Questo articolo risponde alle domande frequenti sull'ispezione di Transport Layer Security.
Che cos'è l'ispezione TLS (Transport Layer Security)?
L'ispezione TLS decrittografa e analizza il traffico di rete crittografato per consentire alle organizzazioni di rilevare minacce, applicare criteri di sicurezza e impedire l'esfiltrazione dei dati. Con la maggior parte del traffico Internet ora crittografato, l'ispezione TLS offre visibilità sui flussi di dati che altrimenti sarebbero opachi per gli strumenti di sicurezza. L'ispezione TLS consente alle aziende di applicare protezioni avanzate, ad esempio il filtro dei contenuti senza compromettere la riservatezza delle comunicazioni legittime.
Come funziona l'ispezione TLS?
L'ispezione TLS consente alle organizzazioni di analizzare il traffico di rete crittografato decrittografandolo per l'ispezione della sicurezza e crittografandolo nuovamente prima di inoltrarlo alla destinazione. Per implementare l'ispezione TLS in modo efficace, prendere in considerazione le procedure consigliate operative seguenti:
- Comunicare chiaramente con gli utenti: prima di abilitare l'ispezione TLS in un ambiente di produzione, assicurarsi che gli utenti siano informati sul modo in cui viene gestito il traffico crittografato. Molte organizzazioni scelgono di specificare condizioni per l'utilizzo (ToU) o un avviso simile.
- Selezionare un'autorità di certificazione: scegliere un'autorità di certificazione radice o intermedia per firmare la richiesta di firma del certificato creata dall'accesso sicuro globale per l'ispezione TLS.
- Definire un criterio TLS: configurare un criterio di ispezione TLS in linea con i requisiti operativi e di sicurezza dell'organizzazione.
- Configurare l'accesso condizionale: creare un criterio di accesso condizionale e associarlo al profilo di sicurezza accesso sicuro globale collegato ai criteri TLS.
- Distribuire il certificato attendibile: assicurarsi che l'autorità di certificazione selezionata sia installata in tutti i dispositivi client per stabilire un trust e abilitare l'ispezione TLS senza problemi.
Quali sono gli algoritmi di crittografia supportati durante la generazione di certificati per l'ispezione TLS?
L'accesso sicuro globale supporta attualmente SHA-256, SHA-384 e SHA-512 per i certificati di firma.
Come firmare csr usando i servizi certificati di Active Directory
L'ispezione TLS richiede un'autorità di certificazione intermedia, assicurati di utilizzare il modello di Autorità di Certificazione Subordinata. Per firmare una richiesta di firma del certificato (CSR) generato dalle impostazioni di TLS, è possibile utilizzare l'interfaccia utente di registrazione Web dei Servizi certificati Active Directory o utilizzare lo strumento da riga di comando certreq.
certreq -submit -attrib "CertificateTemplate:SubCA" "C:\pathtoyourCSR\tlsca.csr" "tlsca.cer"
Che cos'è il certificate pinning e come influisce sull'analisi TLS?
Il pinning del certificato è un meccanismo di sicurezza che limita le connessioni TLS di un'applicazione a un insieme specifico di certificati fidati o chiavi pubbliche. L'aggiunta di certificati garantisce che l'applicazione comunichi solo con i server che presentano le credenziali esatte, anche se altri certificati sono validi e attendibili dal sistema. Questa tecnica consente di difendersi dagli attacchi MAN-in-the-Middle (MITM) impedendo l'intercettazione non autorizzata del traffico crittografato. Tuttavia, interferisce anche con gli strumenti di sicurezza di rete che si basano sull'ispezione TLS, che funziona decrittografando e crittografando nuovamente il traffico usando un certificato intermedio.
Come gestire le applicazioni che usano il blocco dei certificati?
La connessione non riesce se l'ispezione TLS interrompe il traffico dalle applicazioni che usano la pinnatura del certificato. Per assicurarsi che le applicazioni funzionino come previsto, usare una regola di bypass TLS personalizzata per ignorare l'ispezione TLS solo per queste applicazioni.
Quali destinazioni sono incluse nel bypass di sistema?
L'elenco di bypass di sistema include destinazioni note che utilizzano il pinning dei certificati o che presentano altre incompatibilità con l'ispezione TLS. Queste destinazioni vengono escluse automaticamente dall'ispezione TLS per garantire una corretta funzionalità. L'elenco di bypass di sistema viene aggiornato regolarmente per includere le nuove destinazioni identificate. Alcuni esempi di destinazioni nell'elenco di bypass di sistema includono:
- Adobe CRS
- Aree UCC di AplusPC
- App Center
- Servizi Push di Apple ESS
- Azure Diagnostics
- Azure IoT Hub
- gestione Azure
- Listener di Azure WAN
- Centanet
- Central Plaza Ordine elettronico
- Cisco Umbrella Proxy
- DocuSign
- Dropbox
- e-Szigno
- Diagnostica globale dell'accesso sicuro
- Agente Dispositivo Guardz
- iCloud
- Bilanciamento del carico Likr
- MediaTek
- Microsigner
- Microsoft Graph
- Microsoft Servizi di accesso
- O2 Moje Login
- Soluzioni OpenSpace
- Power BI per l'accesso esterno
- Segnale
- TeamViewer
- Telemetria di Visual Studio
- Webex
- Aggiornamento di Windows
- ZDX Cloud
- Zscaler versione Beta
- Zscaler Two
- Zoom
TLS 1.3 è supportato?
L'ispezione TLS di Microsoft Entra abilita TLS 1.2 e TLS 1.3 per impostazione predefinita. La versione più elevata mutuamente supportata è selezionata per la sessione, dal client a Global Secure Access e da Global Secure Access alle destinazioni. Microsoft Entra non supporta TLS 1.3 con Encrypted Client Hello (ECH) perché l'indicazione del nome del server (SNI) è crittografata, che impedisce all'accesso sicuro globale di creare i certificati foglia corrispondenti per la terminazione TLS.
Cosa accade se sono presenti applicazioni legacy che usano versioni TLS meno sicure, ad esempio TLS 1.1?
È consigliabile ignorare l'ispezione TLS per queste destinazioni. TLS 1.2 è la versione minima consigliata perché le versioni precedenti, come TLS 1.1 e TLS 1.0, non sono sicure e sono vulnerabili agli attacchi. Quando possibile, spostare queste applicazioni per supportare TLS 1.2 o versione successiva.
Si usano moduli di protezione hardware (HSM) per proteggere le chiavi?
Usiamo chiavi protette da software. Le chiavi di certificato intermedie di Accesso sicuro globale vengono archiviate in memoria per generare in modo dinamico i certificati foglia per i siti Web. Anche se queste chiavi non sono protette da un modulo di protezione hardware, l'accesso ai server è altamente limitato e vengono usati controlli di sicurezza rigorosi per proteggere l'accesso alle chiavi e l'integrità del sistema.
Quali altre funzionalità di Accesso sicuro globale hanno dipendenze dall'ispezione TLS?
I controlli di sicurezza basati sul contenuto hanno dipendenze dall'ispezione TLS, tra cui il filtro url, i criteri di contenuto, i criteri di richiesta e l'abilitazione delle soluzioni di sicurezza dei partner.