Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Protokół Transport Layer Security (TLS) używa certyfikatów w warstwie transportowej, aby zapewnić prywatność, integralność i autentyczność danych wymienianych między dwiema komunikującymi się stronami. Chociaż protokół TLS zabezpiecza legalny ruch, złośliwy ruch, taki jak złośliwe oprogramowanie i ataki wycieków danych, nadal może ukrywać się za szyfrowaniem. Funkcja inspekcji protokołu TLS programu Microsoft Entra Internet Access zapewnia wgląd w zaszyfrowany ruch, udostępniając zawartość na potrzeby rozszerzonej ochrony, takie jak wykrywanie złośliwego oprogramowania, zapobieganie utracie danych, inspekcja monitów i inne zaawansowane mechanizmy kontroli zabezpieczeń. Ten artykuł zawiera omówienie procesu inspekcji protokołu TLS.
Proces inspekcji protokołu TLS
Po włączeniu inspekcji protokołu TLS usługa Global Secure Access odszyfrowuje żądania HTTPS na brzegu usługi i stosuje mechanizmy kontroli zabezpieczeń, takie jak pełne zasady filtrowania zawartości internetowej rozszerzonych adresów URL. Jeśli żadna kontrola zabezpieczeń nie blokuje żądania, globalny bezpieczny dostęp szyfruje i przekazuje żądanie do miejsca docelowego.
Aby włączyć inspekcję protokołu TLS, wykonaj następujące kroki:
- Wygeneruj żądanie podpisania certyfikatu (CSR) w portalu globalnego bezpiecznego dostępu i podpisz żądanie CSR przy użyciu głównego lub pośredniego urzędu certyfikacji organizacji.
- Przekaż podpisany certyfikat do portalu.
Globalny bezpieczny dostęp używa tego certyfikatu jako pośredniego urzędu certyfikacji do inspekcji protokołu TLS. Podczas przechwytywania ruchu, Global Secure Access dynamicznie generuje krótkoterminowe certyfikaty końcowe przy użyciu certyfikatu pośredniego. Inspekcja protokołu TLS ustanawia dwa oddzielne połączenia TLS:
- Jeden z przeglądarki klienta do krawędzi globalnej usługi bezpiecznego dostępu
- Jeden z globalnego bezpiecznego dostępu do serwera docelowego
Global Secure Access używa certyfikatów liściowych podczas uzgadniania protokołu TLS między urządzeniami klienckimi a usługą. Aby zapewnić pomyślne uzgadnianie, zainstaluj główny urząd certyfikacji i pośredni urząd certyfikacji, jeśli jest używany do podpisywania żądania CSR, w zaufanym magazynie certyfikatów na wszystkich urządzeniach klienckich.
Dzienniki ruchu obejmują cztery pola metadanych związanych z protokołem TLS, które ułatwiają zrozumienie sposobu stosowania zasad protokołu TLS:
- TlsAction: ominięte lub przechwycone
- TlsPolicyId: unikatowy identyfikator zastosowanych zasad PROTOKOŁU TLS
- TlsPolicyName: czytelna nazwa zasad PROTOKOŁU TLS w celu ułatwienia dokumentacji
- TlsStatus: powodzenie lub niepowodzenie
Aby rozpocząć inspekcję protokołu TLS, zobacz Konfigurowanie zabezpieczeń warstwy transportu.
Obsługiwane szyfry
| Lista obsługiwanych szyfrów |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA —CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA —AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128—GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA —AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256—GCM-SHA384 |
| AES256-SHA |
Znane ograniczenia
Inspekcja protokołu TLS ma następujące znane ograniczenia:
- Inspekcja protokołu TLS obsługuje maksymalnie 100 zasad, 1000 reguł i 8000 lokacji.
- Upewnij się, że każde wygenerowane żądanie podpisania certyfikatu (CSR) ma unikatową nazwę certyfikatu i nie jest ponownie używane. Podpisany certyfikat musi być ważny przez co najmniej 6 miesięcy.
- Jednocześnie można użyć tylko jednego aktywnego certyfikatu.
- Inspekcja protokołu TLS nie obsługuje negocjacji HTTP/2. Większość witryn automatycznie wraca do protokołu HTTP/1.1 i nadal działa, ale witryny wymagające protokołu HTTP/2 nie będą ładowane, jeśli inspekcja protokołu TLS jest włączona. Dodaj niestandardową regułę obejścia protokołu TLS, aby zezwolić na dostęp tylko do witryn HTTP/2.
- Inspekcja TLS nie śledzi linków Authority Information Access (AIA) i Online Certificate Status Protocol (OCSP) podczas weryfikacji certyfikatów końcowych.
Platforma mobilna
- Wiele aplikacji mobilnych implementuje przypinanie certyfikatów, co zapobiega pomyślnej inspekcji protokołu TLS, co powoduje błędy uzgadniania lub utratę funkcjonalności. Aby zmniejszyć ryzyko, najpierw włącz inspekcję protokołu TLS w środowisku testowym i sprawdź, czy krytyczne aplikacje są zgodne. W przypadku aplikacji korzystających z przypinania certyfikatów skonfiguruj niestandardowe reguły inspekcji protokołu TLS w celu obejścia tych miejsc docelowych przy użyciu reguł opartych na domenie lub na podstawie kategorii.