Anheften von Zertifikaten wird sichergestellt, dass die Anwendung nur mit Servern kommuniziert, die diese genauen Anmeldeinformationen darstellen, auch wenn andere Zertifikate vom System gültig und vertrauenswürdig sind. Diese Technik hilft bei der Verteidigung vor Man-in-the-Middle -Angriffen (MITM), indem nicht autorisierte Abfangen von verschlüsseltem Datenverkehr verhindert wird. Es stört jedoch auch Netzwerksicherheitstools, die auf TLS-Inspektion basieren, was funktioniert, indem der Datenverkehr mithilfe eines zwischengeschalteten Zertifikats entschlüsselt und erneut verschlüsselt wird.

Wie sollte ich Anwendungen behandeln, die das Anheften von Zertifikaten verwenden?

Die Verbindung schlägt fehl, wenn die TLS-Prüfung datenverkehr von Anwendungen beendet, die zertifikatsheften. Um sicherzustellen, dass Ihre Anwendungen wie erwartet funktionieren, erstellen Sie eine benutzerdefinierte Umgehungsregel im Datenverkehrsweiterleitungsprofil, um Datenverkehr von diesen Anwendungen aus dem globalen sicheren Zugriff auszuschließen. Sie können diesen Vorgang als Teil der benutzerdefinierten Umgehung im Internetzugriff-Weiterleitungsprofil ausführen. Wir arbeiten an benutzerdefinierten TLS-Regeln, damit Sie nur Datenverkehr abrufen und TLS-Inspektion umgehen können.

Welche Ziele sind im System-Bypass enthalten?

Die Liste der Ausnahmen enthält bekannte Ziele, die Zertifikat-Pinning oder andere Inkompatibilitäten mit der TLS-Inspektion verwenden. Diese Ziele werden automatisch von der TLS-Inspektion ausgeschlossen, um eine ordnungsgemäße Funktionalität sicherzustellen. Die Systemumgehungsliste wird regelmäßig aktualisiert, um neue Ziele einzuschließen, sobald sie identifiziert werden. Einige Beispiele für Ziele in der Systemumgehungsliste sind:

  • Adobe CRS
  • AplusPC UCC-Regionen
  • App Center
  • Apple ESS-Push-Dienste
  • Azure-Diagnose
  • Azure IoT Hub
  • Azure Management
  • Azure WAN Listener
  • Centanet
  • Central Plaza E-Bestellung
  • Cisco Umbrella Proxy
  • DocuSign
  • Dropbox
  • e-Szigno
  • Globale Diagnose für sicheren Zugriff
  • Guardz Geräte-Agent
  • iCloud
  • Likr Load Balancer
  • MediaTek
  • Microsigner
  • Microsoft Graph
  • Microsoft-Anmeldedienste
  • O2 Moje Login
  • OpenSpace-Lösungen
  • Power BI Externe Verbindungen
  • Signal
  • TeamViewer
  • Visual Studio-Telemetrie
  • Webex
  • WhatsApp
  • Windows-Aktualisierung
  • ZDX Cloud
  • Zscaler Beta
  • Zscaler Two
  • Zoomen

Wird TLS 1.3 unterstützt?

Die Microsoft Entra TLS-Inspektion aktiviert standardmäßig TLS 1.2 und TLS 1.3. Die höchste sich gegenseitig unterstützte Version wird für die Sitzung ausgewählt, vom Client bis hin zum globalen sicheren Zugriff und vom globalen sicheren Zugriff auf die Ziele. Microsoft Entra unterstützt TLS 1.3 mit verschlüsseltem Client Hello (ECH) nicht, da die Servernamensanzeige (Server Name Indication, SNI) verschlüsselt ist, wodurch der globale sichere Zugriff die entsprechenden Blattzertifikate für tls-Beendigung nicht erstellt.

Was geschieht, wenn ich ältere Anwendungen mit weniger sicheren TLS-Versionen wie TLS 1.1 habe?

Es wird empfohlen, die TLS-Inspektion für diese Ziele zu umgehen. TLS 1.2 ist die empfohlene Mindestversion, da ältere Versionen wie TLS 1.1 und TLS 1.0 nicht sicher sind und anfällig für Angriffe sind. Verschieben Sie diese Anwendungen nach Möglichkeit, um TLS 1.2 oder höher zu unterstützen.

Verwenden Sie Hardwaresicherheitsmodule (HSM), um Schlüssel zu schützen?

Wir verwenden softwaregeschützte Schlüssel. Global Secure Access Intermediate Certificate Keys werden im Speicher gespeichert, um Blattzertifikate für Websites dynamisch zu generieren. Obwohl diese Schlüssel nicht durch ein HSM geschützt sind, ist der Zugriff auf unsere Server streng eingeschränkt, und wir verwenden strenge Sicherheitskontrollen, um den Schlüsselzugriff und die Systemintegrität zu schützen.

Welche anderen globalen Features für den sicheren Zugriff haben Abhängigkeiten von der TLS-Inspektion?

Inhaltsbasierte Sicherheitskontrollen weisen Abhängigkeiten von der TLS-Inspektion auf, einschließlich URL-Filterung, Dateirichtlinien, Eingabeaufforderungsrichtlinien und Aktivieren von Partnersicherheitslösungen.

Verwandte Inhalte