Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O protocolo TLS (Transport Layer Security) usa certificados na camada de transporte para garantir a privacidade, integridade e autenticidade dos dados trocados entre duas partes comunicantes. Embora o TLS proteja o tráfego legítimo, o tráfego malicioso, como malware e ataques de vazamento de dados, ainda pode se esconder atrás da criptografia. O recurso de inspeção TLS do Microsoft Entra Internet Access fornece visibilidade do tráfego criptografado disponibilizando conteúdo para proteção aprimorada, como deteção de malware, prevenção de perda de dados, inspeção imediata e outros controles de segurança avançados. Este artigo fornece uma visão geral do processo de inspeção TLS.
O processo de inspeção TLS
Quando habilita a inspeção TLS, o Acesso Seguro Global desencripta solicitações HTTPS na borda do serviço e aplica controlos de segurança, tal como políticas de filtragem de conteúdos web melhoradas com URL completo. Se nenhum controle de segurança bloquear a solicitação, o Acesso Seguro Global criptografará e encaminhará a solicitação para o destino.
Para habilitar a inspeção TLS, siga estas etapas:
- Gere uma solicitação de assinatura de certificado (CSR) no portal Global Secure Access e assine a CSR usando a autoridade de certificação raiz ou intermediária da sua organização.
- Carregue o certificado assinado no portal.
O Global Secure Access usa esse certificado como uma autoridade de certificação intermediária para inspeção TLS. Durante a intercetação de tráfego, o Global Secure Access gera dinamicamente certificados leaf de curta duração usando o certificado intermediário. A inspeção TLS estabelece duas conexões TLS separadas:
- Uma solicitação do navegador do cliente para um ponto de serviço de Acesso Seguro Global
- Um de Acesso Seguro Global para o servidor de destino
Global Secure Access usa certificados de folha durante handshakes de TLS entre dispositivos do cliente e o serviço. Para garantir apertos de mão bem-sucedidos, instale a autoridade de certificação raiz e a autoridade de certificação intermediária, caso sejam usadas para assinar o CSR, no armazenamento de certificados de confiança em todos os dispositivos de cliente.
Os logs de tráfego incluem quatro campos de metadados relacionados ao TLS que ajudam a entender como as políticas TLS são aplicadas:
- TlsAction: Ignorado ou interceptado
- TlsPolicyId: O identificador exclusivo da política TLS aplicada
- TlsPolicyName: O nome legível da política TLS para facilitar a referência
- TlsStatus: Sucesso ou Fracasso
Para começar a usar a inspeção TLS, consulte Configurar a segurança da camada de transporte.
Cyphers suportados
| Lista de cifras suportadas |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA-AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Limitações conhecidas
A inspeção TLS tem as seguintes limitações conhecidas:
- A inspeção TLS suporta até 100 políticas, 1000 regras e 8000 destinos.
- Verifique se cada solicitação de assinatura de certificado (CSR) gerada tem um nome de certificado exclusivo e não é reutilizada. O certificado assinado deve permanecer válido por pelo menos 6 meses.
- Você pode usar apenas um certificado ativo de cada vez.
- A inspeção de TLS não suporta a negociação de HTTP/2. A maioria dos sites volta automaticamente ao HTTP/1.1 e continua a funcionar, mas os sites que requerem HTTP/2 não carregam se a inspeção TLS estiver ativada. Adicionar uma regra personalizada de exceção TLS para permitir o acesso a sites que suportem apenas HTTP/2.
- A inspeção TLS não segue os links AIA (Acesso às Informações da Autoridade) e OCSP (Online Certificate Status Protocol) ao validar certificados de destino.
Plataforma móvel
- Muitos aplicativos móveis implementam a fixação de certificados, o que impede uma inspeção TLS bem-sucedida, resultando em falhas de handshake ou perda de funcionalidade. Para reduzir o risco, habilite a inspeção TLS em um ambiente de teste primeiro e valide se os aplicativos críticos são compatíveis. Para aplicativos que dependem da fixação de certificados, configure regras personalizadas de inspeção TLS para ignorar esses destinos usando regras baseadas em domínio ou categoria.