TLSインスペクションのベストプラクティス

TLSインスペクションの概要

インターネットトラフィックの大部分はHTTPSで暗号化されていますが、マルウェアは回避技術としてHTTPSを使用します。 この種の脅威は、組織のデータに損害を与える可能性があります。

Cato Networksは、WANとインターネットHTTPSトラフィックのためにTransport Layer Security (TLS)インスペクションを提供します。 CatoはTLSバージョン1.1、1.2、and 1.3をサポートしています。 TLSインスペクションが有効になると、CatoのPoPはHTTPSトラフィックを復号し、悪意のあるコンテンツを検査します。 侵入防止システム (IPS)、マルウェア対策、管理された脅威検出と対応 (MDR) などのCatoの脅威保護サービスにTLSインスペクションを使用することをお勧めします。

この記事では、TLSインスペクションがこれらの脅威に対する保護をどのように提供するかを説明し、脅威保護とTLSトラフィックのベストプラクティスを説明します。

注意

注意: 証明書ピンニングに関係する問題のため、TLSインスペクションはAndroidデバイスでサポートされていません。

TLSインスペクションを有効にする

Cato管理アプリケーションを使用して、アカウント全体のTLSインスペクションを有効にします。 TLSインスペクションの実装の一環として、エンドユーザーホストおよびデバイスにルート証明書としてCato証明書をインストールする必要があります。 TLSインスペクションからトラフィックを検査またはバイパスするためのルールを定義するには、TLSインスペクションポリシーを使用します。 アカウントでTLSインスペクションを有効にすると、デフォルトのポリシーは箱から出ることなくすべてのHTTPSトラフィックをデフォルトで検査します。

Cato証明書を用いてトラフィックを復号化

クライアント(例えば、ウェブブラウザ)がサーバに接続すると、PoPはTLSネゴシエーションの一環としてCatoの証明書をブラウザに送信します。 クライアントがこの証明書が信頼できるCAによって署名されていることを確認するために、すべてのクライアントとデバイスにCatoの証明書をインストールする必要があります。 証明書はCato管理アプリケーションまたはクライアントダウンロードポータルからダウンロード可能です。 その後、PoPはHTTPSトラフィックを復号し、セキュリティ脅威があるかどうかを検査することができます。

Catoの証明書をインストールすると、HTTPSウェブサイト用のCatoのブロックページを使用することもできます。 TLSトラフィックがURLフィルタリングやインターネットファイアウォールルールによってブロックされる場合、Cato証明書を使用することでCatoのブロックページにアクセスできます。 HTTPSウェブサイトへのアクセスをブロックするためにTLSインスペクションは必要ではありませんが、ユーザーのコンピュータにCatoの証明書がインストールされていない場合、Catoのブロックページの代わりに証明書の警告が表示されます。 したがって、クライアントデバイスにCatoの証明書をインストールすることをお勧めします。 証明書とブロックされたページについての詳細は、ブロックされたHTTPSウェブサイトの証明書警告を参照してください。

TLSインスペクションからアイテムを除外

統合TLSインスペクションウィンドウを使用して、特定のアイテムをTLSインスペクションから除外できます。 これには、正当または信用できると見なされるサービスや宛先が含まれる場合があります。 TLSインスペクションからトラフィックを除外する詳細については、アカウントのためのTLSインスペクションポリシーの設定を参照してください。

注意

  • Android、Linux、未識別のオペレーティングシステムに対しては、TLSインスペクションがバイパスされます。 これらのオペレーティングシステムのイベントログには、OS タイプとして以下が含まれます:

    • OS_ANDROID

    • OS_LINUX

    • OS_UNKNOWN

  • TLSインスペクションを有効にすると、すべてのTLSトラフィックに対してTCPアクセラレーション機能が有効化されます。 TCPアクセラレーションが有効化されると、ポップは悪意のあるファイルや脅威を検査するためのプロキシサーバーとして動作します。 TCPプロキシモードの詳細については、Cato TCPアクセラレーションとベストプラクティスの説明をご覧ください。

TLSインスペクションのベストプラクティス

セキュリティを向上させるためのTLSインスペクションの有効化

Cato Networksは、アカウントのためにTLSインスペクションを有効にすることを強くお勧めします。 Catoの高度な設定と検出サービスの完全な保護を希望する場合は、これらの機能の一部は暗号化されていないデータのみを検査できることを知っておくことが重要です。 例えば、TLSインスペクションを使用していない場合、脅威ハンティングシステムを使用するMDRのようなセキュリティサービスの効率性が低下します。

Another example is the IPS service that uses signatures-based detection. TLSインスペクションが有効化されると、IPSはディープパケットインスペクションを適用でき、セキュリティ署名の範囲に対して追加の機能を提供します。 このようにして、ネットワークに対してより良い保護を提供します。

証明書ピンニングを使用するアプリケーションをどのように処理するか?

一部のサイトやアプリケーションは、セキュリティの理由から証明書ピンニングを使用しています。 証明書ピンニングは、クライアントが特定の証明書を使用することを強制し、中間者攻撃を防ぎます。 これらのアプリケーションは、TLSインスペクションが有効化されると動作しません。 したがって、TLSインスペクションポリシーウィンドウ内でそれらをバイパスルールとして追加する必要があります。

TLSインスペクションの設定に関する詳細情報は、アカウント用TLSインスペクションポリシーの設定を参照してください。

この記事は役に立ちましたか?

9人中9人がこの記事が役に立ったと言っています

0件のコメント