CatoクラウドにおけるTLSインスペクションのテスト

TLSインスペクションの有効化と導入の概要

グーグルによれば、2019年にはすべてのウェブページの70%以上がHTTPS、ハイパーテキスト転送プロトコルセキュアによって提供されています。 HTTPプロトコルはウェブブラウザとウェブサーバーがデータを交換するために使用するプロトコルであり、HTTPSの末尾の“S”はデータがTLS、トランスポート層セキュリティにより暗号化されていることを意味します。 TLSはデータのプライバシーと機密性を提供する能力に優れており、インターネット全体で広く採用されている理由です。

残念ながら、そのプライバシーと機密性の保証は正当なトラフィックだけに適用されるわけではありません。 マルウェアや脅威は、HTTPサイトと同様にHTTPSサイトでも隠れることができます。 HTTPSの人気が高まるにつれ、セキュリティ研究者がHTTPSウェブサイトでますます多くのマルウェアの脅威を見つけることに驚くべきことはありません。 さらに悪いことに、HTTPSはTLSで暗号化されたトラフィック内の脅威をスキャンできないため、ウイルス対策やIPSエンジンの効果を低下させます。

TLSインスペクションが有効化されると、Cato PoPはウェブブラウザとウェブサーバーの間での中間者として機能します:

  1. PoPはクライアントまたはサーバーから受け取ったTLSトラフィックを復号化します。

  2. PoPはアンチマルウェアとIPSエンジンを使用して復号化されたトラフィックをスキャンします。

  3. PoPはトラフィックを再度暗号化します。

  4. PoPは暗号化されたパケットを宛先に送信します。

TLSインスペクションはアンチマルウェアおよびIPSと組み合わせて、暗号化された脅威と未暗号化の脅威の両方からネットワークを保護します。 TLSインスペクションなしで脅威保護を使用している場合、ネットワークは暗号化されたソースからの攻撃に対して脆弱です。 したがって、アンチマルウェアまたはIPSを使用している場合は、TLSインスペクションを有効にすることを強くお勧めします。

このガイドでは、TLSインスペクションの段階的な導入を段階を追って説明します。 数人のユーザーに対してTLSインスペクションを有効にして、どのように機能するか確認してください。 その後、同機能を全アカウントに対して有効にすることができます。

Cato証明書についてもっと詳しく知りたい場合は、TLSインスペクションのためのルート証明書をインストールするを参照してください。

TLSインスペクションのテスト

少人数のユーザーに対してTLSインスペクションを有効にすることで、テストを実施し、すべてのエンドユーザーにこの機能を展開する前に、証明書のインストールやウェブサイトの互換性に関する問題をキャッチできます。 テストの基準は、サイトのように大きくても、個々のコンピュータのように小さくても構いません。 以下でTLSインスペクションを有効にすることができます:

  • サイト

  • サイト内のネットワーク

  • VPNユーザー

  • 個々のコンピュータ (ホスト)

  • 上記のオプションの任意の組み合わせ

テストユーザーのためのTLSインスペクションを有効にする

貴社が使用するすべてのデバイスとOS種別でテストを行う必要があります。 テストユーザーは通常の業務を行い、すべての異常をネットワークまたはシステム管理者に報告してさらなる調査を行うべきです。

TLSインスペクションを有効にすると、デフォルトで全てのHTTPSトラフィックを検査するポリシーが適用されます。 特定のユーザーでのみテストを行うには、まずバイパスルールをソースすべてとして定義してください。 次に、優先度の高い検査ルールを作成し、テストユーザーをソースフィールドに追加してください。 これは、特定のユーザーをテストするためのTLSインスペクションポリシーの例です:

TLS_Inspection_Test_User_Rules.png

テストユーザーのためのTLSインスペクションポリシーを有効にする方法についての詳細は、アカウントのTLSインスペクションポリシーの構成をご覧ください。

CatoのTLSインスペクションがウェブサイトに対してアクティブかどうかを知るには?

もしサイトがTLSで暗号化されている場合、モダンブラウザはURLバーに錠前アイコンを表示します。 錠前アイコンをクリックすると、証明書の詳細、特にルートのCAを確認できるオプションが表示されます。 証明書の発行者または検証者としてCato Networksと続くPoPの名称が表示された場合、TLSインスペクションはアクティブです。

HTTPS_padlock.png

ルートCAのインストールについての詳細は、CatoルートCA証明書の検証をご覧ください。

ChromeでTLSインスペクションをテストする

  1. 錠前アイコンをクリックし、証明書をクリックしてください。

    360002921818-image-14.png

  2. "発行者"フィールドを確認してください。

    360002841817-image-15.png

FirefoxでTLSインスペクションをテストする

  1. アイコンの錠前をクリックして、>ボタンを接続の隣にクリックしてください。

    360002921998-image-16.png

  2. 「認証者」フィールドを確認してください。

    360002921978-image-17.png

TLSインスペクションからトラフィックをバイパスする

テスト中に、TLSインスペクションが有効な場合、一部のウェブサイトやアプリケーションが動作しないことがあります。 TLSインスペクションポリシーでバイパスアクションの新規ルールを作成することにより、宛先ドメイン、IPアドレス、さらにはURLカテゴリ全体をTLSインスペクションから除外できます。 次の理由のいずれかでウェブサイトを信頼できる目的地に追加する必要があるかもしれません:

  • 証明書のピン留め: サーバーはクライアントに対し、提供された実際の公開鍵のハッシュと一緒にサーバーから受信した公開鍵を確認するように指示します。 これは、PoPからクライアントに送信された公開鍵がハッシュと一致しないため、TLSインスペクションによって使用される中間者攻撃の方法を軽減します。

  • クライアント認証:ウェブサーバーはクライアントに、クライアント証明書で自己認証するよう要求します。 PoPにはクライアント証明書がないため、TLSインスペクションが失敗します。

TLSインスペクションを全体的に有効化する

テストユーザーによって検出されたすべての問題が解決された後、全てのユーザーのためにTLSインスペクションを有効化してください。

この記事は役に立ちましたか?

7人中7人がこの記事が役に立ったと言っています

0件のコメント