TLSi (TLS インスペクション) - トラフィックは、無効/バイパスされても検査されています

問題

You may observe events where TLSi appears enabled even though:

  • グローバル TLS インスペクションは無効です、または
  • トラフィックは TLS バイパスルールに一致しています、または
  • ソース OS はデフォルトでバイパスされた OS タイプの1つです (例:Android, Linux, 不明な OS)。

この動作は通常、セキュリティ / インターネットイベントで識別されます。イベントの詳細にはTLS インスペクション = 1が表示され、TLS関連のブロック確認、またはキャプティブポータルのページが表示されることもあります。

環境

以下の条件のいくつかが適用される可能性があります:

  • TLS インスペクションはグローバルに無効化されているか、OSによってバイパスされている(例:Android, Linux, 不明な OS)
  • ブロックまたは確認アクションのファイアウォールルール
  • 使用中のキャプティブポータル認証
  • クライアントレスアクセス (ブラウザアクセス)
  • システムセキュリティ制御によって高リスクまたは禁止されていると分類されたトラフィック
  • 特定のアプリケーションに対するグローバルパラメーターを施行する TLS インスペクション

注: イベント内の TLS インスペクションは、制御、施行、またはセキュリティのためにシステムで必要とされるインスペクションを反映していることがあり、必ずしも設定されたポリシーインスペクションだけを反映しているわけではありません。

動作の理解

TLSインスペクション設定はポリシーに基づいたインスペクションを定義しますが、特定のトラフィックフローは正しく機能するためにCatoのセキュリティスタックによって実行されるシステムレベルのインスペクションを必要とします。 これらの場合、テナントポリシーレベルで無効またはバイパスされている場合でも TLS インスペクションが発生することがあります。

Catoのマスターサービス契約(MSA)およびグローバルセキュリティとコンプライアンスの要件により、特定の悪意のある、危険な、または禁止された宛先へのアクセスはデフォルトでブロックされます。 これらの基本的な保護を施行し、規制の義務を守るために、Catoはそのセキュリティスタックを使用してトラフィックをインターセプトおよび評価することがあります。 その結果、顧客構成の TLS インスペクションが無効になっている場合でも、いくつかのブロックイベントでは TLS インスペクション機能がアクティブとして報告されることがあります。

この動作は期待されるものであり、設計によるものです。 これは、TLS インスペクションが顧客ポリシーで有効化されたことやバイパスルールが無視されたことを示すものではありません。 代わりに、プラットフォームセキュリティおよびコンプライアンスを維持しながら、高リスクトラフィックを正しく分類およびブロックするために必要な必須のシステムによって施行されるセキュリティ制御を反映しています。

上記の動作は、イベントでTLS検査 = 1と表示されます。

TLS インスペクションが施行されるシナリオ

シナリオ 1: キャプティブポータルトラフィックは常に検査されます

キャプティブポータルの検出と認証に使用されるトラフィックは、システムルールによって処理されます。

PoPは次を行う必要があります:

  • 認証要件を検出する
  • キャプティブポータルページを挿入する
  • 一時的にアクセス動作を管理する(例:常時オンの処理)

これをサポートするために、トラフィックは常に TLS インスペクションエンジンを通過します、たとえ:

  • ソース OS は通常バイパスされています、または
  • テナント TLS インスペクションは無効またはバイパスされています

この動作は予期されるものであり、テナント TLSi ポリシーが無視されたことを示すものではありません。

シナリオ 2: クライアントレスアクセス(ブラウザアクセスポータル)トラフィックは常に検査されます

クライアントレスアクセス(ブラウザアクセスポータル)に対するトラフィックは公共インターネットから発信され、Cato クラウドに不正なインバウンドトラフィックとして入ります。

セキュリティの理由で:

  • このトラフィックは、TLS インスペクションを含むシステムルールによって常に検査されます。
  • これらのフローにはテナント TLS インスペクション構成は適用されません。

その結果、ブラウザアクセスに関連するイベントは、TLS インスペクション = 1を表示することがあります、たとえ:

  • グローバル TLS インスペクションが無効になっているか、または
  • 同じ宛先が通常 SDP クライアントを介してユーザートラフィックをバイパスします

シナリオ 3: ブロックまたはプロンプトアクションのファイアウォールルール

HTTPS トラフィックの場合、ブロックまたは確認アクションで構成されたファイアウォールルールは TLS インスペクションを必要とします:

  • 暗号化されたトラフィックを正確に分類する
  • ブロックまたは確認ページをユーザーに戻す

この TLS 終端はシステムルールによって実行され、テナント TLS インスペクションポリシーによってではありません。

したがって、ブロックまたはプロンプトルールに一致するフローのイベントが、TLS インスペクション = 1を表示する可能性があります、たとえ:

  • TLS インスペクションがグローバルに無効化されているか、または
  • 宛先に TLS バイパスルールが適用されています

この動作は、HTTPS トラフィックに対してブロック/プロンプトアクションを正しく施行するために必要です。

(参照:信頼されていないウェブサイトへのアクセスがブロックされますTLSインスペクションが無効化されていても。)

シナリオ 4: 特定のアプリケーションに対するグローバル TLS インスペクションポリシー

テナントが定義した TLS インスペクションルールに加え、Catoは特定のアプリケーションに対してグローバル TLS インスペクションポリシーを適用します。例えば、DropboxWhatsAppなどです。

これらのポリシーは以下のために使用されます:

  • 適切なセキュリティおよびCASB施行を保証する
  • 証明書ピニングおよびアプリケーション固有の動作を処理する

その結果、特定のアプリケーションへのトラフィックは次のときでも検査される可能性があります:

  • テナントポリシーで TLS インスペクションが無効化されているか、または
  • ソース OS は通常バイパスされます

イベントでは、これがTLS インスペクション = 1として表示されますが、テナントが定義した TLSi ルールに一致するものは表示されません。

この動作は期待されるものであり、Catoのグローバルセキュリティポリシーによって駆動されています。

さらなる調査の必要性

パフォーマンスの問題(例:アプリケーションのロード時間の遅延)が観察され、Catoをバイパスするとパフォーマンスが向上する場合、サポートが調査するために追加のデータを要求することがあるため、以下を提供してください :

  • パフォーマンスへの影響は何ですか? データのロード時間またはコンテンツ自体の読み込みの問題ですか? 
  • クライアントブラウザのHARファイル
  • サポートが検証するための SSS を提供する

 

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント