Что такое инспекция защиты транспортного уровня?

Протокол TLS использует сертификаты на транспортном уровне для обеспечения конфиденциальности, целостности и подлинности данных, передаваемых между двумя участниками. Хотя TLS защищает законный трафик, вредоносный трафик, такой как вредоносные программы и атаки утечки данных, по-прежнему могут скрываться за шифрованием. Возможность проверки TLS Интернет-доступ Microsoft Entra обеспечивает видимость зашифрованного трафика путем обеспечения доступности содержимого для расширенной защиты, таких как обнаружение вредоносных программ, защита от потери данных, проверка запросов и другие расширенные средства управления безопасностью. В этой статье представлен обзор процесса проверки TLS.

Процесс проверки TLS

При включении проверки TLS глобальный безопасный доступ расшифровывает HTTPS-запросы на границе службы. Оцениваются расширенные элементы управления безопасностью, такие как полная фильтрация URL-адресов и политики сканирования файлов. Если элемент управления безопасностью не блокирует запрос, глобальный безопасный доступ повторно шифрует и перенаправит запрос в место назначения.

Чтобы включить проверку TLS, выполните следующие действия.

  1. Создайте запрос на подпись сертификата (CSR) в портале Глобального безопасного доступа и подпишите CSR с помощью корневого или промежуточного центра сертификации вашей организации.
  2. Отправьте подписанный сертификат на портал.

Global Secure Access использует двухуровневую архитектуру сертификатов. Подписанный клиентом промежуточный сертификат является первым уровнем и используется для создания второго кратковременного промежуточного сертификата, который динамически создает листовые сертификаты для завершения TLS. Проверка TLS устанавливает два отдельных подключения TLS:

  • Один из клиентского браузера к точке доступа сервиса Global Secure Access
  • Один из глобального безопасного доступа к целевому серверу

Глобальный безопасный доступ использует сертификаты листа в процессе установления контакта TLS между клиентскими устройствами и службой. Чтобы обеспечить успешные рукопожатия, установите корневой сертификат и промежуточный сертификат (если используется для подписи CSR) в хранилище доверенных сертификатов на всех клиентских устройствах.

Схема, показывающая процесс проверки протокола TLS.

Журналы трафика включают четыре поля метаданных, связанных с TLS, которые помогают понять, как применяются политики TLS:

  • TlsAction: обойден или перехвачен
  • TlsPolicyId: уникальный идентификатор примененной политики TLS
  • TlsPolicyName: доступное для чтения имя политики TLS для упрощения ссылки
  • TlsStatus: успех или сбой

Чтобы приступить к проверке TLS, см. статью "Настройка политик безопасности транспортного уровня".

Note

Проверка TLS-трафика необходима для перехвата содержимого запросов к генеративному ИИ и полезной нагрузки протокола Model Context Protocol (MCP) на устройствах конечных пользователей. Дополнительные сведения см. в разделе Generative Аналитика ИИ в Global Secure Access.

Поддерживаемые шифры

Список поддерживаемых шифров
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-CHACHA20-POLY1305
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-CHACHA20-POLY1305
ECDHE-ECDSA-AES128-SHA
ECDHE-RSA-AES128-SHA
AES128-GCM-SHA256
AES128-SHA
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES256-SHA
AES256-GCM-SHA384
AES256-SHA

Известные ограничения

Проверка TLS имеет следующие известные ограничения:

  • Проверка TLS поддерживает до 100 политик, 1000 правил и 8 000 пунктов назначения.
  • Убедитесь, что каждый запрос на подпись сертификата (CSR), который создается, имеет уникальное имя сертификата и не используется повторно. Подписанный сертификат должен оставаться действительным не менее шести месяцев.
  • Одновременно можно использовать только один активный сертификат.
  • Проверка TLS не поддерживает согласование HTTP/2. Большинство сайтов автоматически возвращаются на HTTP/1.1 и продолжают работать, но сайты, требующие HTTP/2, не загружаются, если включена проверка TLS. Добавьте настраиваемое правило обхода TLS, чтобы разрешить доступ к сайтам только http/2.
  • Проверка TLS не следует ссылкам для доступа к информации об удостоверяющем центре (AIA) и протоколу статуса онлайн-сертификатов (OCSP) при проверке целевых сертификатов.

Мобильная платформа

  • Многие мобильные приложения реализуют закрепление сертификатов, что предотвращает успешную проверку TLS, что приводит к сбоям подтверждения или потере функциональности. Чтобы снизить риск, сначала включите проверку TLS в тестовой среде и убедитесь, что критически важные приложения совместимы. Для приложений, использующих фиксацию сертификатов, настройте пользовательские правила проверки TLS для обхода таких назначений с помощью правил по домену или категории.