Más información sobre Microsoft Entra Internet Access para todas las aplicaciones
Microsoft Entra Internet Access proporciona una solución de puerta de enlace web segura (SWG) centrada en la identidad para aplicaciones de software como servicio (SaaS) y otro tráfico de Internet. Protege a los usuarios, dispositivos y datos del amplio panorama de amenazas de Internet con los mejores controles de seguridad y visibilidad a través de los registros de tráfico.
Filtrado de contenido web
La característica de introducción clave para Microsoft Entra Internet Access para todas las aplicaciones es filtrado de contenido web. Esta característica proporciona control de acceso pormenorizado para categorías web y nombres de dominio completo (FQDN). Al bloquear explícitamente sitios inapropiados, malintencionados o no seguros conocidos, protege a los usuarios y sus dispositivos de cualquier conexión a Internet tanto si son remotos como dentro de la red corporativa.
Cuando el tráfico llega a Secure Service Edge de Microsoft, Acceso a Internet de Microsoft Entra realiza controles de seguridad de dos maneras. Para el tráfico HTTP sin cifrar, usa el localizador uniforme de recursos (URL). Para el tráfico HTTPS cifrado con Seguridad de la capa de transporte (TLS), usa la Indicación de nombre de servidor (SNI).
El filtrado de contenido web se implementa mediante directivas de filtrado, que se agrupan en perfiles de seguridad, que se pueden vincular a directivas de acceso condicional. Para obtener más información sobre el acceso condicional, consulte Acceso condicional de Microsoft Entra.
Nota:
Aunque el filtrado de contenido web es una funcionalidad básica para cualquier puerta de enlace web segura, existen funcionalidades similares en otros productos de seguridad, como productos de seguridad de puntos de conexión, como Microsoft Defender para punto de conexión y firewalls como Azure Firewall. El Acceso a Internet de Microsoft Entra proporciona un valor de seguridad adicional a través de la integración de directivas con Microsoft Entra ID, cumplimiento de directivas en el perímetro de la nube, compatibilidad universal con todas las plataformas de dispositivos y mejoras de seguridad futuras a través de la inspección de seguridad de la capa de transporte (TLS), como la categorización web de mayor fidelidad. Obtenga más información en las Preguntas más frecuentes.
Perfiles de seguridad de campo
Los perfiles de seguridad son objetos que se usan para agrupar directivas de filtrado y entregarlas a través de directivas de acceso condicional compatibles con el usuario. Por ejemplo, para bloquear todos los sitios web de Noticias, excepto para msn.com para el usuario angie@contoso.com crea dos directivas de filtrado web y las agrega a un perfil de seguridad. A continuación, tome el perfil de seguridad y vincule a una directiva de acceso condicional asignada a angie@contoso.com.
"Security Profile for Angie" <---- the security profile
Allow msn.com at priority 100 <---- higher priority filtering policies
Block News at priority 200 <---- lower priority filtering policy
Lógica de procesamiento de directivas
Dentro de un perfil de seguridad, las directivas se aplican según la ordenación lógica de números de prioridad únicos, con 100 siendo la prioridad más alta y 65 000 siendo la prioridad más baja (similar a la lógica de firewall tradicional). Como procedimiento recomendado, añade un espaciado de aproximadamente 100 entre prioridades para permitir la flexibilidad de políticas en el futuro.
Una vez que vincule un perfil de seguridad a una directiva de acceso condicional (CA), si coinciden varias directivas de CA, ambos perfiles de seguridad se procesan en orden de prioridad de los perfiles de seguridad coincidentes.
Importante
El perfil de seguridad de línea base se aplica a todo el tráfico incluso sin vincularlo a una directiva de acceso condicional. Aplica la directiva con la prioridad más baja en la pila de directivas, aplicando a todo el tráfico de Acceso a Internet enrutado a través del servicio como una directiva "catch-all". El perfil de seguridad de línea base se ejecuta incluso si una directiva de acceso condicional coincide con otro perfil de seguridad.
Restricciones conocidas
- La plataforma supone puertos estándar para el tráfico HTTP/S (puertos 80 y 443).
- IPv6 aún no se admite en esta plataforma.
- UDP aún no se admite en esta plataforma.
- Las notificaciones de usuario final fáciles de usar están en desarrollo.
- La conectividad de red remota para el acceso a internet está en desarrollo.
- La terminación de seguridad de la capa de transporte (TLS) está en desarrollo.
- El filtrado basado en rutas URL y la categorización de URL para tráfico HTTP y HTTPS están en desarrollo.
- Actualmente, un administrador puede crear hasta 100 directivas de filtrado de contenido web y hasta 1000 reglas basadas en hasta 8000 FQDN totales. Los administradores también pueden crear hasta 256 perfiles de seguridad.