この記事では、ネットワークの特定の要件を満たすためにTLSインスペクションポリシーを設定およびカスタマイズする方法について説明します。
今日、ほとんどのネットワークトラフィックは暗号化されており(TLS, HTTPS)、これによりIPS、インターネットファイアウォール、アプリケーション制御ポリシー、アンチマルウェアトラフィックをスキャンする利点がしばしば最小化されます。 トラフィックに悪意のあるコンテンツが含まれている場合、それも暗号化されるため、Catoセキュリティエンジンは検査またはスキャンすることができません。
アカウントでTLSインスペクションを有効にすると、CatoはPoPを通過するトラフィックを安全に復号し、Catoセキュリティエンジンがそれをマルウェアとして検査し、ダウンロードしたファイルをスキャンします。 トラフィックの内容が安全であると確認された場合、Catoはトラフィックを再暗号化して宛先に転送します。 しかし、コンテンツに実際または疑われるマルウェアが含まれる場合、Catoセキュリティエンジンはそのトラフィックをブロックします。
すべてのトラフィックを検査するCatoのデフォルトポリシーを使用することができます。 また、特定のトラフィックを検査するか、TLSインスペクションをバイパスするかを定義する、特定のTLSインスペクションルールを作成することもできます。
注意
注意: デフォルトでは、TLSインスペクションは次のオペレーティングシステムでバイパスされます。
- Android(証明書ピンニングに関連する問題のため)
- Linux
- 不明なオペレーティングシステム
Catoは暗黙のバイパスルールに含まれるいくつかのアプリケーションを含み、それらはTLSインスペクションから自動的に除外されます。 これらのアプリケーションのリストについては、以下を参照してください デフォルトのバイパスルール。
初回接続時には、データが適切なネットワークまたはセキュリティエンジンに流れる前に、TCPおよびTLSハンドシェイクが行われるため、最小限のレイテンシーが予想されます。 このレイテンシーはパケットごとに最大10ミリ秒です。
TLSインスペクションエンジンは、接続を順番に検査し、接続がルールに一致するかどうかを確認します。 ルールベースの最終ルールは、デフォルトの暗黙ANY - ANYインスペクトルールです。したがって、接続がルールに一致しない場合、それは自動的に検査されます。
規則ベースの最後のセクションでデフォルトルール設定を確認できます。 信頼されないサーバ証明書のアクションを除き、ルール設定は編集できません。 信頼されないサーバ証明書のアクションについては、以下を参照してください TLSインスペクションポリシーをカスタマイズするルールの追加。
ルールベースの上にあるルールは優先順位が高く、ルールベースの下にあるルールよりも接続に適用されます。 例えば、接続がルール#2に一致する場合、このルールのアクションが接続に適用され、TLSインスペクションエンジンはこの接続へのポリシーの適用を停止します。 これは、ルール#3以下のルールが接続に適用されないことを意味します。
TLSインスペクションポリシーは、異なる管理者が並行してポリシーを編集できるようにします。 各管理者はルールを編集し、独自のプライベートリビジョンでその変更をルールベースに保存してから、アカウントポリシー(公開されたリビジョン)にそれらを公開します。 ポリシーリビジョンの管理方法について詳しくは、Working with Policy Revisionsを参照してください。
TLSインスペクション設定ウィザードの操作
TLSインスペクション設定ウィザードは、これらのチェックとインサイトを使用してポリシーを自動的にレビューします。 チェックが失敗した場合、個々のルールを編集することなく、ウィザード内で直接ポリシーをレビューして更新できます。 これにより、セキュリティを維持しながら、ポリシー管理を簡素化するのに役立ちます。 詳細については、デバイスダッシュボードの使用を参照してください。
TLSインスペクションポリシーページを使用して、アカウント内のすべてのトラフィックに対するTLSインスペクションポリシーを構成します。
複数のアイテムを使用した作業
ソースまたは何 フィールドに複数の項目がある場合、例えば2つのグループやカテゴリーなど、それらの項目の間にはまたはの関係があります。
エンドユーザーデバイスにCatoルート証明書をインストールする
Catoルート証明書は、Catoクラウドに接続するすべてのデバイスおよびコンピュータに信頼された証明書としてインストールする必要があります。 Cato証明書のインストールについて詳しくは、 TLSインスペクションのためのルート証明書のインストール を参照してください。
- Cato証明書はほとんどの組み込みオペレーティングシステム(OS)にインストールできないため、TLSインスペクションが有効になったときに組み込みOSを使用する多くのデバイスが接続性を失います。 CatoがTLSインスペクションのためにサポートするOSについて詳しくは、 TLSインスペクションのベストプラクティス を参照してください。
デフォルトでは、すべてのTLSバージョンと暗号スイートが許可されています。 TLSインスペクションポリシーは、アカウント内のトラフィックに対して最小限のTLSプロトコルバージョンと暗号スイートの強度を強制し、古いTLSバージョンや暗号化されたトラフィックの脆弱な暗号スイートの使用を防ぐことができます。
暗号スイートの設定オプションは、Mozillaの推奨設定に基づいて3つのレベルに分かれています。 一部のTLSバージョンは特定のレベルと互換性がありません。 すべてのクライアント機能に関する詳細情報は、アクセス文書を参照してください。
QUICおよびGQUICは、Googleが開発したトランスポートプロトコルであり、TCP接続では動作せず、これらのプロトコルを使用するトラフィックはTLSインスペクションサービスでは検査できません。 したがって、TLSインスペクションを有効にするアカウントはインターネットファイアウォールルールを使用してQUICおよびGQUICトラフィックをブロックすることをお勧めします。 このトラフィックをブロックするルールは、フローがTLSインスペクションサービスで検査できるプロトコルを使用してのみ接続するようにします。 QUICおよびGQUICプロトコルを使用するトラフィックを許可した場合、フローは検査されず、不必要にブロックされます。
TLSインスペクションポリシーを初めて有効にすると、QUICおよびGQUICトラフィックをブロックするルールがインターネットファイアウォールポリシーに自動的に追加されます。 インターネットファイアウォールポリシーがすでにQUICトラフィックをブロックしている場合、それが正しく検査できるように、新しいルールは追加されません。
QUICおよびGQUICトラフィックについて詳しくは、以下を参照してください インターネットとWANファイアウォールポリシー–ベストプラクティス。
TLSインスペクションポリシーを構成するとき、デフォルトのCato TLSインスペクションポリシーを有効化するか、独自のルールを追加してポリシーをカスタマイズすることができます。
デフォルトのCato TLSインスペクションポリシーは、すべてのトラフィックを検査します(自動的にバイパスされるアプリケーションを除く)。 TLSインスペクションを有効にすることでデフォルトのポリシーを使用でき、ポリシーにルールを追加する必要はありません。
すべてのトラフィックに一致する最終的な暗黙のルールがあり、検査 アクションを実行します。
TLSインスペクションポリシーをカスタマイズして、組織のニーズに応じた特定のトラフィックタイプのみを検査することができます。 トラフィックの復号化と検査を定義するために、検査およびバイパスアクションを使用したルールをポリシーに追加します。
- Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
- 特定のトラフィックをCato TLSインスペクションエンジンから除外するために、バイパスアクションを使用してルールを作成します。 例えば、RingCentralアプリケーションのバイパスルールを追加して、RingCentralトラフィックをTLSインスペクションから除外できます。
ルールを作成する際に、ソースと何を使用してTLSトラフィックのスコープを定義し、アクションを設定してルールがトラフィックを検査するかバイパスするかを構成します。 バイパスルールが検査ルールと同じトラフィックに一致する場合、バイパスルールは検査ルールよりも高い優先度(ルールベースのトップに近い)を持つことを確認してください。 継続的な検査を許可するためにルールを構成してください。
検査アクションでルールを設定する場合、信頼されないサーバー証明書をどのように取り扱うかの動作も定義する必要があります。
この設定のオプションは以下の通りです:
- 許可 - 信頼されていない証明書を持つサイトへのトラフィックは許可され、検査されます(これはデフォルト設定です)。
- 確認 - ユーザーには信頼されていない証明書を持つサイトに進むことを確認するプロンプトが表示されます。 ユーザーがサイトへ進むとトラフィックが検査されます
- ブロック - 信頼されていない証明書付きのサイトへのトラフィックはブロックされます
注意
注: TLSインスペクションを防ぐために証明書ピンニングを使用するアプリケーションは、バイパスルールに追加することでエンドユーザーに正しく機能します。
TLSインスペクションポリシーにルールを追加するには:
- ナビゲーションメニューから、セキュリティ > TLSインスペクション をクリックします。
- 新規をクリックします。
- ルールの名前を入力します。
-
有効トグルを使用してルールを有効または無効にします。
トグルは有効化されると緑になります
。
- このルールのルール順序を設定します。
-
ソースを展開し、ソースの種類を選択します。
- 種類を選択します (例えば:ホスト、ネットワークインタフェース、IP、全て)。 デフォルト値は全てです。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
基準セクションで、このルールに一致するために必要なプラットフォーム、国、デバイスポスチャープロファイル、および接続元を構成します。
デバイス条件について詳しくは、以下を参照してください TLSインスペクション用のデバイス条件の追加。
- ルールが適用される目的地を定義します。 例えば、サービス、アプリケーション、カスタムまたは定義済みカテゴリ。
-
最小のTLSバージョンと暗号スイートを選択します。
注意: 一部のTLSバージョンは暗号スイートのレベルと互換性がありません。 詳細については、ユーザーおよびシステムグループの操作を参照してください。
-
検査またはバイパスを選択してアクションを設定します。
- 検査を選択した場合、信頼されないサーバ証明書ドロップダウンメニューから、問題のある証明書を持つトラフィックのアクションとして許可、ブロック、または確認を選択します。 デフォルト値は許可です。
- 適用をクリックします。
- 保存をクリックしてください。 TLSインスペクションルールがルールベースに保存されます。
Catoは特定のアプリ、OS種別、クライアントをバイパスするデフォルトのTLSインスペクションルールを管理します。 これらのルールはルールベースの最上位に配置され、編集できません。 TLSインスペクションポリシーの計画と決定に役立てるため、デフォルトのバイパスルールセクションでこれらのルールの設定を閲覧できます。
何 フィールドに複数のアイテムが含まれている場合、例えばアプリケーションとFQDN の完全修飾ドメイン名など、それらのアイテムにはANDの関係があります。
0件のコメント
サインインしてコメントを残してください。