Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O protocolo TLS (Transport Layer Security) usa certificados na camada de transporte para garantir a privacidade, a integridade e a autenticidade dos dados trocados entre duas partes comunicantes. Embora o TLS proteja o tráfego legítimo, o tráfego mal-intencionado, como malware e ataques de vazamento de dados, ainda pode se esconder atrás da criptografia. A funcionalidade de inspeção do TLS do Microsoft Entra Internet Access fornece visibilidade do tráfego criptografado, disponibilizando conteúdo para proteção aprimorada, como detecção de malware, prevenção contra perda de dados, inspeção de prompt e outros controles de segurança avançados.
Importante
O recurso de inspeção de Segurança da Camada de Transporte está atualmente em VERSÃO PRÉVIA.
Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.
Durante a versão prévia, não use a inspeção TLS em ambientes de produção.
Este artigo fornece uma visão geral do processo de inspeção do TLS.
O processo de inspeção do TLS
Ao habilitar a inspeção do TLS, o Acesso Seguro Global descriptografa solicitações HTTPS no perímetro do serviço e aplica controles de segurança, como políticas de filtragem de conteúdo da Web aprimoradas por URLs completas. Se nenhum controle de segurança bloquear a solicitação, o Acesso Seguro Global criptografa e encaminha a solicitação para o destino.
Para habilitar a inspeção do TLS, siga estas etapas:
- Gere uma CSR (solicitação de assinatura de certificado) no portal do Acesso Seguro Global e assine a CSR usando a autoridade de certificação raiz ou intermediária da sua organização.
- Carregue o certificado assinado no portal.
O Acesso Seguro Global usa esse certificado como uma autoridade de certificação intermediária para inspeção do TLS. Durante a interceptação de tráfego, o Acesso Seguro Global gera dinamicamente certificados folha de curta duração usando o certificado intermediário. A inspeção do TLS estabelece duas conexões TLS separadas:
- Uma conexão do navegador do cliente para um perímetro de serviço de Acesso Seguro Global
- Uma do Acesso Seguro Global ao servidor de destino
Global Secure Access usa certificados de folha durante handshakes de TLS entre dispositivos cliente e o serviço. Para garantir handshakes bem-sucedidos, instale sua autoridade de certificação raiz e a autoridade de certificação intermediária, se usada para assinar a CSR, no repositório de certificados confiável em todos os dispositivos cliente.
Os logs de tráfego incluem quatro campos de metadados relacionados ao TLS que ajudam você a entender como as políticas TLS são aplicadas:
- TlsAction: Ignorado ou interceptado
- TlsPolicyId: o identificador exclusivo da política TLS aplicada
- TlsPolicyName: o nome legível da política TLS para uma referência mais fácil
- TlsStatus: Êxito ou falha
Para começar a inspeção do TLS, consulte Configurar a Segurança da Camada de Transporte.
Cyphers com suporte
| Lista de criptografias com suporte |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA-AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Limitações conhecidas
A inspeção do TLS tem as seguintes limitações conhecidas:
- Quando uma regra de inspeção do TLS é habilitada, todas as categorias, exceto Educação, Governo, Finanças e Saúde e Medicina, são descriptografadas por padrão. Além disso, o Acesso Seguro Global gerencia uma lista de bypass do sistema que inclui destinos comuns conhecidos por serem incompatíveis com a inspeção do TLS. Se uma solicitação corresponder ao bypass do sistema, a ação TLS será registrada como Ignorada. O trabalho está em andamento para dar suporte a regras TLS personalizadas para interceptar ou ignorar destinos ou categorias específicos. Enquanto isso, use o recurso de bypass personalizado no perfil de encaminhamento do Internet Access para excluir destinos afetados pela inspeção de TLS.
- Verifique se cada CSR (solicitação de assinatura de certificado) gerada tem um nome de certificado exclusivo e não é reutilizado. O certificado assinado deve permanecer válido por pelo menos um ano.
- Você pode usar apenas um certificado ativo por vez.
- A inspeção do TLS não dá suporte a Application-Layer ALPN (Negociação de Protocolo) versão 2. Se um site de destino exigir HTTP/2, o handshake do TLS upstream falhará e o site não estará acessível quando a inspeção do TLS estiver habilitada.
- A inspeção do TLS não segue os links de Acesso às Informações da Autoridade (AIA) e do Protocolo de Status de Certificado Online (OCSP) ao validar os certificados de destino.
- Muitos aplicativos móveis implementam a fixação de certificado, o que impede a inspeção bem-sucedida do TLS e pode levar a falhas no aplicativo. Como resultado, há suporte limitado para inspeção do TLS em plataformas móveis. Neste momento, recomendamos habilitar a inspeção do TLS somente para a plataforma Windows."