TLSi (TLS 검사) - 비활성화됨/우회된 후에도 트래픽 검사가 수행됨

문제

TLSi 가 활성화된 것처럼 보일 수 있습니다 다음의 경우에도 불구하고:

  • 글로벌 TLS 검사가 비활성화되었거나,
  • 트래픽이 TLS 우회 규칙에 일치하거나,
  • 소스 OS가 기본적으로 우회되는 운영 체제 유형 중 하나입니다 (예: Android, Linux, 알 수 없는 OS).

이 행동은 일반적으로 보안/인터넷 이벤트에서 확인되며 이벤트 세부사항에 TLS 검사 = 1이 표시되고, 경우에 따라 TLS 관련 차단, 프롬프트 또는 캡티브 포털 페이지가 제공될 수 있습니다.

환경

다음 조건 중 하나 이상이 적용될 수 있습니다:

  • TLS 검사가 글로벌하게 비활성화되었거나 OS에 의해 우회됨 (예시: Android, Linux, 알 수 없는 OS)
  • 방화벽 규칙에서 차단 또는 프롬프트 작업이 수행됨
  • 캡티브 포털 인증 사용 중
  • 클라이언트 없는 액세스 (브라우저 액세스)
  • 트래픽이 고위험으로 분류되거나 시스템 보안 제어에 의해 금지됨
  • 특정 애플리케이션에 대한 글로벌 매개변수를 강화하는 TLS 검사

참고: 이벤트에서 TLS 검사는 시스템 요구 검사로 제어, 시행 또는 보안을 반영할 수 있으며, 반드시 구성된 정책 검사만은 아닙니다.

행동 이해

TLS 검사 설정이 정책 기반 검사를 정의하지만 특정 트래픽 흐름은 Cato의 보안 스택에 의해 수행되는 시스템 수준의 검사가 필요할 수 있습니다. 이 경우에는 테넌트 정책 수준에서 비활성화되거나 우회된 경우에도 TLS 검사가 수행될 수 있습니다.

Cato의 마스터 서비스 계약 (MSA) 및 글로벌 보안 및 준수 요구사항에 따라, 특정 악성, 위험한, 또는 금지된 목적지에 대한 액세스가 기본적으로 차단됩니다. 이러한 기초 보호를 강화하고 규제 의무를 충족시키기 위해 Cato는 자체 보안 스택을 사용하여 트래픽을 차단하고 평가할 수 있습니다. 결과적으로, 고객이 구성한 TLS 검사가 비활성화된 경우에도 일부 차단 이벤트에서 TLS 검사 기능이 활성으로 보고될 수 있습니다.

이 행동은 기대되고 설계된 것입니다. 이는 TLS 검사가 고객 정책에 의해 활성화되었거나 우회 규칙이 무시되었음을 나타내는 것은 아닙니다. 대신, 이는 플랫폼 보안과 준수를 유지하면서 고위험 트래픽을 정확히 분류하고 차단하기 위해 필수적으로 시스템에서 법으로 강제된 보안 제어를 반영합니다.

위의 행동은 이벤트에서 TLS 검사 = 1로 반영됩니다

TLS 검사가 강제되는 시나리오

시나리오 1: 캡티브 포털 트래픽은 항상 검사됩니다

캡티브 포털 감지 및 인증을 위한 트래픽은 시스템 규칙에서 처리됩니다.

PoP는 다음을 수행해야 합니다:

  • 인증 요구사항 감지
  • 캡티브 포털 페이지 삽입
  • 접속 행동 임시 처리 (예: 모든 접속 처리)

이를 지원하기 위해 트래픽은 다음의 경우에도 TLS 검사 엔진을 항상 통과합니다:

  • 소스 OS는 일반적으로 우회되며,
  • 테넌트 TLS 검사가 비활성화되거나 우회됨

이 행동은 기대되는 것이며 테넌트 TLSi 정책이 무시되었다는 것을 나타내지 않습니다.

시나리오 2: 클라이언트 없는 액세스 (브라우저 액세스 포털) 트래픽은 항상 검사됩니다

클라이언트 없는 액세스 (브라우저 액세스 포털) 트래픽은 공개 인터넷에서 시작되며, Cato 클라우드로 신뢰할 수 없는 인바운드 트래픽으로 들어옵니다.

보안 이유로:

  • 이 트래픽은 시스템 규칙에 의해 항상 검사되며, TLS 검사 포함
  • 이 흐름에는 테넌트 TLS 검사 구성은 적용되지 않습니다

결과적으로 브라우저 액세스와 관련된 이벤트는 다음의 경우에도 TLS 검사 = 1로 표시될 수 있습니다:

  • 글로벌 TLS 검사가 비활성화되었거나,
  • 동일한 목적지는 보통 SDP 클라이언트를 통해 사용자 트래픽에 대해 우회됨

시나리오 3: 차단 또는 프롬프트 작업이 포함된 방화벽 규칙

HTTPS 트래픽에 대해, 차단 또는 프롬프트 작업이 구성된 방화벽 규칙은 다음을 위해 TLS 검사가 필요합니다:

  • 암호화된 트래픽 정확히 분류
  • 차단 또는 프롬프트 페이지를 사용자에게 다시 삽입

이 TLS 해지는 테넌트 TLS 검사 정책이 아닌 시스템 규칙에 의해 수행됨

따라서, 차단 또는 프롬프트 규칙과 일치하는 흐름에 대한 이벤트는 다음의 경우에도 TLS 검사 = 1로 표시될 수 있습니다:

  • TLS 검사는 글로벌하게 비활성화되었거나,
  • TLS 우회 규칙이 목적지에 적용됩니다

이 행동은 HTTPS 트래픽에 대한 차단/프롬프트 작업을 정확히 강제하기 위해 필요합니다.

(참조: 신뢰할 수 없는 웹사이트 접근이 차단됨 비활성화 된 TLS 검사에도 불구하고 차단 됩니다.)

시나리오 4: 특정 애플리케이션에 대한 글로벌 TLS 검사 정책

테넌트 정의 TLS 검사 규칙 외에도, Cato는 특정 애플리케이션에 대해 글로벌 TLS 검사 정책을 적용합니다, 예를 들어 Dropbox, WhatsApp 등이 있습니다.

이러한 정책은 다음에 사용됩니다:

  • 일관된 보안 및 CASB 강제 적용 보장
  • 인증서 핀 설정 및 애플리케이션별 행동 처리

결과적으로 특정 애플리케이션에 대한 트래픽은 다음의 경우에도 검사될 수 있습니다:

  • 테넌트 정책에서 TLS 검사가 비활성화되었거나,
  • 소스 OS는 일반적으로 우회됨

이벤트에서는 매칭되는 테넌트 정의 TLSi 규칙이 보이지 않지만, TLS 검사 = 1로 표시됩니다.

이 행동은 기대되는 것이며 Cato의 글로벌 보안 정책에 의해 주도됩니다.

추가 조사 필요시점

성능 문제가 관찰되고 (예시로, 애플리케이션 로드 시간이 느림), 우회가 더 나은 성능을 제공한다면, 추가 데이터가 요구될 수 있으며 지원을 위해 다음을 제공해주시기 바랍니다:

  • 성능 영향은 무엇입니까? 데이터 로딩 시간인지 아니면 컨텐츠 자체 로딩에 문제가 있는지? 
  • 클라이언트 브라우저의 HAR 파일
  • 검증을 위한 지원 SSS 제공

 

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개