この記事では、ネットワークの特定の要件を満たすためにTLSインスペクションポリシーを設定およびカスタマイズする方法について説明します。
今日、ほとんどのネットワークトラフィックは暗号化されており(TLS, HTTPS)、これによりIPS、インターネットファイアウォール、アプリケーション制御ポリシー、アンチマルウェアトラフィックをスキャンする利点がしばしば最小化されます。 トラフィックに悪意のあるコンテンツが含まれている場合、それも暗号化されるため、Catoセキュリティエンジンは検査またはスキャンすることができません。
アカウントでTLSインスペクションを有効にすると、CatoはPoPを通過するトラフィックを安全に復号し、Catoセキュリティエンジンがそれをマルウェアとして検査し、ダウンロードしたファイルをスキャンします。 トラフィックの内容が安全であると確認された場合、Catoはトラフィックを再暗号化して宛先に転送します。 しかし、コンテンツに実際または疑われるマルウェアが含まれる場合、Catoセキュリティエンジンはそのトラフィックをブロックします。
すべてのトラフィックを検査するCatoのデフォルトポリシーを使用することができます。 また、特定のトラフィックを検査するか、TLSインスペクションをバイパスするかを定義する、特定のTLSインスペクションルールを作成することもできます。
注意
注意: デフォルトでは、TLSインスペクションは次のオペレーティングシステムでバイパスされます。
-
Android(証明書ピンニングに関連する問題のため)
-
Linux
-
不明なオペレーティングシステム
Catoは暗黙のバイパスルールに含まれるいくつかのアプリケーションを含み、それらはTLSインスペクションから自動的に除外されます。 これらのアプリケーションのリストについては、以下を参照してください デフォルトのバイパスルール。
初回接続時には、データが適切なネットワークまたはセキュリティエンジンに流れる前に、TCPおよびTLSハンドシェイクが行われるため、最小限のレイテンシーが予想されます。 このレイテンシーはパケットごとに最大8ミリ秒です。
TLSインスペクションエンジンは、接続を順番に検査し、接続がルールに一致するかどうかを確認します。 ルールベースの最終ルールは、デフォルトの暗黙ANY - ANYインスペクトルールです。したがって、接続がルールに一致しない場合、それは自動的に検査されます。
規則ベースの最後のセクションでデフォルトルール設定を確認できます。 信頼されないサーバ証明書のアクションを除き、ルール設定は編集できません。 信頼されないサーバ証明書のアクションについては、以下を参照してください TLSインスペクションポリシーをカスタマイズするルールの追加。
ルールベースの上にあるルールは優先順位が高く、ルールベースの下にあるルールよりも接続に適用されます。 例えば、接続がルール#2に一致する場合、このルールのアクションが接続に適用され、TLSインスペクションエンジンはこの接続へのポリシーの適用を停止します。 これは、ルール#3以下のルールが接続に適用されないことを意味します。
TLSインスペクションルールは、TLSトラフィックに対して検査またはバイパスアクションを使用できるようにします。
接続を復号し、関連するセキュリティエンジンが悪意のあるコンテンツをトラフィックとして検査できるように、Inspectアクションを使用してTLSインスペクションルールを定義します。
バイパスアクションを使用して、TLSインスペクションルールを回避するトラフィックを定義します。 バイパスされたトラフィックは、Catoセキュリティエンジンによる検査用に復号化されません。 バイパスルールは、ルールベースの上位にある検査ルールに一致しない接続を除外するだけであることを覚えておいてください。
バイパスルールの優先順位を変更して、検査ルールより優先されるようにすることができます 優先度を変更する。
アカウント内のすべてのトラフィックに対してTLSインスペクションポリシーを設定するために TLSインスペクションポリシー ウィンドウを使用します。 すべてのトラフィックを検査するデフォルトポリシーを使用するか、検査およびバイパスルールを追加してカスタムポリシーを作成することができます。
複数のアイテムを使用した作業
ソースまたは何 フィールドに複数の項目がある場合、例えば2つのグループやカテゴリーなど、それらの項目の間にはまたはの関係があります。
エンドユーザーデバイスにCatoルート証明書をインストールする
Catoルート証明書は、Catoクラウドに接続するすべてのデバイスおよびコンピュータに信頼された証明書としてインストールする必要があります。 Cato証明書のインストールについて詳しくは、 TLSインスペクションのためのルート証明書のインストール を参照してください。
-
Cato証明書はほとんどの組み込みオペレーティングシステム(OS)にインストールできないため、TLSインスペクションが有効になったときに組み込みOSを使用する多くのデバイスが接続性を失います。 CatoがTLSインスペクションのためにサポートするOSについて詳しくは、 TLSインスペクションのベストプラクティス を参照してください。
QUICおよびGQUICは、Googleが開発したトランスポートプロトコルであり、TCP接続では動作せず、これらのプロトコルを使用するトラフィックはTLSインスペクションサービスでは検査できません。 したがって、TLSインスペクションを有効にするアカウントはインターネットファイアウォールルールを使用してQUICおよびGQUICトラフィックをブロックすることをお勧めします。 このトラフィックをブロックするルールは、フローがTLSインスペクションサービスで検査できるプロトコルを使用してのみ接続するようにします。 QUICおよびGQUICプロトコルを使用するトラフィックを許可した場合、フローは検査されず、不必要にブロックされます。
TLSインスペクションポリシーを初めて有効にすると、QUICおよびGQUICトラフィックをブロックするルールがインターネットファイアウォールポリシーに自動的に追加されます。 インターネットファイアウォールポリシーがすでにQUICトラフィックをブロックしている場合、それが正しく検査できるように、新しいルールは追加されません。
QUICおよびGQUICトラフィックについて詳しくは、以下を参照してください インターネットとWANファイアウォールポリシー–ベストプラクティス。
デフォルトのCato TLSインスペクションポリシーは、すべてのトラフィックを検査します (自動的にバイパスされるアプリケーションを除く)。 TLSインスペクションを有効にすることでデフォルトのポリシーを使用でき、ポリシーにルールを追加する必要はありません。
すべてのトラフィックに一致する最終的な暗黙のルールがあり、検査 アクションを実行します。
TLSインスペクションポリシーをカスタマイズして、組織のニーズに応じた特定のトラフィックタイプのみを検査することができます。 トラフィックの復号化と検査を定義するために、検査およびバイパスアクションを使用したルールをポリシーに追加します。
-
Cato クラウドが疑わしいおよび悪意のあるコンテンツを検査するトラフィックを定義するために、検査 アクションを使用してルールを作成します。
-
特定のトラフィックをCato TLSインスペクションエンジンから除外するために、バイパスアクションを使用してルールを作成します。 例えば、RingCentralアプリケーションのバイパスルールを追加して、RingCentralトラフィックをTLSインスペクションから除外できます。
ルールを作成する際に、ソースと何を使用してTLSトラフィックのスコープを定義し、アクションを設定してルールがトラフィックを検査するかバイパスするかを構成します。 バイパスルールが検査ルールと同じトラフィックに一致する場合、バイパスルールは検査ルールよりも高い優先度(ルールベースのトップに近い)を持つことを確認してください。 継続的な検査を許可するためにルールを構成してください。
検査アクションでルールを設定する場合、信頼されないサーバー証明書をどのように取り扱うかの動作も定義する必要があります。
この設定のオプションは以下の通りです。
-
許可 - 信頼されていない証明書を持つサイトへのトラフィックは許可され、検査されます(これはデフォルト設定です)。
-
確認 - ユーザーには信頼されていない証明書を持つサイトに進むことを確認するプロンプトが表示されます。 ユーザーがサイトへ進むとトラフィックが検査されます。
-
ブロック - 信頼されていない証明書付きのサイトへのトラフィックはブロックされます。
注意
注: TLSインスペクションを防ぐために証明書ピンニングを使用するアプリケーションは、バイパスルールに追加することでエンドユーザーに正しく機能します。
TLSインスペクションポリシーにルールを追加するには:
-
ナビゲーションメニューから、セキュリティ > TLSインスペクションをクリックします。
-
ルールの名前を入力します。
-
有効トグルを使用してルールを有効または無効にします。
-
有効トグルを使用してルールを有効または無効にします。
トグルは有効化されると緑になります
。
-
送信元を展開し、送信元の種類を選択します。
-
ソースを展開し、ソースの種類を選択します。
-
種類を選択します (例えば:ホスト、ネットワークインタフェース、IP、全て)。 デフォルト値は全てです。
-
必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
-
デバイスセクションで、このルールに一致するために必要なプラットフォーム、国、デバイスポスチャプロファイル、および接続の出元を設定します。
デバイス条件について詳しくは、以下を参照してください TLSインスペクション用のデバイス条件の追加。
-
ルールが適用される何を定義します。 例えば、サービス、アプリケーション、カスタムまたは定義済みカテゴリ。
-
検査またはバイパスを選択してアクションを設定します。
-
検査を選択した場合、信頼されないサーバ証明書ドロップダウンメニューから、問題のある証明書を持つトラフィックのアクションとして許可、ブロック、または確認を選択します。 適用をクリックします。
-
-
保存をクリックします。
-
保存をクリックします。 TLSインスペクションポリシーの管理
ルールの優先順位を変更する
ルールは各接続に対して順次適用され、接続がルールに一致すると、低い優先順位のルールはそれに適用されません。 ルールの優先順位を変更するには:
スライダーを使用して、TLSインスペクションポリシー内の個々のルールを有効化および無効化します。
Catoは特定のアプリ、OS種別、クライアントをバイパスするデフォルトのTLSインスペクションルールを管理します。 これらのルールはルールベースの最上位に配置され、編集できません。 TLSインスペクションポリシーの計画と決定に役立てるため、デフォルトのバイパスルールセクションでこれらのルールの設定を閲覧できます。
0件のコメント
サインインしてコメントを残してください。