Preguntas más frecuentes sobre la inspección de seguridad de la capa de transporte (versión preliminar)

En este artículo se responden las preguntas más frecuentes sobre la inspección de seguridad de la capa de transporte.

¿Qué es la inspección de seguridad de la capa de transporte (TLS)?

La inspección de TLS descifra y analiza el tráfico de red cifrado para detectar amenazas, aplicar directivas de seguridad y evitar la filtración de datos. Dado que la mayoría del tráfico de Internet está cifrado, la inspección del tráfico de red es fundamental para una seguridad completa.

¿Cómo funciona la inspección de TLS?

La inspección de TLS intercepta el tráfico de red cifrado, lo descifra para el análisis de seguridad y lo vuelve a cifrar antes de enviarlo a su destino. Para implementar correctamente la inspección de TLS, siga estos procedimientos recomendados: antes de habilitar la inspección de TLS en un entorno activo, trabaje con los equipos legales y de privacidad de su organización para redactar una directiva de términos de uso (ToU) para los usuarios. - Seleccione una entidad de certificación raíz o una entidad de certificación intermedia para firmar la solicitud de firma de certificados (CSR) para el acceso seguro global. - Configure una directiva TLS que se adapte a las necesidades de su organización. - Cree una directiva de acceso condicional y asóciela al perfil de seguridad de acceso seguro global que esté vinculado a la directiva TLS. - Asegúrese de que la entidad de certificación raíz o la entidad de certificación intermedia esté instalada en todos los dispositivos cliente para establecer la confianza para la inspección de TLS.

¿Qué es el anclaje de certificados y cómo afecta a la inspección de TLS?

El anclaje de certificados restringe las conexiones TLS de una aplicación a certificados específicos. Esta restricción impide la interceptación, pero también bloquea las soluciones de seguridad que dependen de la inspección de TLS.

¿Cómo debo controlar las aplicaciones que usan el anclaje de certificados?

Se produce un error en la conexión si la inspección de TLS finaliza el tráfico de las aplicaciones que usan el anclaje de certificados. Para asegurarse de que las aplicaciones funcionan según lo previsto, cree una regla de omisión personalizada en el perfil de reenvío de tráfico para excluir el tráfico de estas aplicaciones de Acceso seguro global. Puede realizar esta operación como parte de la omisión personalizada en el perfil de reenvío de acceso a Internet. Estamos trabajando en reglas TLS personalizadas para permitirle adquirir tráfico y omitir solo la inspección de TLS.

¿Se admite TLS 1.3?

La inspección de TLS de Microsoft Entra habilita TLS 1.2 y TLS 1.3 de forma predeterminada. La versión más alta admitida mutuamente se selecciona para la sesión, desde el cliente hasta el acceso seguro global y desde acceso seguro global a los destinos. Microsoft Entra no admite TLS 1.3 con El saludo de cliente cifrado (ECH) porque la indicación de nombre de servidor (SNI) está cifrada, lo que impide que el acceso seguro global cree los certificados hoja correspondientes para la terminación TLS.

¿Qué ocurre si tengo aplicaciones heredadas que usan versiones TLS menos seguras, como TLS 1.1?

Se recomienda omitir la inspección de TLS para estos destinos. TLS 1.2 es la versión mínima recomendada porque las versiones anteriores, como TLS 1.1 y TLS 1.0, no son seguras y son vulnerables a ataques. Cuando sea posible, mueva estas aplicaciones para admitir TLS 1.2 o superior.

¿Usa módulos de seguridad de hardware (HSM) para proteger las claves?

Usamos claves protegidas por software. Las claves de certificado intermedias de Acceso seguro global se almacenan en memoria para generar dinámicamente certificados hoja para sitios web. Aunque estas claves no están protegidas por un HSM, el acceso a nuestros servidores está muy restringido y usamos controles de seguridad estrictos para proteger el acceso a las claves y la integridad del sistema.

¿Qué otras características de acceso seguro global tienen dependencias en la inspección de TLS?

Los controles de seguridad basados en contenido tienen dependencias en la inspección de TLS, incluido el filtrado de categorías web mejoradas por url, antimalware, DLP, ATP y otros. Además, las notificaciones de bloqueo de acceso seguro global requieren que habilite la inspección de TLS.

Contenido relacionado

• ¿Qué es la inspección de seguridad de la capa de transporte?
• Configurar la seguridad de la capa de transporte

En este artículo se responden las preguntas más frecuentes sobre la inspección de seguridad de la capa de transporte.

La inspección de TLS descifra y analiza el tráfico de red cifrado para detectar amenazas, aplicar directivas de seguridad y evitar la filtración de datos. Dado que la mayoría del tráfico de Internet está cifrado, la inspección del tráfico de red es fundamental para una seguridad completa.

La inspección de TLS intercepta el tráfico de red cifrado, lo descifra para el análisis de seguridad y lo vuelve a cifrar antes de enviarlo a su destino. Para implementar correctamente la inspección de TLS, siga estos procedimientos recomendados: antes de habilitar la inspección de TLS en un entorno activo, trabaje con los equipos legales y de privacidad de su organización para redactar una directiva de términos de uso (ToU) para los usuarios. - Seleccione una entidad de certificación raíz o una entidad de certificación intermedia para firmar la solicitud de firma de certificados (CSR) para el acceso seguro global. - Configure una directiva TLS que se adapte a las necesidades de su organización. - Cree una directiva de acceso condicional y asóciela al perfil de seguridad de acceso seguro global que esté vinculado a la directiva TLS. - Asegúrese de que la entidad de certificación raíz o la entidad de certificación intermedia esté instalada en todos los dispositivos cliente para establecer la confianza para la inspección de TLS.

El anclaje de certificados restringe las conexiones TLS de una aplicación a certificados específicos. Esta restricción impide la interceptación, pero también bloquea las soluciones de seguridad que dependen de la inspección de TLS.

Se produce un error en la conexión si la inspección de TLS finaliza el tráfico de las aplicaciones que usan el anclaje de certificados. Para asegurarse de que las aplicaciones funcionan según lo previsto, cree una regla de omisión personalizada en el perfil de reenvío de tráfico para excluir el tráfico de estas aplicaciones de Acceso seguro global. Puede realizar esta operación como parte de la omisión personalizada en el perfil de reenvío de acceso a Internet. Estamos trabajando en reglas TLS personalizadas para permitirle adquirir tráfico y omitir solo la inspección de TLS.

La inspección de TLS de Microsoft Entra habilita TLS 1.2 y TLS 1.3 de forma predeterminada. La versión más alta admitida mutuamente se selecciona para la sesión, desde el cliente hasta el acceso seguro global y desde acceso seguro global a los destinos. Microsoft Entra no admite TLS 1.3 con El saludo de cliente cifrado (ECH) porque la indicación de nombre de servidor (SNI) está cifrada, lo que impide que el acceso seguro global cree los certificados hoja correspondientes para la terminación TLS.

Se recomienda omitir la inspección de TLS para estos destinos. TLS 1.2 es la versión mínima recomendada porque las versiones anteriores, como TLS 1.1 y TLS 1.0, no son seguras y son vulnerables a ataques. Cuando sea posible, mueva estas aplicaciones para admitir TLS 1.2 o superior.

Usamos claves protegidas por software. Las claves de certificado intermedias de Acceso seguro global se almacenan en memoria para generar dinámicamente certificados hoja para sitios web. Aunque estas claves no están protegidas por un HSM, el acceso a nuestros servidores está muy restringido y usamos controles de seguridad estrictos para proteger el acceso a las claves y la integridad del sistema.

Los controles de seguridad basados en contenido tienen dependencias en la inspección de TLS, incluido el filtrado de categorías web mejoradas por url, antimalware, DLP, ATP y otros. Además, las notificaciones de bloqueo de acceso seguro global requieren que habilite la inspección de TLS.

Contenido relacionado

• ¿Qué es la inspección de seguridad de la capa de transporte?
• Configurar la seguridad de la capa de transporte