Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Protokol TLS (Transport Layer Security) používá certifikáty v přenosové vrstvě k zajištění ochrany osobních údajů, integrity a pravosti dat vyměňovaných mezi dvěma komunikačními stranami. Protokol TLS sice zabezpečuje legitimní provoz, ale škodlivý provoz, jako je malware a útoky na únik dat, se stále můžou skrýt za šifrováním. Funkce kontroly protokolu TLS aplikace Microsoft Entra Internet Access poskytuje přehled o šifrovaných přenosech tím, že zpřístupňuje obsah pro rozšířenou ochranu, jako je detekce malwaru, ochrana před únikem informací, kontrola výzvy a další pokročilé bezpečnostní prvky.
Důležité
Funkce kontroly bezpečnosti na transportní vrstvě je aktuálně v předběžné verzi.
Tyto informace se týkají předběžného produktu, který může být před vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde.
Ve verzi Preview nepoužívejte kontrolu protokolu TLS v produkčních prostředích.
Tento článek poskytuje přehled procesu kontroly protokolu TLS.
Proces kontroly protokolu TLS
Když povolíte kontrolu protokolu TLS, globální zabezpečený přístup dešifruje požadavky HTTPS na hraničních zařízeních služby a použije bezpečnostní prvky, jako jsou úplné zásady filtrování webového obsahu s rozšířenou adresou URL. Pokud požadavek nezablokuje žádný kontrolní prvek zabezpečení, globální zabezpečený přístup požadavek zašifruje a předává ho do cíle.
Pokud chcete povolit kontrolu protokolu TLS, postupujte takto:
- Vygenerujte žádost o podepsání certifikátu (CSR) na globálním portálu zabezpečeného přístupu a podepište CSR pomocí kořenové nebo zprostředkující certifikační autority vaší organizace.
- Nahrajte podepsaný certifikát na portál.
Globální zabezpečený přístup používá tento certifikát jako zprostředkující certifikační autoritu pro kontrolu protokolu TLS. Během zachycení provozu globální zabezpečený přístup dynamicky generuje krátkodobé listové certifikáty pomocí zprostředkujícího certifikátu. Kontrola protokolu TLS vytváří dvě samostatná připojení TLS:
- Jeden z klientského prohlížeče do globální služby zabezpečeného přístupu na okraji sítě.
- Jeden z globálního zabezpečeného přístupu k cílovému serveru
Globální zabezpečený přístup používá leaf certifikáty během handshakeu TLS mezi klientskými zařízeními a službou. K zajištění úspěšného handshake nainstalujte kořenovou certifikační autoritu, a pokud se používá k podepisování CSR, také zprostředkující certifikační autoritu do důvěryhodného úložiště certifikátů na všech klientských zařízeních.
Protokoly provozu zahrnují čtyři pole metadat souvisejících s protokolem TLS, která vám pomůžou pochopit, jak se používají zásady TLS:
- TlsAction: Vynecháno nebo zachyceno
- TlsPolicyId: Jedinečný identifikátor použité zásady TLS
- TlsPolicyName: čitelný název zásady TLS pro snadnější referenci
- TlsStatus: Úspěch nebo selhání
Pokud chcete začít s kontrolou protokolu TLS, přečtěte si téma Konfigurace zabezpečení přenosové vrstvy.
Podporované šifry
| Seznam podporovaných cypherů |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| CHACHA20-POLY1305 ECDHE-RSA |
| ECDHE-ECDSA-AES128-SHA |
| AES128-SHA ECDHE-RSA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| AES256-SHA ECDHE-RSA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Známá omezení
Kontrola protokolu TLS má následující známá omezení:
- Pokud je povolené pravidlo kontroly protokolu TLS, dešifrují se ve výchozím nastavení všechny kategorie kromě vzdělávání, státní správy, financí a zdravotnictví a lékařství. Globální zabezpečený přístup navíc spravuje seznam obejití systému, který obsahuje běžné cíle, o kterých je známo, že nejsou kompatibilní s kontrolou protokolu TLS. Pokud požadavek odpovídá obejití systému, akce TLS se zaprotokoluje jako vynechaná. Práce probíhá tak, aby podporovala vlastní pravidla TLS pro zachycení nebo obejití konkrétních cílů nebo kategorií. Do té doby použijte funkci vlastního obejití v profilu přesměrování přístupu k Internetu, abyste vyloučili cíle, které kontrola protokolu TLS ovlivňuje.
- Ujistěte se, že každá žádost o podepsání certifikátu (CSR), kterou vygenerujete, má jedinečný název certifikátu a znovu se nepoužívá. Podepsaný certifikát musí zůstat platný alespoň jeden rok.
- Současně můžete použít jenom jeden aktivní certifikát.
- Kontrola protokolu TLS nepodporuje vyjednávání protokolu Application-Layer (ALPN) verze 2. Pokud cílová lokalita vyžaduje PROTOKOL HTTP/2, nadřazený protokol TLS handshake selže a web není přístupný, když je povolená kontrola protokolu TLS.
- Při ověřování cílových certifikátů inspekce TLS nesleduje odkazy AIA (Authority Information Access) a OCSP (Online Certificate Status Protocol).
- Mnoho mobilních aplikací implementuje připnutí certifikátu, což brání úspěšné kontrole protokolu TLS a může vést k chybám aplikace. V důsledku toho existuje omezená podpora kontroly protokolu TLS na mobilních platformách. V tuto chvíli doporučujeme povolit kontrolu protokolu TLS jenom pro platformu Windows.