Preguntas más frecuentes sobre la inspección de seguridad de la capa de transporte

La inspección de TLS descifra y analiza el tráfico de red cifrado para ayudar a las organizaciones a detectar amenazas, aplicar directivas de seguridad y evitar la filtración de datos. Con la mayoría del tráfico de Internet ahora cifrado, la inspección de TLS proporciona visibilidad sobre los flujos de datos que, de lo contrario, serían opacos para las herramientas de seguridad. La inspección de TLS permite a las empresas aplicar protecciones avanzadas, como el filtrado de contenido sin poner en peligro la confidencialidad de las comunicaciones legítimas.

La inspección de TLS permite a las organizaciones analizar el tráfico de red cifrado descifrado para la inspección de seguridad y volver a cifrarlo antes de reenviarlo a su destino. Para implementar la inspección de TLS de forma eficaz, tenga en cuenta los siguientes procedimientos recomendados operativos:

• Comunicarse claramente con los usuarios: antes de habilitar la inspección de TLS en un entorno de producción, asegúrese de que los usuarios estén informados sobre cómo se controla el tráfico cifrado. Muchas organizaciones eligen proporcionar un aviso similar o términos de uso (ToU).
• Seleccione una entidad de certificación: elija una entidad de certificación raíz o intermedia para firmar la solicitud de firma de certificados (CSR) creada por el acceso seguro global para la inspección de TLS.
• Definir una directiva TLS: configure una directiva de inspección de TLS que se adapte a los requisitos operativos y de seguridad de su organización.
• Configurar el acceso condicional: cree una directiva de acceso condicional y asóciela al perfil de seguridad de acceso seguro global vinculado a la directiva TLS.
• Distribuir el certificado de confianza: asegúrese de que la entidad de certificación seleccionada esté instalada en todos los dispositivos cliente para establecer la confianza y habilitar la inspección de TLS sin problemas.

Global Secure Access admite actualmente SHA-256, SHA-384 y SHA-512 para los certificados de firma.

La inspección de TLS requiere una autoridad de certificación intermedia, asegúrese de que usa la plantilla de CA subordinada. Para firmar CSR generado desde la configuración de TLS, puede utilizar la interfaz de usuario de inscripción web de AD CS o utilizar la herramienta de línea de comandos certreq.

certreq -submit -attrib "CertificateTemplate:SubCA" "C:\pathtoyourCSR\tlsca.csr" "tlsca.cer"

El anclaje de certificados es un mecanismo de seguridad que restringe las conexiones TLS de una aplicación a un conjunto específico de certificados de confianza o claves públicas. El anclaje de certificados garantiza que la aplicación solo se comunica con los servidores que presentan esas credenciales exactas, incluso si el sistema valida y confía en otros certificados. Esta técnica ayuda a defenderse contra ataques man-in-the-middle (MITM) evitando la interceptación no autorizada del tráfico cifrado. Sin embargo, también interfiere con las herramientas de seguridad de red que dependen de la inspección de TLS, que funciona al descifrar y volver a cifrar el tráfico mediante un certificado intermediario.

Se produce un error en la conexión si la inspección de TLS finaliza el tráfico de las aplicaciones que usan el anclaje de certificados. Para asegurarse de que las aplicaciones funcionan según lo previsto, use una regla de omisión de TLS personalizada para omitir la inspección de TLS solo para estas aplicaciones.

La lista de exclusión del sistema incluye destinos conocidos que usan fijación de certificados o tienen otras incompatibilidades con la inspección de TLS. Estos destinos se excluyen automáticamente de la inspección de TLS para garantizar una funcionalidad adecuada. La lista de omisión del sistema se actualiza periódicamente para incluir nuevos destinos a medida que se identifican. Algunos ejemplos de destinos en la lista de omisión del sistema incluyen:

• Adobe CRS
• Regiones UCC de AplusPC
• App Center
• Servicios de notificaciones push de ESS de Apple
• Azure Diagnostics
• Azure IoT Hub
• Administración de Azure
• Listener WAN de Azure
• Centanet
• Central Plaza Pedido Electrónico
• Cisco Umbrella Proxy
• DocuSign
• Dropbox
• e-Szigno
• Diagnósticos de acceso seguro global
• Agente de Dispositivo Guardz
• iCloud
• Equilibrador de carga de Likr
• MediaTek
• Microsigner
• Microsoft Graph
• servicios de inicio de sesión de Microsoft
• Inicio de sesión en O2 Moje
• Soluciones de OpenSpace
• Power BI externo
• Señal
• TeamViewer
• Telemetría de Visual Studio
• Webex
• Whatsapp
• Actualización de Windows
• ZDX Cloud
• Zscaler Beta
• Zscaler Two
• Zoom

La inspección TLS de Microsoft Entra habilita TLS 1.2 y TLS 1.3 de forma predeterminada. La versión más alta admitida mutuamente se selecciona para la sesión, desde el cliente hasta el Acceso Seguro Global y desde el Acceso Seguro Global a los destinos. Microsoft Entra no admite TLS 1.3 con Client Hello cifrado (ECH) porque la Server Name Indication (SNI) está cifrada, lo que impide que Global Secure Access cree los certificados de hoja correspondientes para la terminación de TLS.

Se recomienda omitir la inspección de TLS para estos destinos. TLS 1.2 es la versión mínima recomendada porque las versiones anteriores, como TLS 1.1 y TLS 1.0, no son seguras y son vulnerables a ataques. Cuando sea posible, mueva estas aplicaciones para admitir TLS 1.2 o superior.

Usamos claves protegidas por software. Las claves de certificado intermedias de Global Secure Access se almacenan en memoria para generar dinámicamente certificados de hoja para sitios web. Aunque estas claves no están protegidas por un HSM, el acceso a nuestros servidores está muy restringido y usamos controles de seguridad estrictos para proteger el acceso a las claves y la integridad del sistema.

Los controles de seguridad basados en contenido tienen dependencias en la inspección de TLS, incluido el filtrado de direcciones URL, las políticas de contenido, las políticas de aviso y la habilitación de soluciones de seguridad de socios.

Contenido relacionado

• ¿Qué es la inspección de seguridad de la capa de transporte?
• Configurar la seguridad de la capa de transporte