Udostępnij przez

Często zadawane pytania dotyczące inspekcji zabezpieczeń warstwy transportu

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące inspekcji usługi Transport Layer Security.

Co to jest inspekcja protokołu Transport Layer Security (TLS)?

Inspekcja protokołu TLS odszyfrowuje i analizuje zaszyfrowany ruch sieciowy, aby pomóc organizacjom wykrywać zagrożenia, wymuszać zasady zabezpieczeń i zapobiegać eksfiltracji danych. Dzięki zaszyfrowaniu większości ruchu internetowego inspekcja protokołu TLS zapewnia wgląd w przepływy danych, które w przeciwnym razie byłyby nieprzezroczyste dla narzędzi zabezpieczeń. Inspekcja protokołu TLS umożliwia przedsiębiorstwom stosowanie zaawansowanych ochrony, takich jak filtrowanie zawartości bez naruszania poufności legalnej komunikacji.

Jak działa inspekcja protokołu TLS?

Inspekcja protokołu TLS umożliwia organizacjom analizowanie zaszyfrowanego ruchu sieciowego przez odszyfrowywanie go na potrzeby inspekcji zabezpieczeń i ponowne szyfrowanie go przed przekazaniem go do miejsca docelowego. Aby skutecznie wdrożyć inspekcję protokołu TLS, należy wziąć pod uwagę następujące najlepsze rozwiązania operacyjne:

  • Jasno komunikują się z użytkownikami: przed włączeniem inspekcji protokołu TLS w środowisku produkcyjnym upewnij się, że użytkownicy są informowani o sposobie obsługi zaszyfrowanego ruchu. Wiele organizacji decyduje się na podanie warunków użytkowania (ToU) lub podobnych powiadomień.
  • Wybierz urząd certyfikacji: wybierz główny lub pośredni urząd certyfikacji, aby podpisać żądanie podpisania certyfikatu (CSR) utworzone przez globalny bezpieczny dostęp do inspekcji protokołu TLS.
  • Definiowanie zasad protokołu TLS: skonfiguruj zasady inspekcji protokołu TLS, które są zgodne z wymaganiami dotyczącymi zabezpieczeń i działania organizacji.
  • Konfigurowanie dostępu warunkowego: utwórz zasady dostępu warunkowego i skojarz je z profilem zabezpieczeń Globalny bezpieczny dostęp połączony z zasadami TLS.
  • Rozłóż zaufany certyfikat: upewnij się, że wybrany urząd certyfikacji jest zainstalowany na wszystkich urządzeniach klienckich w celu ustanowienia zaufania i umożliwienia bezproblemowej inspekcji protokołu TLS.

Jakie algorytmy kryptograficzne są obsługiwane podczas generowania certyfikatów na potrzeby inspekcji protokołu TLS?

Globalny bezpieczny dostęp obsługuje obecnie algorytm SHA-256, SHA-384 i SHA-512 dla certyfikatów podpisywania.

Jak podpisać CSR przy użyciu usług certyfikatów Active Directory (AD CS)

Inspekcja protokołu TLS wymaga pośredniego urzędu certyfikacji, upewnij się, że używasz szablonu podrzędnego urzędu certyfikacji. Aby podpisać polecenie CSR wygenerowane na podstawie ustawień protokołu TLS, możesz użyć interfejsu użytkownika rejestracji internetowej usług AD CS lub użyć narzędzia wiersza polecenia certreq.

certreq -submit -attrib "CertificateTemplate:SubCA" "C:\pathtoyourCSR\tlsca.csr" "tlsca.cer"

Co to jest przypinanie certyfikatu i jak ma to wpływ na inspekcję protokołu TLS?

Przypinanie certyfikatów to mechanizm zabezpieczeń, który ogranicza połączenia TLS aplikacji z określonym zestawem zaufanych certyfikatów lub kluczy publicznych. Przypinanie certyfikatów gwarantuje, że aplikacja komunikuje się tylko z serwerami, które przedstawiają te dokładne poświadczenia, nawet jeśli inne certyfikaty są prawidłowe i zaufane przez system. Ta technika pomaga bronić przed atakami typu man-in-the-middle (MITM), zapobiegając nieautoryzowanemu przechwyceniu zaszyfrowanego ruchu. Jednak ingeruje również w narzędzia zabezpieczeń sieci, które polegają na inspekcji protokołu TLS, która działa przez odszyfrowywanie i ponowne szyfrowanie ruchu przy użyciu certyfikatu pośredniego.

Jak obsługiwać aplikacje korzystające z przypinania certyfikatu?

Połączenie nie powiedzie się, jeśli inspekcja protokołu TLS zakończy ruch z aplikacji korzystających z przypinania certyfikatu. Aby zapewnić, że aplikacje działają zgodnie z oczekiwaniami, utwórz niestandardową regułę obejścia w profilu przekazywania ruchu, aby wykluczyć ruch z tych aplikacji z poziomu globalnego bezpiecznego dostępu. Tę operację można wykonać w ramach niestandardowego obejścia w profilu przekazywania dostępu do Internetu. Pracujemy nad niestandardowymi regułami protokołu TLS, aby umożliwić uzyskiwanie ruchu i pomijanie tylko inspekcji protokołu TLS.

Jakie miejsca docelowe znajdują się w omijaniu systemowym?

Lista obejść systemu zawiera znane cele, które używają przypinania certyfikatu lub mają inne niezgodności z inspekcją protokołu TLS. Te miejsca docelowe są automatycznie wykluczane z inspekcji protokołu TLS w celu zapewnienia prawidłowej funkcjonalności. Lista obejść systemu jest regularnie aktualizowana w celu uwzględnienia nowych miejsc docelowych w miarę ich identyfikowania. Oto kilka przykładów miejsc docelowych na liście obejść systemu:

  • Adobe CRS
  • Regiony AplusPC UCC
  • App Center
  • Apple ESS Push Services
  • Diagnostyka Azure
  • Azure IoT Hub
  • Azure Management
  • Odbiornik usługi Azure WAN
  • Centanet
  • Central Plaza zamówienie online
  • Cisco Umbrella Proxy
  • DocuSign
  • Dropbox
  • e-Szigno
  • Globalna diagnostyka bezpiecznego dostępu
  • Agent urządzenia Guardz
  • iCloud
  • Likr Load Balancer
  • MediaTek
  • Mikropodpis
  • Microsoft Graph
  • Usługi logowania firmy Microsoft
  • O2 Moje logowanie
  • Rozwiązania OpenSpace
  • Usługa Power BI zewnętrzna
  • Sygnał
  • TeamViewer
  • Telemetria programu Visual Studio
  • Webex
  • WhatsApp
  • Aktualizacja systemu Windows
  • Chmura ZDX
  • Zscaler Beta
  • Zscaler Dwa
  • Powiększenie

Czy protokół TLS 1.3 jest obsługiwany?

Inspekcja protokołu TLS firmy Microsoft umożliwia domyślnie protokoły TLS 1.2 i TLS 1.3. Dla sesji wybrano wzajemnie obsługiwaną wersję, od klienta do globalnego bezpiecznego dostępu i z globalnego bezpiecznego dostępu do miejsc docelowych. Firma Microsoft Entra nie obsługuje protokołu TLS 1.3 z zaszyfrowaną funkcją hello klienta (ECH), ponieważ oznaczanie nazwy serwera (SNI) jest szyfrowane, co uniemożliwia globalnemu bezpieczny dostęp do tworzenia odpowiednich certyfikatów liścia na potrzeby kończenia żądań protokołu TLS.

Co się stanie, jeśli mam starsze aplikacje korzystające z mniej bezpiecznych wersji protokołu TLS, takich jak TLS 1.1?

Zalecamy pominięcie inspekcji protokołu TLS dla tych miejsc docelowych. Protokół TLS 1.2 jest minimalną zalecaną wersją, ponieważ starsze wersje, takie jak TLS 1.1 i TLS 1.0, nie są bezpieczne i są narażone na ataki. Jeśli to możliwe, przenieś te aplikacje, aby obsługiwać protokół TLS 1.2 lub nowszy.

Czy używasz sprzętowych modułów zabezpieczeń (HSM) do ochrony kluczy?

Używamy kluczy chronionych przez oprogramowanie. Globalne klucze certyfikatów pośrednich bezpiecznego dostępu są przechowywane w pamięci w celu dynamicznego generowania certyfikatów liści dla witryn internetowych. Chociaż te klucze nie są chronione przez moduł HSM, dostęp do naszych serwerów jest wysoce ograniczony i używamy rygorystycznych mechanizmów kontroli zabezpieczeń w celu ochrony dostępu do kluczy i integralności systemu.

Jakie inne funkcje globalnego bezpiecznego dostępu mają zależności od inspekcji protokołu TLS?

Mechanizmy kontroli zabezpieczeń oparte na zawartości mają zależności od inspekcji protokołu TLS, w tym filtrowania adresów URL, zasad dotyczących plików, zasad monitowania i włączania rozwiązań zabezpieczeń partnerów.

Treści powiązane