Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O protocolo TLS (Transport Layer Security) usa certificados na camada de transporte para garantir a privacidade, a integridade e a autenticidade dos dados trocados entre duas partes comunicantes. Embora o TLS proteja o tráfego legítimo, o tráfego mal-intencionado, como malware e ataques de vazamento de dados, ainda pode se esconder atrás da criptografia. A funcionalidade de inspeção do TLS do Microsoft Entra Internet Access fornece visibilidade do tráfego criptografado, disponibilizando conteúdo para proteção aprimorada, como detecção de malware, prevenção contra perda de dados, inspeção de prompt e outros controles de segurança avançados. Este artigo fornece uma visão geral do processo de inspeção do TLS.
O processo de inspeção do TLS
Ao habilitar a inspeção do TLS, o Acesso Seguro Global descriptografa solicitações HTTPS no perímetro do serviço e aplica controles de segurança, como políticas de filtragem de conteúdo da Web aprimoradas por URLs completas. Se nenhum controle de segurança bloquear a solicitação, o Acesso Seguro Global criptografa e encaminha a solicitação para o destino.
Para habilitar a inspeção do TLS, siga estas etapas:
- Gere uma CSR (solicitação de assinatura de certificado) no portal do Acesso Seguro Global e assine a CSR usando a autoridade de certificação raiz ou intermediária da sua organização.
- Carregue o certificado assinado no portal.
O Acesso Seguro Global usa esse certificado como uma autoridade de certificação intermediária para inspeção do TLS. Durante a interceptação de tráfego, o Acesso Seguro Global gera dinamicamente certificados folha de curta duração usando o certificado intermediário. A inspeção do TLS estabelece duas conexões TLS separadas:
- Uma conexão do navegador do cliente para um perímetro de serviço de Acesso Seguro Global
- Uma do Acesso Seguro Global ao servidor de destino
Global Secure Access usa certificados de folha durante handshakes de TLS entre dispositivos cliente e o serviço. Para garantir handshakes bem-sucedidos, instale sua autoridade de certificação raiz e a autoridade de certificação intermediária, se usada para assinar a CSR, no repositório de certificados confiável em todos os dispositivos cliente.
Os logs de tráfego incluem quatro campos de metadados relacionados ao TLS que ajudam você a entender como as políticas TLS são aplicadas:
- TlsAction: Ignorado ou interceptado
- TlsPolicyId: o identificador exclusivo da política TLS aplicada
- TlsPolicyName: o nome legível da política TLS para uma referência mais fácil
- TlsStatus: Êxito ou falha
Para começar a inspeção do TLS, consulte Configurar a Segurança da Camada de Transporte.
Cyphers com suporte
| Lista de criptografias com suporte |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA-AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Limitações conhecidas
A inspeção do TLS tem as seguintes limitações conhecidas:
- A inspeção TLS dá suporte a até 100 políticas, 1.000 regras e 8.000 destinos.
- Verifique se cada CSR (solicitação de assinatura de certificado) gerada tem um nome de certificado exclusivo e não é reutilizado. O certificado assinado deve permanecer válido por pelo menos 6 meses.
- Você pode usar apenas um certificado ativo por vez.
- A inspeção do TLS não dá suporte à negociação HTTP/2. A maioria dos sites retorna automaticamente para HTTP/1.1 e continua funcionando, mas os sites que exigem HTTP/2 não serão carregados se a inspeção do TLS estiver habilitada. Adicione uma regra de bypass TLS personalizada para permitir o acesso somente a sites HTTP/2.
- A inspeção do TLS não segue os links de Acesso às Informações da Autoridade (AIA) e do Protocolo de Status de Certificado Online (OCSP) ao validar os certificados de destino.
Plataforma móvel
- Muitos aplicativos móveis implementam a fixação de certificado, o que impede a inspeção bem-sucedida do TLS, resultando em falhas de handshake ou perda de funcionalidade. Para reduzir o risco, habilite a inspeção do TLS em um ambiente de teste primeiro e valide se os aplicativos críticos são compatíveis. Para aplicativos que dependem da fixação de certificado, configure regras personalizadas de inspeção do TLS para ignorar esses destinos usando regras baseadas em domínio ou categoria.