Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Протокол TLS использует сертификаты на транспортном уровне для обеспечения конфиденциальности, целостности и подлинности данных, передаваемых между двумя участниками. Хотя TLS защищает законный трафик, вредоносный трафик, такой как вредоносные программы и атаки утечки данных, по-прежнему могут скрываться за шифрованием. Возможность проверки TLS Интернет-доступ Microsoft Entra обеспечивает видимость зашифрованного трафика путем обеспечения доступности содержимого для расширенной защиты, таких как обнаружение вредоносных программ, защита от потери данных, проверка запросов и другие расширенные средства управления безопасностью. В этой статье представлен обзор процесса проверки TLS.
Процесс проверки TLS
При включении проверки TLS глобальный безопасный доступ расшифровывает HTTPS-запросы на границе службы. Оцениваются расширенные элементы управления безопасностью, такие как полная фильтрация URL-адресов и политики сканирования файлов. Если элемент управления безопасностью не блокирует запрос, глобальный безопасный доступ повторно шифрует и перенаправит запрос в место назначения.
Чтобы включить проверку TLS, выполните следующие действия.
- Создайте запрос на подпись сертификата (CSR) в портале Глобального безопасного доступа и подпишите CSR с помощью корневого или промежуточного центра сертификации вашей организации.
- Отправьте подписанный сертификат на портал.
Global Secure Access использует двухуровневую архитектуру сертификатов. Подписанный клиентом промежуточный сертификат является первым уровнем и используется для создания второго кратковременного промежуточного сертификата, который динамически создает листовые сертификаты для завершения TLS. Проверка TLS устанавливает два отдельных подключения TLS:
- Один из клиентского браузера к точке доступа сервиса Global Secure Access
- Один из глобального безопасного доступа к целевому серверу
Глобальный безопасный доступ использует сертификаты листа в процессе установления контакта TLS между клиентскими устройствами и службой. Чтобы обеспечить успешные рукопожатия, установите корневой сертификат и промежуточный сертификат (если используется для подписи CSR) в хранилище доверенных сертификатов на всех клиентских устройствах.
Журналы трафика включают четыре поля метаданных, связанных с TLS, которые помогают понять, как применяются политики TLS:
- TlsAction: обойден или перехвачен
- TlsPolicyId: уникальный идентификатор примененной политики TLS
- TlsPolicyName: доступное для чтения имя политики TLS для упрощения ссылки
- TlsStatus: успех или сбой
Чтобы приступить к проверке TLS, см. статью "Настройка политик безопасности транспортного уровня".
Note
Проверка TLS-трафика необходима для перехвата содержимого запросов к генеративному ИИ и полезной нагрузки протокола Model Context Protocol (MCP) на устройствах конечных пользователей. Дополнительные сведения см. в разделе Generative Аналитика ИИ в Global Secure Access.
Поддерживаемые шифры
| Список поддерживаемых шифров |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA-AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Известные ограничения
Проверка TLS имеет следующие известные ограничения:
- Проверка TLS поддерживает до 100 политик, 1000 правил и 8 000 пунктов назначения.
- Убедитесь, что каждый запрос на подпись сертификата (CSR), который создается, имеет уникальное имя сертификата и не используется повторно. Подписанный сертификат должен оставаться действительным не менее шести месяцев.
- Одновременно можно использовать только один активный сертификат.
- Проверка TLS не поддерживает согласование HTTP/2. Большинство сайтов автоматически возвращаются на HTTP/1.1 и продолжают работать, но сайты, требующие HTTP/2, не загружаются, если включена проверка TLS. Добавьте настраиваемое правило обхода TLS, чтобы разрешить доступ к сайтам только http/2.
- Проверка TLS не следует ссылкам для доступа к информации об удостоверяющем центре (AIA) и протоколу статуса онлайн-сертификатов (OCSP) при проверке целевых сертификатов.
Мобильная платформа
- Многие мобильные приложения реализуют закрепление сертификатов, что предотвращает успешную проверку TLS, что приводит к сбоям подтверждения или потере функциональности. Чтобы снизить риск, сначала включите проверку TLS в тестовой среде и убедитесь, что критически важные приложения совместимы. Для приложений, использующих фиксацию сертификатов, настройте пользовательские правила проверки TLS для обхода таких назначений с помощью правил по домену или категории.