TLS(전송 계층 보안) 프로토콜은 전송 계층의 인증서를 사용하여 두 통신 당사자 간에 교환되는 데이터의 개인 정보, 무결성 및 신뢰성을 보장합니다. TLS는 합법적인 트래픽을 보호하지만 맬웨어 및 데이터 유출 공격과 같은 악성 트래픽은 여전히 암호화 뒤에 숨길 수 있습니다. Microsoft Entra Internet Access TLS 검사 기능은 맬웨어 검색, 데이터 손실 방지, 프롬프트 검사 및 기타 고급 보안 제어와 같은 향상된 보호를 위해 콘텐츠를 사용할 수 있도록 하여 암호화된 트래픽에 대한 가시성을 제공합니다. 이 문서에서는 TLS 검사 프로세스에 대한 개요를 제공합니다.
TLS 검사 프로세스
TLS 검사를 사용하도록 설정하면 Global Secure Access는 서비스 에지에서 HTTPS 요청을 해독하고 전체 URL 고급 웹 콘텐츠 필터링 정책과 같은 보안 제어를 적용합니다. 보안 제어가 요청을 차단하지 않으면 Global Secure Access는 요청을 암호화하고 대상에 전달합니다.
TLS 검사를 사용하도록 설정하려면 다음 단계를 수행합니다.
- Global Secure Access 포털에서 CSR(인증서 서명 요청)을 생성하고 조직의 루트 또는 중간 인증 기관을 사용하여 CSR에 서명합니다.
- 서명된 인증서를 포털에 업로드합니다.
전역 보안 액세스는 이 인증서를 TLS 검사를 위한 중간 인증 기관으로 사용합니다. 트래픽 차단 중에 Global Secure Access는 중간 인증서를 사용하여 수명이 짧은 리프 인증서를 동적으로 생성합니다. TLS 검사는 두 개의 별도 TLS 연결을 설정합니다.
- 클라이언트 브라우저에서 Global Secure Access 서비스 에지로 연결되는
- 대상 서버에 대한 글로벌 보안 액세스에서 하나
Global Secure Access는 클라이언트 디바이스와 서비스 간의 TLS 핸드셰이크 중에 리프 인증서를 사용합니다. 성공적인 핸드셰이크를 보장하려면 모든 클라이언트 디바이스의 신뢰할 수 있는 인증서 저장소에 CSR 서명에 사용되는 경우 루트 인증 기관 및 중간 인증 기관을 설치합니다.
트래픽 로그에는 TLS 정책이 적용되는 방식을 이해하는 데 도움이 되는 4개의 TLS 관련 메타데이터 필드가 포함됩니다.
- TlsAction: 우회 또는 가로채기
- TlsPolicyId: 적용된 TLS 정책의 고유 식별자입니다.
- TlsPolicyName: 더 쉽게 참조할 수 있는 TLS 정책의 읽기 가능한 이름입니다.
- TlsStatus: 성공 또는 실패
TLS 검사를 시작하려면 전송 계층 보안 구성을 참조하세요.
지원되는 암호
| 지원되는 암호 목록 |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA-AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
알려진 제한 사항
TLS 검사에는 다음과 같은 알려진 제한 사항이 있습니다.
- TLS 검사는 최대 100개의 정책, 1000개의 규칙 및 8000개의 대상을 지원합니다.
- 생성하는 각 CSR(인증서 서명 요청)에 고유한 인증서 이름이 있고 다시 사용되지 않는지 확인합니다. 서명된 인증서는 6개월 이상 유효해야 합니다.
- 한 번에 하나의 활성 인증서만 사용할 수 있습니다.
- TLS 검사는 HTTP/2 협상을 지원하지 않습니다. 대부분의 사이트는 자동으로 HTTP/1.1로 대체되고 계속 작동하지만 TLS 검사를 사용하도록 설정하면 HTTP/2가 필요한 사이트는 로드되지 않습니다. HTTP/2 전용 사이트에 대한 액세스를 허용하는 사용자 지정 TLS 바이패스 규칙을 추가합니다.
- TLS 검사는 대상 인증서의 유효성을 검사할 때 AIA(기관 정보 액세스) 및 OCSP(온라인 인증서 상태 프로토콜) 링크를 따르지 않습니다.
모바일 플랫폼
- 많은 모바일 애플리케이션은 인증서 고정을 구현하여 성공적인 TLS 검사를 방지하여 핸드셰이크 오류 또는 기능 손실을 초래합니다. 위험을 줄이려면 먼저 테스트 환경에서 TLS 검사를 사용하도록 설정하고 중요한 애플리케이션이 호환되는지 확인합니다. 인증서 고정을 사용하는 앱의 경우 도메인 기반 또는 범주 기반 규칙을 사용하여 이러한 대상을 우회하도록 TLS 검사 사용자 지정 규칙을 구성합니다.