이 문서에서는 전송 계층 보안 검사에 대한 질문과 대답을 제공합니다.
TLS(전송 계층 보안) 검사가란?
TLS 검사는 암호화된 네트워크 트래픽의 암호를 해독하고 분석하여 조직이 위협을 감지하고, 보안 정책을 적용하고, 데이터 반출을 방지하는 데 도움을 줍니다. 현재 대부분의 인터넷 트래픽이 암호화된 상태에서 TLS 검사는 보안 도구에 불투명한 데이터 흐름에 대한 가시성을 제공합니다. TLS 검사를 통해 기업은 합법적인 통신의 기밀성을 손상시키지 않고 콘텐츠 필터링과 같은 고급 보호를 적용할 수 있습니다.
TLS 검사는 어떻게 작동하나요?
TLS 검사를 사용하면 조직에서 보안 검사를 위해 암호를 해독하고 대상에 전달하기 전에 다시 암호화하여 암호화된 네트워크 트래픽을 분석할 수 있습니다. TLS 검사를 효과적으로 구현하려면 다음 운영 모범 사례를 고려하세요.
- 사용자와 명확하게 통신: 프로덕션 환경에서 TLS 검사를 사용하도록 설정하기 전에 암호화된 트래픽이 처리되는 방법에 대한 정보를 사용자에게 알려야 합니다. 많은 조직에서 ToU(사용 약관) 또는 이와 유사한 알림을 제공하기로 선택합니다.
- 인증 기관 선택: TLS 검사를 위해 전역 보안 액세스에서 만든 CSR(인증서 서명 요청)에 서명할 루트 또는 중간 인증 기관을 선택합니다.
- TLS 정책 정의: 조직의 보안 및 운영 요구 사항에 맞는 TLS 검사 정책을 구성합니다.
- 조건부 액세스 구성: 조건부 액세스 정책을 만들고 TLS 정책에 연결된 전역 보안 액세스 보안 프로필과 연결합니다.
- 신뢰할 수 있는 인증서 배포: 선택한 인증 기관이 모든 클라이언트 디바이스에 설치되어 신뢰를 설정하고 원활한 TLS 검사를 사용하도록 설정합니다.
TLS 검사를 위한 인증서를 생성할 때 지원되는 암호화 알고리즘은 무엇인가요?
Global Secure Access는 현재 서명 인증서에 대해 SHA-256, SHA-384 및 SHA-512를 지원합니다.
AD CS(Active Directory Certificate Services)를 사용하여 CSR에 서명하는 방법
TLS 검사에는 중간 인증 기관이 필요하며, 하위 CA 템플릿을 사용하고 있는지 확인합니다. TLS 설정에서 생성된 CSR에 서명하려면 AD CS 웹 등록 UI를 사용하거나 certreq 명령줄 도구를 사용할 수 있습니다.
certreq -submit -attrib "CertificateTemplate:SubCA" "C:\pathtoyourCSR\tlsca.csr" "tlsca.cer"
인증서 고정이란 무엇이며 TLS 검사에 어떤 영향을 주나요?
인증서 고정은 애플리케이션의 TLS 연결을 신뢰할 수 있는 특정 인증서 또는 공개 키 집합으로 제한하는 보안 메커니즘입니다. 인증서 고정은 다른 인증서가 유효하고 시스템에서 신뢰할 수 있는 경우에도 애플리케이션이 해당 정확한 자격 증명을 제공하는 서버와만 통신하도록 합니다. 이 기술은 암호화된 트래픽의 무단 차단을 방지하여 MITM(man-in-the-middle) 공격을 방어하는 데 도움이 됩니다. 그러나 중간 인증서를 사용하여 트래픽을 암호 해독하고 다시 암호화하여 작동하는 TLS 검사에 의존하는 네트워크 보안 도구도 방해합니다.
인증서 고정을 사용하는 애플리케이션을 어떻게 처리해야 하나요?
TLS 검사에서 인증서 고정을 사용하는 애플리케이션의 트래픽을 종료하면 연결이 실패합니다. 애플리케이션이 예상대로 작동하도록 하려면 트래픽 전달 프로필에 사용자 지정 바이패스 규칙을 만들어 전역 보안 액세스에서 이러한 애플리케이션에서 트래픽을 제외합니다. 인터넷 액세스 전달 프로필에서 사용자 지정 바이패스의 일부로 이 작업을 수행할 수 있습니다. 트래픽을 획득하고 TLS 검사만 우회할 수 있도록 사용자 지정 TLS 규칙을 사용하고 있습니다.
시스템 바이패스에 포함되는 대상은 무엇인가요?
시스템 바이패스 목록에는 인증서 고정을 사용하거나 TLS 검사와 다른 비호환성이 있는 알려진 대상이 포함됩니다. 이러한 대상은 적절한 기능을 보장하기 위해 TLS 검사에서 자동으로 제외됩니다. 시스템 바이패스 목록은 식별될 때 새 대상을 포함하도록 정기적으로 업데이트됩니다. 시스템 바이패스 목록의 대상에 대한 몇 가지 예는 다음과 같습니다.
- Adobe CRS
- AplusPC UCC 지역
- App Center
- Apple ESS 푸시 서비스
- Azure Diagnostics
- Azure IoT Hub
- Azure Management
- Azure WAN 수신기
- Centanet
- 센트럴 플라자 e-주문
- Cisco Umbrella Proxy
- DocuSign
- Dropbox
- e-Szigno
- 전역 보안 액세스 진단
- Guardz 디바이스 에이전트
- iCloud
- Likr Load Balancer
- MediaTek
- 마이크로시너
- 마이크로소프트 그래프
- Microsoft Login Services
- O2 Moje 로그인
- OpenSpace 솔루션
- Power BI 외부
- 신호
- TeamViewer
- Visual Studio 원격 분석
- Webex
- 왓츠앱
- Windows 업데이트
- ZDX Cloud
- Zscaler Beta (베타)
- Zscaler Two
- 확대/축소
TLS 1.3이 지원되는가요?
Microsoft Entra TLS 검사는 기본적으로 TLS 1.2 및 TLS 1.3을 사용하도록 설정합니다. 클라이언트에서 글로벌 보안 액세스로, 글로벌 보안 액세스에서 대상에 이르는 세션에 대해 상호 지원되는 가장 높은 버전이 선택됩니다. SNI(서버 이름 표시)가 암호화되어 전역 보안 액세스가 TLS 종료에 해당하는 리프 인증서를 만들지 못하도록 하기 때문에 Microsoft Entra는 ECH(암호화된 클라이언트 Hello)에서 TLS 1.3을 지원하지 않습니다.
TLS 1.1과 같이 보안이 낮은 TLS 버전을 사용하는 레거시 애플리케이션이 있는 경우 어떻게 되나요?
이러한 대상에 대한 TLS 검사를 우회하는 것이 좋습니다. TLS 1.1 및 TLS 1.0과 같은 이전 버전은 안전하지 않고 공격에 취약하기 때문에 TLS 1.2는 최소 권장 버전입니다. 가능하면 이러한 애플리케이션을 이동하여 TLS 1.2 이상을 지원합니다.
HSM(하드웨어 보안 모듈)을 사용하여 키를 보호하나요?
소프트웨어 보호 키를 사용합니다. 전역 보안 액세스 중간 인증서 키는 웹 사이트에 대한 리프 인증서를 동적으로 생성하기 위해 메모리에 저장됩니다. 이러한 키는 HSM에 의해 보호되지 않지만 서버에 대한 액세스는 매우 제한되며 엄격한 보안 제어를 사용하여 키 액세스 및 시스템 무결성을 보호합니다.
TLS 검사에 대한 종속성이 있는 다른 글로벌 보안 액세스 기능은 무엇인가요?
콘텐츠 기반 보안 컨트롤에는 URL 필터링, 파일 정책, 프롬프트 정책 및 파트너 보안 솔루션 활성화를 포함하여 TLS 검사에 대한 종속성이 있습니다.