Udostępnij za pośrednictwem


Co to jest inspekcja usługi Transport Layer Security? (wersja zapoznawcza)

Protokół Transport Layer Security (TLS) używa certyfikatów w warstwie transportowej, aby zapewnić prywatność, integralność i autentyczność danych wymienianych między dwiema komunikującymi się stronami. Chociaż protokół TLS zabezpiecza legalny ruch, złośliwy ruch, taki jak złośliwe oprogramowanie i ataki wycieków danych, nadal może ukrywać się za szyfrowaniem. Funkcja inspekcji protokołu TLS programu Microsoft Entra Internet Access zapewnia wgląd w zaszyfrowany ruch, udostępniając zawartość na potrzeby rozszerzonej ochrony, takie jak wykrywanie złośliwego oprogramowania, zapobieganie utracie danych, inspekcja monitów i inne zaawansowane mechanizmy kontroli zabezpieczeń.

Ważne

Funkcja inspekcji usługi Transport Layer Security jest obecnie dostępna w wersji zapoznawczej.
Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani domniemanych, w odniesieniu do podanych tutaj informacji.
W wersji zapoznawczej nie używaj inspekcji protokołu TLS w środowiskach produkcyjnych.

Ten artykuł zawiera omówienie procesu inspekcji protokołu TLS.

Proces inspekcji protokołu TLS

Po włączeniu inspekcji protokołu TLS usługa Global Secure Access odszyfrowuje żądania HTTPS na brzegu usługi i stosuje mechanizmy kontroli zabezpieczeń, takie jak pełne zasady filtrowania zawartości internetowej rozszerzonych adresów URL. Jeśli żadna kontrola zabezpieczeń nie blokuje żądania, globalny bezpieczny dostęp szyfruje i przekazuje żądanie do miejsca docelowego.

Aby włączyć inspekcję protokołu TLS, wykonaj następujące kroki:

  1. Wygeneruj żądanie podpisania certyfikatu (CSR) w portalu globalnego bezpiecznego dostępu i podpisz żądanie CSR przy użyciu głównego lub pośredniego urzędu certyfikacji organizacji.
  2. Przekaż podpisany certyfikat do portalu.

Globalny bezpieczny dostęp używa tego certyfikatu jako pośredniego urzędu certyfikacji do inspekcji protokołu TLS. Podczas przechwytywania ruchu, Global Secure Access dynamicznie generuje krótkoterminowe certyfikaty końcowe przy użyciu certyfikatu pośredniego. Inspekcja protokołu TLS ustanawia dwa oddzielne połączenia TLS:

  • Jeden z przeglądarki klienta do krawędzi globalnej usługi bezpiecznego dostępu
  • Jeden z globalnego bezpiecznego dostępu do serwera docelowego

Global Secure Access używa certyfikatów liściowych podczas uzgadniania protokołu TLS między urządzeniami klienckimi a usługą. Aby zapewnić pomyślne uzgadnianie, zainstaluj główny urząd certyfikacji i pośredni urząd certyfikacji, jeśli jest używany do podpisywania żądania CSR, w zaufanym magazynie certyfikatów na wszystkich urządzeniach klienckich.

Diagram przedstawiający proces inspekcji protokołu Transport Layer Security (TLS).

Dzienniki ruchu obejmują cztery pola metadanych związanych z protokołem TLS, które ułatwiają zrozumienie sposobu stosowania zasad protokołu TLS:

  • TlsAction: ominięte lub przechwycone
  • TlsPolicyId: unikatowy identyfikator zastosowanych zasad PROTOKOŁU TLS
  • TlsPolicyName: czytelna nazwa zasad PROTOKOŁU TLS w celu ułatwienia dokumentacji
  • TlsStatus: powodzenie lub niepowodzenie

Aby rozpocząć inspekcję protokołu TLS, zobacz Konfigurowanie zabezpieczeń warstwy transportu.

Obsługiwane szyfry

Lista obsługiwanych szyfrów
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA —CHACHA20-POLY1305
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA —AES128-SHA
ECDHE-RSA-AES128-SHA
AES128—GCM-SHA256
AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA —AES256-SHA
ECDHE-RSA-AES256-SHA
AES256—GCM-SHA384
AES256-SHA

Znane ograniczenia

Inspekcja protokołu TLS ma następujące znane ograniczenia:

  • Po włączeniu reguły inspekcji protokołu TLS wszystkie kategorie z wyjątkiem edukacji, instytucji rządowych, finansów i zdrowia i medycyny są domyślnie odszyfrowywane. Ponadto globalny bezpieczny dostęp zarządza listą obejść systemu zawierającą typowe miejsca docelowe, które są znane jako niezgodne z inspekcją protokołu TLS. Jeśli żądanie jest zgodne z obejściem systemu, akcja TLS jest rejestrowana jako pominięta. Trwają prace nad obsługą niestandardowych reguł protokołu TLS na potrzeby przechwytywania lub pomijania określonych miejsc docelowych lub kategorii. W międzyczasie skorzystaj z funkcji niestandardowego ominięcia w profilu przekazywania dostępu do Internetu, aby wykluczyć destynacje, na które wpływa inspekcja TLS.
  • Upewnij się, że każde wygenerowane żądanie podpisania certyfikatu (CSR) ma unikatową nazwę certyfikatu i nie jest ponownie używane. Podpisany certyfikat musi być ważny przez co najmniej jeden rok.
  • Jednocześnie można użyć tylko jednego aktywnego certyfikatu.
  • Inspekcja protokołu TLS nie obsługuje negocjacji protokołu Application-Layer (ALPN) w wersji 2. Jeśli lokacja docelowa wymaga protokołu HTTP/2, uzgadnianie nadrzędnego protokołu TLS kończy się niepowodzeniem, a lokacja nie jest dostępna po włączeniu inspekcji protokołu TLS.
  • Inspekcja TLS nie śledzi linków Authority Information Access (AIA) i Online Certificate Status Protocol (OCSP) podczas weryfikacji certyfikatów końcowych.
  • Wiele aplikacji mobilnych implementuje przypinanie certyfikatów, co uniemożliwia pomyślną inspekcję protokołu TLS i może prowadzić do błędów aplikacji. W związku z tym istnieje ograniczona obsługa inspekcji protokołu TLS na platformach mobilnych. W tej chwili zalecamy włączenie inspekcji protokołu TLS tylko dla platformy Windows.