Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Протокол TLS использует сертификаты на транспортном уровне для обеспечения конфиденциальности, целостности и подлинности данных, передаваемых между двумя участниками. Хотя TLS защищает законный трафик, вредоносный трафик, такой как вредоносные программы и атаки утечки данных, по-прежнему могут скрываться за шифрованием. Возможность проверки TLS Microsoft Entra Internet Access обеспечивает видимость зашифрованного трафика путем обеспечения доступности содержимого для расширенной защиты, таких как обнаружение вредоносных программ, защита от потери данных, проверка запросов и другие расширенные средства управления безопасностью. В этой статье представлен обзор процесса проверки TLS.
Процесс проверки TLS
При включении проверки TLS глобальный безопасный доступ расшифровывает HTTPS-запросы на границе службы. Оцениваются расширенные элементы управления безопасностью, такие как полная фильтрация URL-адресов и политики сканирования файлов. Если элемент управления безопасностью не блокирует запрос, глобальный безопасный доступ повторно шифрует и перенаправит запрос в место назначения.
Чтобы включить проверку TLS, выполните следующие действия.
- Создайте запрос на подпись сертификата (CSR) в портале Глобального безопасного доступа и подпишите CSR с помощью корневого или промежуточного центра сертификации вашей организации.
- Отправьте подписанный сертификат на портал.
Global Secure Access использует двухуровневую архитектуру сертификатов. Подписанный клиентом промежуточный сертификат является первым уровнем и используется для создания второго кратковременного промежуточного сертификата, который динамически создает листовые сертификаты для завершения TLS. Проверка TLS устанавливает два отдельных подключения TLS:
- Один из клиентского браузера к точке доступа сервиса Global Secure Access
- Один из глобального безопасного доступа к целевому серверу
Глобальный безопасный доступ использует сертификаты листа в процессе установления контакта TLS между клиентскими устройствами и службой. Чтобы обеспечить успешные рукопожатия, установите корневой сертификат и промежуточный сертификат (если используется для подписи CSR) в хранилище доверенных сертификатов на всех клиентских устройствах.
Журналы трафика включают четыре поля метаданных, связанных с TLS, которые помогают понять, как применяются политики TLS:
- TlsAction: обойден или перехвачен
- TlsPolicyId: уникальный идентификатор примененной политики TLS
- TlsPolicyName: доступное для чтения имя политики TLS для упрощения ссылки
- TlsStatus: успех или сбой
Чтобы приступить к проверке TLS, см. статью "Настройка политик безопасности транспортного уровня".
Поддерживаемые шифры
| Список поддерживаемых шифров |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA-AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Известные ограничения
Проверка TLS имеет следующие известные ограничения:
- Проверка TLS поддерживает до 100 политик, 1000 правил и 8 000 пунктов назначения.
- Убедитесь, что каждый запрос на подпись сертификата (CSR), который создается, имеет уникальное имя сертификата и не используется повторно. Подписанный сертификат должен оставаться действительным не менее шести месяцев.
- Одновременно можно использовать только один активный сертификат.
- Проверка TLS не поддерживает согласование HTTP/2. Большинство сайтов автоматически возвращаются на HTTP/1.1 и продолжают работать, но сайты, требующие HTTP/2, не загружаются, если включена проверка TLS. Добавьте настраиваемое правило обхода TLS, чтобы разрешить доступ к сайтам только http/2.
- Проверка TLS не следует ссылкам для доступа к информации об удостоверяющем центре (AIA) и протоколу статуса онлайн-сертификатов (OCSP) при проверке целевых сертификатов.
Мобильная платформа
- Многие мобильные приложения реализуют закрепление сертификатов, что предотвращает успешную проверку TLS, что приводит к сбоям подтверждения или потере функциональности. Чтобы снизить риск, сначала включите проверку TLS в тестовой среде и убедитесь, что критически важные приложения совместимы. Для приложений, использующих фиксацию сертификатов, настройте пользовательские правила проверки TLS для обхода таких назначений с помощью правил по домену или категории.