Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El protocolo Seguridad de la capa de transporte (TLS) usa certificados en la capa de transporte para garantizar la privacidad, integridad y autenticidad de los datos intercambiados entre dos partes de comunicación. Aunque TLS protege el tráfico legítimo, el tráfico malintencionado, como el malware y los ataques de pérdida de datos, pueden ocultarse detrás del cifrado. La funcionalidad de inspección TLS de Microsoft Entra Acceso a Internet proporciona visibilidad sobre el tráfico cifrado, haciendo el contenido accesible para una protección mejorada, como la detección de malware, la prevención de pérdida de datos, la inspección inmediata y otros controles de seguridad avanzados. En este artículo se proporciona información general sobre el proceso de inspección de TLS.
Proceso de inspección de TLS
Al habilitar la inspección de TLS, el acceso seguro global descifra las solicitudes HTTPS en el perímetro del servicio y aplica controles de seguridad, como directivas de filtrado de contenido web mejoradas de dirección URL completa. Si ningún control de seguridad bloquea la solicitud, Global Secure Access cifra y reenvía la solicitud al destino.
Para habilitar la inspección de TLS, siga estos pasos:
- Genere una solicitud de firma de certificado (CSR) en el portal de acceso seguro global y firme la CSR mediante la entidad de certificación raíz o intermedia de la organización.
- Cargue el certificado firmado en el portal.
Acceso seguro global usa este certificado como entidad de certificación intermedia para la inspección de TLS. Durante la interceptación del tráfico, Global Secure Access genera dinámicamente certificados de hoja de corta duración mediante el certificado intermedio. La inspección de TLS establece dos conexiones TLS independientes:
- Uno del explorador cliente a un perímetro de servicio de acceso seguro global
- Uno de acceso seguro global al servidor de destino
El acceso seguro global utiliza certificados de hojas durante los intercambios TLS entre los dispositivos de cliente y el servicio. Para garantizar intercambios de claves exitosos, instale la autoridad de certificación raíz y la autoridad de certificación intermedia, si se utiliza para firmar la solicitud de firma de certificado (CSR), en el almacén de certificados de confianza en todos los dispositivos cliente.
Los registros de tráfico incluyen cuatro campos de metadatos relacionados con TLS que le ayudan a comprender cómo se aplican las directivas TLS:
- TlsAction: pasado por alto o interceptado
- TlsPolicyId: identificador único de la directiva TLS aplicada
- TlsPolicyName: el nombre legible de la directiva TLS para facilitar la referencia.
- TlsStatus: Éxito o Error
Para empezar con la inspección de TLS, consulte la configuración de la seguridad de la capa de transporte.
Cifras admitidas
| Lista de cifrados admitidos |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA:CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA:CHACHA20-POLY1305 |
| ECDHE-ECDSA:AES128-SHA |
| ECDHE-RSA:AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA:AES256-SHA |
| ECDHE-RSA:AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Limitaciones conocidas
La inspección de TLS tiene las siguientes limitaciones conocidas:
- La inspección de TLS admite hasta 100 directivas, 1000 reglas y 8000 destinos.
- Asegúrese de que cada solicitud de firma de certificado (CSR) que genere tiene un nombre de certificado único y no se reutiliza. El certificado firmado debe permanecer válido durante al menos 6 meses.
- Solo puede usar un certificado activo a la vez.
- La inspección de TLS no admite la negociación HTTP/2. La mayoría de los sitios vuelven automáticamente a HTTP/1.1 y siguen funcionando, pero los sitios que requieren HTTP/2 no se cargarán si la inspección de TLS está habilitada. Agregue una regla de omisión de TLS personalizada para permitir el acceso solo a sitios HTTP/2.
- La inspección de TLS no sigue los enlaces del Acceso a la Información de Autoridad (AIA) ni del Protocolo de Estado de Certificado en Línea (OCSP) al validar los certificados de destino.
Plataforma móvil
- Muchas aplicaciones móviles implementan el anclaje de certificados, evitando que se realice una inspección correcta de TLS, lo que resulta en fallos en el protocolo de enlace o pérdida de funcionalidad. Para reducir el riesgo, habilite primero la inspección de TLS en un entorno de prueba y compruebe que las aplicaciones críticas son compatibles. En el caso de las aplicaciones que dependen del anclaje de certificados, configure reglas personalizadas de inspección de TLS para omitir estos destinos mediante reglas basadas en dominios o basadas en categorías.