Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il protocollo Tls (Transport Layer Security) usa certificati a livello di trasporto per garantire la privacy, l'integrità e l'autenticità dei dati scambiati tra due parti di comunicazione. Mentre TLS protegge il traffico legittimo, il traffico dannoso come malware e attacchi di perdita di dati può comunque nascondersi dietro la crittografia. La funzionalità di ispezione TLS Microsoft Entra Internet Access offre visibilità sul traffico crittografato rendendo disponibile contenuto per una protezione avanzata, ad esempio rilevamento malware, prevenzione della perdita dei dati, ispezione prompt e altri controlli di sicurezza avanzati. Questo articolo offre una panoramica del processo di ispezione TLS.
Processo di ispezione TLS
Quando si abilita l'ispezione TLS, l'accesso sicuro globale decrittografa le richieste HTTPS nel perimetro del servizio. Vengono valutati i controlli di sicurezza avanzati, ad esempio il filtro URL completo e i criteri di analisi dei file. Se nessun controllo di sicurezza blocca la richiesta, l'accesso sicuro globale crittografa e inoltra la richiesta alla destinazione.
Per abilitare l'ispezione TLS, seguire questa procedura:
- Generare una richiesta di firma del certificato (CSR) nel portale di accesso sicuro globale e firmare il csr usando l'autorità di certificazione radice o intermedia dell'organizzazione.
- Caricare il certificato firmato nel portale.
L'accesso sicuro globale usa un'architettura di certificato a due livelli. Il certificato intermedio firmato dal cliente è il primo livello e viene usato per creare un secondo certificato intermedio di breve durata, che genera dinamicamente certificati foglia per la terminazione TLS. L'ispezione TLS stabilisce due connessioni TLS separate:
- Uno dal browser del client a un perimetro del Servizio di Accesso Sicuro Globale
- Uno dall'accesso sicuro globale al server di destinazione
L'accesso sicuro globale utilizza certificati foglia durante gli handshake TLS tra i dispositivi client e il servizio. Per garantire l'esito positivo degli handshake, installare l'autorità di certificazione radice e, se usata per firmare la CSR, l'autorità di certificazione intermedia nell'archivio certificati attendibile su tutti i dispositivi client.
I log del traffico includono quattro campi di metadati correlati a TLS che consentono di comprendere come vengono applicati i criteri TLS:
- TlsAction: ignorato o intercettato
- TlsPolicyId: identificatore univoco dei criteri TLS applicati
- TlsPolicyName: nome leggibile dei criteri TLS per un riferimento più semplice
- TlsStatus: successo o fallimento
Per iniziare a usare l'ispezione TLS, vedere Configurare i criteri di sicurezza del livello di trasporto.
Cifrari supportati
| Elenco di cifrari supportati |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA-AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Limitazioni note
L'ispezione TLS presenta le limitazioni note seguenti:
- L'ispezione TLS supporta fino a 100 criteri, 1.000 regole e 8.000 destinazioni.
- Assicurarsi che ogni richiesta di firma del certificato (CSR) generata abbia un nome di certificato univoco e non venga riutilizzato. Il certificato firmato deve essere valido per almeno sei mesi.
- È possibile usare un solo certificato attivo alla volta.
- L'ispezione TLS non supporta la negoziazione HTTP/2. La maggior parte dei siti esegue automaticamente il fallback a HTTP/1.1 e continua a funzionare, ma i siti che richiedono HTTP/2 non vengono caricati se è abilitata l'ispezione TLS. Aggiungere una regola di bypass TLS personalizzata per consentire l'accesso ai siti solo HTTP/2.
- L'ispezione TLS non segue i collegamenti AIA (Authority Information Access) e OCSP (Online Certificate Status Protocol) durante la convalida dei certificati di destinazione.
Piattaforma per dispositivi mobili
- Molte applicazioni mobili implementano il pinning del certificato, che impedisce un'ispezione TLS di successo, causando errori di handshake o perdita di funzionalità. Per ridurre i rischi, abilitare prima l'ispezione TLS in un ambiente di test e verificare che le applicazioni critiche siano compatibili. Per le app che si basano sull'aggiunta di certificati, configurare regole personalizzate di ispezione TLS per ignorare queste destinazioni usando regole basate su dominio o basate su categorie.