Aktarım Katmanı Güvenliği denetimi için sık sorulan sorular

Bu makalede, Aktarım Katmanı Güvenliği denetimi hakkında sık sorulan sorular yanıtlanmaktadır.

Aktarım Katmanı Güvenliği (TLS) denetimi nedir?

TLS incelemesi, kuruluşların tehditleri algılamasına, güvenlik ilkelerini zorunlu kılmasına ve veri sızdırmasını önlemesine yardımcı olmak için şifrelenmiş ağ trafiğinin şifresini çözer ve analiz eder. İnternet trafiğinin çoğunluğu artık şifrelenirken TLS incelemesi, aksi takdirde güvenlik araçlarına uygun olmayan veri akışlarına görünürlük sağlar. TLS denetimi, kuruluşların meşru iletişimlerin gizliliğinden ödün vermeden içerik filtreleme gibi gelişmiş korumalar uygulamasına olanak tanır.

TLS denetimi nasıl çalışır?

TLS denetimi, kuruluşların şifrelenmiş ağ trafiğini güvenlik denetimi için şifrelerini çözerek ve hedefine iletmeden önce yeniden şifreleyerek analiz etmelerini sağlar. TLS incelemesini etkili bir şekilde uygulamak için aşağıdaki operasyonel en iyi yöntemleri göz önünde bulundurun:

• Kullanıcılarla net bir şekilde iletişim kurun: Üretim ortamında TLS incelemesini etkinleştirmeden önce kullanıcıların şifrelenmiş trafiğin nasıl işlendiği hakkında bilgi sahibi olduğundan emin olun. Birçok kuruluş Kullanım Koşulları (ToU) veya benzer bir bildirim sağlamayı tercih edebilir.
• Sertifika yetkilisi seçin: TLS denetimi için Genel Güvenli Erişim tarafından oluşturulan Sertifika İmzalama İsteğini (CSR) imzalamak için bir kök veya ara sertifika yetkilisi seçin.
• TLS ilkesi tanımlama: Kuruluşunuzun güvenlik ve işletim gereksinimleriyle uyumlu bir TLS denetleme ilkesi yapılandırın.
• Koşullu Erişimi Yapılandırma: Koşullu Erişim ilkesi oluşturun ve bunu TLS ilkesine bağlı Genel Güvenli Erişim güvenlik profiliyle ilişkilendirin.
• Güvenilen sertifikayı dağıtın: Güven oluşturmak ve sorunsuz TLS incelemesini etkinleştirmek için seçilen sertifika yetkilisinin tüm istemci cihazlarına yüklendiğinden emin olun.

TLS denetimi için Sertifikalar oluşturulurken desteklenen şifreleme algoritmaları nelerdir?

Genel Güvenli Erişim şu anda imzalama sertifikaları için SHA-256, SHA-384 ve SHA-512'yi desteklemektedir.

Active Directory Sertifika Hizmetleri'ni (AD CS) Kullanarak CSR'yi Nasıl İmzalarım?

TLS incelemesi bir ara sertifika yetkilisi gerektirir, Alt CA şablonunu kullandığınızdan emin olun. TLS ayarlarından oluşturulan CSR'yi imzalamak için AD CS web kaydı kullanıcı arabirimini veya certreq komut satırı aracını kullanabilirsiniz.

certreq -submit -attrib "CertificateTemplate:SubCA" "C:\pathtoyourCSR\tlsca.csr" "tlsca.cer"

Sertifika sabitleme nedir ve TLS incelemesini nasıl etkiler?

Sertifika sabitleme, uygulamanın TLS bağlantılarını belirli bir güvenilen sertifika veya ortak anahtar kümesiyle kısıtlayan bir güvenlik mekanizmasıdır. Sertifika sabitleme, diğer sertifikalar sistem tarafından geçerli ve güvenilir olsa bile uygulamanın yalnızca bu kimlik bilgilerini sunan sunucularla iletişim kurmasını sağlar. Bu teknik, şifrelenmiş trafiğin yetkisiz şekilde kesilmesini engelleyerek ortadaki adam (MITM) saldırılarına karşı savunmaya yardımcı olur. Ancak, bir aracı sertifika kullanarak trafiğin şifresini çözerek ve yeniden şifreleyerek çalışan TLS incelemesini kullanan ağ güvenlik araçlarını da engeller.

Sertifika sabitleme kullanan uygulamaları nasıl işleyebilirim?

TLS incelemesi sertifika sabitleme kullanan uygulamalardan gelen trafiği sonlandırırsa bağlantı başarısız olur. Uygulamalarınızın beklendiği gibi çalıştığından emin olmak için, trafik iletme profilinde bu uygulamalardan gelen trafiği Genel Güvenli Erişim'in dışında tutmak için özel bir atlama kuralı oluşturun. Bu işlemi, İnternet erişim iletme profilindeki özel atlamanın bir parçası olarak gerçekleştirebilirsiniz. Trafiği almanıza ve yalnızca TLS incelemesini atlamanıza olanak sağlamak için özel TLS kuralları üzerinde çalışıyoruz.

Sistem atlamasında hangi hedefler yer alıyor?

Sistem atlama listesi, sertifika sabitleme kullanan veya TLS denetimiyle ilgili diğer uyumsuzlukları olan bilinen hedefleri içerir. Uygun işlevselliği sağlamak için bu hedefler otomatik olarak TLS incelemesinin dışında tutulur. Sistem atlama listesi, tanımlanan yeni hedefleri içerecek şekilde düzenli olarak güncelleştirilir. Sistem atlama listesindeki hedeflere birkaç örnek şunlardır:

• Adobe CRS
• AplusPC UCC Bölgeleri
• App Center
• Apple ESS Anında İletme Hizmetleri
• Azure Tanılama Araçları
• Azure IoT Hub
• Azure Yönetimi
• Azure WAN Dinleyicisi
• Centanet
• Central Plaza e-Sipariş
• Cisco Umbrella Proxy
• DocuSign
• Dropbox
• e-Szigno
• Genel Güvenli Erişim Tanılaması
• Guardz Cihaz Ajanı
• iCloud
• Likr Load Balancer
• MediaTek
• Mikro İmzalayıcı
• Microsoft Grafiği
• Microsoft Oturum Açma Hizmetleri
• O2 Moje Oturum Açma
• OpenSpace Çözümleri
• Power BI Harici
• Sinyal
• TeamViewer
• Visual Studio Telemetrisi
• Webex
• WhatsApp
• Windows Güncellemeleri
• ZDX Bulutu
• Zscaler Beta
• Zscaler İki
• Yakınlaştırma

TLS 1.3 destekleniyor mu?

Microsoft Entra TLS incelemesi, TLS 1.2 ve TLS 1.3'e varsayılan olarak olanak tanır. Oturum için istemciden Genel Güvenli Erişim'e ve Genel Güvenli Erişim'den hedeflere kadar karşılıklı olarak desteklenen en yüksek sürüm seçilir. Sunucu Adı Göstergesi (SNI) şifrelendiğinden, Genel Güvenli Erişimin TLS sonlandırması için karşılık gelen yaprak sertifikaları oluşturmasını önleyen Microsoft Entra, Şifrelenmiş İstemci Hello (ECH) ile TLS 1.3'i desteklemez.

TLS 1.1 gibi daha az güvenli TLS sürümleri kullanan eski uygulamalarım varsa ne olur?

Bu hedefler için TLS incelemesini atlamanızı öneririz. TLS 1.1 ve TLS 1.0 gibi eski sürümler güvenli olmadığından ve saldırılara karşı savunmasız olduğundan TLS 1.2 önerilen en düşük sürümdür. Mümkün olduğunda, bu uygulamaları TLS 1.2 veya üzerini destekleyecek şekilde taşıyın.

Anahtarları korumak için donanım güvenlik modülleri (HSM) kullanıyor musunuz?

Yazılım korumalı anahtarları kullanırız. Genel Güvenli Erişim ara sertifika anahtarları, web siteleri için dinamik olarak yaprak sertifikalar oluşturmak üzere bellekte depolanır. Bu anahtarlar bir HSM tarafından korunmasa da sunucularımıza erişim yüksek oranda kısıtlanmıştır ve anahtar erişimini ve sistem bütünlüğünü korumak için katı güvenlik denetimleri kullanırız.

Diğer hangi Genel Güvenli Erişim özelliklerinin TLS denetimine bağımlılıkları vardır?

İçerik tabanlı güvenlik denetimlerinin URL filtreleme, Dosya ilkeleri, istem ilkeleri ve iş ortağı güvenlik çözümlerini etkinleştirme gibi TLS denetimine bağımlılıkları vardır.

İlgili içerik

• Aktarım Katmanı Güvenliği denetimi nedir?
• Aktarım Katmanı Güvenliğini Yapılandırma

Bu makalede, Aktarım Katmanı Güvenliği denetimi hakkında sık sorulan sorular yanıtlanmaktadır.

TLS incelemesi, kuruluşların tehditleri algılamasına, güvenlik ilkelerini zorunlu kılmasına ve veri sızdırmasını önlemesine yardımcı olmak için şifrelenmiş ağ trafiğinin şifresini çözer ve analiz eder. İnternet trafiğinin çoğunluğu artık şifrelenirken TLS incelemesi, aksi takdirde güvenlik araçlarına uygun olmayan veri akışlarına görünürlük sağlar. TLS denetimi, kuruluşların meşru iletişimlerin gizliliğinden ödün vermeden içerik filtreleme gibi gelişmiş korumalar uygulamasına olanak tanır.

TLS denetimi, kuruluşların şifrelenmiş ağ trafiğini güvenlik denetimi için şifrelerini çözerek ve hedefine iletmeden önce yeniden şifreleyerek analiz etmelerini sağlar. TLS incelemesini etkili bir şekilde uygulamak için aşağıdaki operasyonel en iyi yöntemleri göz önünde bulundurun:

• Kullanıcılarla net bir şekilde iletişim kurun: Üretim ortamında TLS incelemesini etkinleştirmeden önce kullanıcıların şifrelenmiş trafiğin nasıl işlendiği hakkında bilgi sahibi olduğundan emin olun. Birçok kuruluş Kullanım Koşulları (ToU) veya benzer bir bildirim sağlamayı tercih edebilir.
• Sertifika yetkilisi seçin: TLS denetimi için Genel Güvenli Erişim tarafından oluşturulan Sertifika İmzalama İsteğini (CSR) imzalamak için bir kök veya ara sertifika yetkilisi seçin.
• TLS ilkesi tanımlama: Kuruluşunuzun güvenlik ve işletim gereksinimleriyle uyumlu bir TLS denetleme ilkesi yapılandırın.
• Koşullu Erişimi Yapılandırma: Koşullu Erişim ilkesi oluşturun ve bunu TLS ilkesine bağlı Genel Güvenli Erişim güvenlik profiliyle ilişkilendirin.
• Güvenilen sertifikayı dağıtın: Güven oluşturmak ve sorunsuz TLS incelemesini etkinleştirmek için seçilen sertifika yetkilisinin tüm istemci cihazlarına yüklendiğinden emin olun.

Genel Güvenli Erişim şu anda imzalama sertifikaları için SHA-256, SHA-384 ve SHA-512'yi desteklemektedir.

TLS incelemesi bir ara sertifika yetkilisi gerektirir, Alt CA şablonunu kullandığınızdan emin olun. TLS ayarlarından oluşturulan CSR'yi imzalamak için AD CS web kaydı kullanıcı arabirimini veya certreq komut satırı aracını kullanabilirsiniz.

certreq -submit -attrib "CertificateTemplate:SubCA" "C:\pathtoyourCSR\tlsca.csr" "tlsca.cer"

Sertifika sabitleme, uygulamanın TLS bağlantılarını belirli bir güvenilen sertifika veya ortak anahtar kümesiyle kısıtlayan bir güvenlik mekanizmasıdır. Sertifika sabitleme, diğer sertifikalar sistem tarafından geçerli ve güvenilir olsa bile uygulamanın yalnızca bu kimlik bilgilerini sunan sunucularla iletişim kurmasını sağlar. Bu teknik, şifrelenmiş trafiğin yetkisiz şekilde kesilmesini engelleyerek ortadaki adam (MITM) saldırılarına karşı savunmaya yardımcı olur. Ancak, bir aracı sertifika kullanarak trafiğin şifresini çözerek ve yeniden şifreleyerek çalışan TLS incelemesini kullanan ağ güvenlik araçlarını da engeller.

TLS incelemesi sertifika sabitleme kullanan uygulamalardan gelen trafiği sonlandırırsa bağlantı başarısız olur. Uygulamalarınızın beklendiği gibi çalıştığından emin olmak için, trafik iletme profilinde bu uygulamalardan gelen trafiği Genel Güvenli Erişim'in dışında tutmak için özel bir atlama kuralı oluşturun. Bu işlemi, İnternet erişim iletme profilindeki özel atlamanın bir parçası olarak gerçekleştirebilirsiniz. Trafiği almanıza ve yalnızca TLS incelemesini atlamanıza olanak sağlamak için özel TLS kuralları üzerinde çalışıyoruz.

Sistem atlama listesi, sertifika sabitleme kullanan veya TLS denetimiyle ilgili diğer uyumsuzlukları olan bilinen hedefleri içerir. Uygun işlevselliği sağlamak için bu hedefler otomatik olarak TLS incelemesinin dışında tutulur. Sistem atlama listesi, tanımlanan yeni hedefleri içerecek şekilde düzenli olarak güncelleştirilir. Sistem atlama listesindeki hedeflere birkaç örnek şunlardır:

• Adobe CRS
• AplusPC UCC Bölgeleri
• App Center
• Apple ESS Anında İletme Hizmetleri
• Azure Tanılama Araçları
• Azure IoT Hub
• Azure Yönetimi
• Azure WAN Dinleyicisi
• Centanet
• Central Plaza e-Sipariş
• Cisco Umbrella Proxy
• DocuSign
• Dropbox
• e-Szigno
• Genel Güvenli Erişim Tanılaması
• Guardz Cihaz Ajanı
• iCloud
• Likr Load Balancer
• MediaTek
• Mikro İmzalayıcı
• Microsoft Grafiği
• Microsoft Oturum Açma Hizmetleri
• O2 Moje Oturum Açma
• OpenSpace Çözümleri
• Power BI Harici
• Sinyal
• TeamViewer
• Visual Studio Telemetrisi
• Webex
• WhatsApp
• Windows Güncellemeleri
• ZDX Bulutu
• Zscaler Beta
• Zscaler İki
• Yakınlaştırma

Microsoft Entra TLS incelemesi, TLS 1.2 ve TLS 1.3'e varsayılan olarak olanak tanır. Oturum için istemciden Genel Güvenli Erişim'e ve Genel Güvenli Erişim'den hedeflere kadar karşılıklı olarak desteklenen en yüksek sürüm seçilir. Sunucu Adı Göstergesi (SNI) şifrelendiğinden, Genel Güvenli Erişimin TLS sonlandırması için karşılık gelen yaprak sertifikaları oluşturmasını önleyen Microsoft Entra, Şifrelenmiş İstemci Hello (ECH) ile TLS 1.3'i desteklemez.

Bu hedefler için TLS incelemesini atlamanızı öneririz. TLS 1.1 ve TLS 1.0 gibi eski sürümler güvenli olmadığından ve saldırılara karşı savunmasız olduğundan TLS 1.2 önerilen en düşük sürümdür. Mümkün olduğunda, bu uygulamaları TLS 1.2 veya üzerini destekleyecek şekilde taşıyın.

Yazılım korumalı anahtarları kullanırız. Genel Güvenli Erişim ara sertifika anahtarları, web siteleri için dinamik olarak yaprak sertifikalar oluşturmak üzere bellekte depolanır. Bu anahtarlar bir HSM tarafından korunmasa da sunucularımıza erişim yüksek oranda kısıtlanmıştır ve anahtar erişimini ve sistem bütünlüğünü korumak için katı güvenlik denetimleri kullanırız.

İçerik tabanlı güvenlik denetimlerinin URL filtreleme, Dosya ilkeleri, istem ilkeleri ve iş ortağı güvenlik çözümlerini etkinleştirme gibi TLS denetimine bağımlılıkları vardır.

İlgili içerik

• Aktarım Katmanı Güvenliği denetimi nedir?
• Aktarım Katmanı Güvenliğini Yapılandırma