Häufig gestellte Fragen zur Transport Layer Security-Inspektion

Dieser Artikel beantwortet häufig gestellte Fragen zur Transport Layer Security-Inspektion.

Was ist transport Layer Security (TLS)-Inspektion?

Die TLS-Inspektion entschlüsselt und analysiert verschlüsselten Netzwerkdatenverkehr, um Organisationen dabei zu helfen, Bedrohungen zu erkennen, Sicherheitsrichtlinien durchzusetzen und Datenexfiltration zu verhindern. Da der Großteil des Internetverkehrs inzwischen verschlüsselt ist, ermöglicht die TLS-Inspektion Einblicke in Datenströme, die für Sicherheitstools ansonsten nicht sichtbar wären. Mit der TLS-Überprüfung können Unternehmen erweiterte Schutzmaßnahmen wie inhaltsfiltern anwenden, ohne die Vertraulichkeit legitimer Kommunikationen zu beeinträchtigen.

Wie funktioniert die TLS-Inspektion?

Die TLS-Inspektion ermöglicht Es Organisationen, verschlüsselten Netzwerkdatenverkehr zu analysieren, indem sie zur Sicherheitsüberprüfung entschlüsselt und erneut verschlüsselt wird, bevor sie an ihr Ziel weitergeleitet wird. Berücksichtigen Sie die folgenden bewährten Methoden, um die TLS-Inspektion effektiv zu implementieren:

  • Kommunizieren Sie klar mit Benutzern: Bevor Sie die TLS-Inspektion in einer Produktionsumgebung aktivieren, stellen Sie sicher, dass Benutzer darüber informiert werden, wie verschlüsselter Datenverkehr verarbeitet wird. Viele Organisationen wählen eine Nutzungsbedingungen (ToU) oder eine ähnliche Benachrichtigung aus.
  • Wählen Sie eine Zertifizierungsstelle aus: Wählen Sie eine Stamm- oder Zwischenzertifizierungsstelle aus, um die zertifikatsignierende Anforderung (CERTIFICATE Signing Request, CSR) zu signieren, die von globaler sicherer Zugriff für TLS-Inspektion erstellt wurde.
  • Definieren Sie eine TLS-Richtlinie: Konfigurieren Sie eine TLS-Inspektionsrichtlinie, die den Sicherheits- und Betriebsanforderungen Ihrer Organisation entspricht.
  • Konfigurieren des bedingten Zugriffs: Erstellen Sie eine Richtlinie für bedingten Zugriff, und ordnen Sie sie dem sicherheitsprofil des globalen sicheren Zugriffs zu, das mit der TLS-Richtlinie verknüpft ist.
  • Verteilen Sie das vertrauenswürdige Zertifikat: Stellen Sie sicher, dass die ausgewählte Zertifizierungsstelle auf allen Clientgeräten installiert ist, um eine Vertrauensstellung einzurichten und eine nahtlose TLS-Überprüfung zu ermöglichen.

Was sind die kryptografischen Algorithmen, die beim Generieren von Zertifikaten für die TLS-Überprüfung unterstützt werden?

Globaler sicherer Zugriff unterstützt derzeit SHA-256, SHA-384 und SHA-512 für die Signaturzertifikate.

Wie signiere ich CSR mithilfe der Active Directory Zertifikatdienste (AD CS)

Die TLS-Prüfung erfordert eine Zwischenzertifikatsstelle. Vergewissern Sie sich, dass Sie die Vorlage für untergeordnete Zertifizierungsstellen verwenden. Um CSR aus TLS-Einstellungen zu signieren, können Sie die AD CS-Webregistrierungsbenutzeroberfläche verwenden oder das Befehlszeilentool certreq verwenden.

certreq -submit -attrib "CertificateTemplate:SubCA" "C:\pathtoyourCSR\tlsca.csr" "tlsca.cer"

Was ist das Anheften von Zertifikaten und wie wirkt es sich auf die TLS-Inspektion aus?

Das Anheften von Zertifikaten ist ein Sicherheitsmechanismus, der die TLS-Verbindungen einer Anwendung auf einen bestimmten Satz vertrauenswürdiger Zertifikate oder öffentlicher Schlüssel einschränkt. Durch das Anheften von Zertifikaten wird sichergestellt, dass die Anwendung nur mit Servern kommuniziert, die diese genauen Anmeldeinformationen darstellen, auch wenn andere Zertifikate vom System gültig und vertrauenswürdig sind. Diese Technik hilft bei der Verteidigung vor Man-in-the-Middle -Angriffen (MITM), indem nicht autorisierte Abfangen von verschlüsseltem Datenverkehr verhindert wird. Es stört jedoch auch Netzwerksicherheitstools, die auf TLS-Inspektion basieren, was funktioniert, indem der Datenverkehr mithilfe eines zwischengeschalteten Zertifikats entschlüsselt und erneut verschlüsselt wird.

Wie sollte ich Anwendungen behandeln, die das Anheften von Zertifikaten verwenden?

Die Verbindung schlägt fehl, wenn die TLS-Prüfung den Datenverkehr von Anwendungen beendet, die Zertifikat-Pinning verwenden. Um sicherzustellen, dass Ihre Anwendungen wie erwartet funktionieren, verwenden Sie eine benutzerdefinierte TLS-Umgehungsregel , um die TLS-Inspektion nur für diese Anwendungen zu umgehen.

Welche Ziele sind im System-Bypass enthalten?

Die System-Bypass-Liste enthält bekannte Ziele, die Zertifikat-Pinning verwenden oder andere Inkompatibilitäten mit TLS-Inspektion aufweisen. Diese Ziele werden automatisch von der TLS-Inspektion ausgeschlossen, um eine ordnungsgemäße Funktionalität sicherzustellen. Die Systemumgehungsliste wird regelmäßig aktualisiert, um neue Ziele einzuschließen, sobald sie identifiziert werden. Einige Beispiele für Ziele in der Systemumgehungsliste sind:

  • Adobe CRS
  • AplusPC UCC-Regionen
  • App Center
  • Apple ESS-Push-Dienste
  • Azure Diagnostics
  • Azure IoT Hub
  • Azure Verwaltung
  • Azure WAN-Listener
  • Centanet
  • Central Plaza E-Bestellung
  • Cisco Umbrella Proxy
  • DocuSign
  • Dropbox
  • e-Szigno
  • Globale sichere Zugriffdiagnose
  • Guardz Geräte-Agent
  • iCloud
  • Likr Load Balancer
  • MediaTek
  • Microsigner
  • Microsoft Graph
  • Microsoft Anmeldedienste
  • O2 Moje Login
  • OpenSpace-Lösungen
  • Power BI extern
  • Signal
  • TeamViewer
  • Visual Studio Telemetrie
  • Webex
  • WhatsApp
  • Windows-Aktualisierung
  • ZDX Cloud
  • Zscaler Beta
  • Zscaler Zwei
  • Zoomen

Wird TLS 1.3 unterstützt?

Microsoft Entra TLS-Inspektion aktiviert TLS 1.2 und TLS 1.3 standardmäßig. Die höchste gemeinsam unterstützte Version wird für die Sitzung ausgewählt, vom Client bis zum Global Secure Access und vom Global Secure Access zu den Zielen. Microsoft Entra unterstützt TLS 1.3 mit Encrypted Client Hello (ECH) nicht, da die Server Name Indication (SNI) verschlüsselt ist, was Global Sicher Zugriff daran hindert, die entsprechenden Leaf-Zertifikate für die TLS-Terminierung zu erstellen.

Was geschieht, wenn ich ältere Anwendungen mit weniger sicheren TLS-Versionen wie TLS 1.1 habe?

Es wird empfohlen, die TLS-Inspektion für diese Ziele zu umgehen. TLS 1.2 ist die empfohlene Mindestversion, da ältere Versionen wie TLS 1.1 und TLS 1.0 nicht sicher sind und anfällig für Angriffe sind. Verschieben Sie diese Anwendungen nach Möglichkeit, um TLS 1.2 oder höher zu unterstützen.

Verwenden Sie Hardwaresicherheitsmodule (HSM), um Schlüssel zu schützen?

Wir verwenden softwaregeschützte Schlüssel. Global Secure Access Intermediate Certificate Keys werden im Speicher gespeichert, um Blattzertifikate für Websites dynamisch zu generieren. Obwohl diese Schlüssel nicht durch ein HSM geschützt sind, ist der Zugriff auf unsere Server streng eingeschränkt, und wir verwenden strenge Sicherheitskontrollen, um den Schlüsselzugriff und die Systemintegrität zu schützen.

Welche anderen globalen Features für den sicheren Zugriff haben Abhängigkeiten von der TLS-Inspektion?

Inhaltsbasierte Sicherheitskontrollen weisen Abhängigkeiten von der TLS-Inspektion auf, einschließlich URL-Filterung, Inhaltsrichtlinien, Eingabeaufforderungsrichtlinien und Aktivieren von Partnersicherheitslösungen.

Verwandte Inhalte