Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Transport Layer Security (TLS) protokoll a szállítási réteg tanúsítványait használja a két kommunikáló fél között kicserélt adatok védelmének, integritásának és hitelességének biztosítására. Bár a TLS biztonságossá teheti a jogszerű forgalmat, a rosszindulatú forgalom, például a kártevők és az adatszivárgási támadások továbbra is rejtve maradhatnak a titkosítás mögött. A Microsoft Entra Internet Access TLS ellenőrzési képessége a titkosított forgalom láthatóságát biztosítja azáltal, hogy a tartalmakat a fokozott védelem érdekében elérhetővé teszi, például a kártevők észlelését, az adatvesztés megelőzését, a gyors ellenőrzést és egyéb speciális biztonsági vezérlőket.
Fontos
A Transport Layer Security felügyeleti funkciója jelenleg előzetes verzióban érhető el.
Ezek az információk egy előzetes termékre vonatkoznak, amelyet a kiadás előtt jelentősen módosíthatnak. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
Az előzetes verzióban ne használjon TLS-ellenőrzést éles környezetben.
Ez a cikk áttekintést nyújt a TLS ellenőrzési folyamatáról.
A TLS-ellenőrzési folyamat
A TLS-ellenőrzés engedélyezésekor a Global Secure Access visszafejti a HTTPS-kéréseket a szolgáltatás peremhálózatán, és biztonsági vezérlőket alkalmaz, például teljes URL-címmel bővített webes tartalomszűrési szabályzatokat. Ha a biztonsági vezérlő nem blokkolja a kérést, a Global Secure Access titkosítja és továbbítja a kérést a célhelyre.
A TLS-ellenőrzés engedélyezéséhez kövesse az alábbi lépéseket:
- Hozzon létre egy tanúsítvány-aláírási kérést (CSR) a Globális biztonságos hozzáférés portálon, és írja alá a CSR-t a szervezet legfelső szintű vagy köztes hitelesítésszolgáltatójával.
- Töltse fel az aláírt tanúsítványt a portálra.
A Global Secure Access ezt a tanúsítványt használja köztes hitelesítésszolgáltatóként a TLS-vizsgálathoz. A forgalom elfogása során a Global Secure Access dinamikusan generál rövid élettartamú levéltanúsítványokat a köztes tanúsítvány használatával. A TLS-vizsgálat két különálló TLS-kapcsolatot hoz létre:
- Egyet az ügyfélböngészőből egy globális biztonságos hozzáférésű szolgáltatás peremhálózatára
- Egy a célkiszolgálóhoz való globális biztonságos hozzáférésről
A Global Secure Access levéltanúsítványokat használ az ügyféleszközök és a szolgáltatás közötti TLS-kézfogások során. A sikeres kézfogások biztosításához telepítse a főtanúsítvány-szolgáltatót és a köztes hitelesítésszolgáltatót, ha a CSR aláírásához használják, a megbízható tanúsítványtárolóban minden ügyféleszközön.
A forgalmi naplók négy TLS-hez kapcsolódó metaadatmezőt tartalmaznak, amelyek segítenek megérteni a TLS-szabályzatok alkalmazásának módját:
- TlsAction: Megkerülve vagy elfogva
- TlsPolicyId: Az alkalmazott TLS-szabályzat egyedi azonosítója
- TlsPolicyName: A TLS-szabályzat olvasható neve a könnyebb hivatkozás érdekében
- TlsStatus: Sikeres vagy sikertelen
A TLS-vizsgálat első lépéseit a Transport Layer Security konfigurálását ismertető cikkben találhatja meg.
Támogatott cipherek
| Támogatott cipherek listája |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA-AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Ismert korlátozások
A TLS-ellenőrzés a következő ismert korlátozásokkal rendelkezik:
- Ha engedélyezve van egy TLS-ellenőrzési szabály, a rendszer alapértelmezés szerint minden kategóriát visszafejt, kivéve az oktatást, a közigazgatást, a pénzügyet és az egészségügyet és az orvostudományt. Emellett a Global Secure Access kezeli a rendszer megkerülő listáját, amely olyan gyakori célhelyeket tartalmaz, amelyekről ismert, hogy nem kompatibilisek a TLS-ellenőrzéssel. Ha egy kérelem megegyezik a rendszer megkerülésével, a TLS-műveletet megkerültként naplózza a rendszer. Folyamatban van az egyes célhelyek vagy kategóriák elfogására vagy megkerülésére vonatkozó egyéni TLS-szabályok támogatása. Addig is használja az egyéni megkerülési funkciót az Internet Access továbbítási profiljában, hogy kizárja a TLS-vizsgálat által érintett célhelyeket.
- Győződjön meg arról, hogy minden létrehozott tanúsítvány-aláírási kérelem (CSR) egyedi tanúsítványnévvel rendelkezik, és nem lesz újra felhasználva. Az aláírt tanúsítványnak legalább egy évig érvényesnek kell lennie.
- Egyszerre csak egy aktív tanúsítványt használhat.
- A TLS-vizsgálat nem támogatja a Application-Layer Protocol Negotiation (ALPN) 2-es verzióját. Ha egy célhely http/2-t igényel, a felső TLS-kézfogás meghiúsul, és a webhely nem érhető el, ha engedélyezve van a TLS-ellenőrzés.
- A TLS-ellenőrzés nem követi a Hitelesítő információk elérése (AIA) és az online tanúsítványállapot-protokoll (OCSP) hivatkozásait a céltanúsítványok ellenőrzése során.
- Számos mobilalkalmazás implementálja a tanúsítvány-rögzítést, amely megakadályozza a sikeres TLS-ellenőrzést, és alkalmazáshibákhoz vezethet. Ennek eredményeképpen a mobilplatformokon korlátozott a TLS-ellenőrzés támogatása. Jelenleg azt javasoljuk, hogy csak a Windows platformon engedélyezze a TLS-ellenőrzést."