TLS 검사 모범 사례

클라이언트(예: 웹 브라우저)가 서버에 연결할 때 PoP는 TLS 협상의 일환으로 Cato의 인증서를 브라우저에 보냅니다． 클라이언트가 이 인증서가 신뢰할 수 있는 CA에 의해 서명되었음을 확인하려면 모든 클라이언트와 장치에 Cato의 인증서를 설치해야 합니다． 인증서는 Cato 관리 애플리케이션 또는 클라이언트 다운로드 포털에서 다운로드할 수 있습니다． 이후 PoP는 HTTPS 트래픽을 해독하고 보안 위협이 있는지 검사할 수 있습니다．

Cato의 인증서를 설치하면 Cato의 HTTPS 웹사이트 차단 페이지를 사용할 수 있습니다． TLS 트래픽이 URL 필터링이나 인터넷 방화벽 규칙에 의해 차단될 경우, Cato 인증서로 Cato의 차단 페이지에 액세스할 수 있습니다． HTTPS 웹사이트에 대한 접근을 차단하기 위해 TLS 검사가 필요하지 않지만, Cato 인증서가 사용자의 컴퓨터에 설치되어 있지 않으면 Cato의 차단 페이지 대신 인증서 경고가 나타납니다． 따라서 클라이언트 장치에 Cato 인증서를 설치할 것을 권장합니다． 인증서와 차단 페이지에 대한 자세한 내용은 차단된 HTTPS 웹사이트의 인증서 경고를 참조하십시오.

단일 TLS 검사 창을 사용하여 TLS 검사에서 특정 항목을 제외할 수 있습니다． 이는 정당하거나 신뢰할 수 있는 것으로 간주되는 서비스나 목적지를 포함할 수 있습니다. TLS 검사에서 트래픽을 제외하는 방법에 대한 자세한 내용은 계정의 TLS 검사 정책 구성을 참조하십시오.

참고 사항:

Cato Networks는 계정에 대해 TLS 검사를 활성화할 것을 강력히 권장합니다． Cato의 고급 보안 및 탐지 서비스를 완벽하게 보호하려면, 이러한 서비스 기능 중 일부가 암호화되지 않은 데이터만 검사할 수 있다는 점을 아는 것이 중요합니다. 예를 들어, TLS 검사를 사용하지 않으면 MDR과 같은 자동화된 위협 탐지 시스템을 활용한 보안 서비스의 효율성이 감소합니다.

또 다른 예시는 서명 기반 탐지를 사용하는 IPS 서비스입니다． TLS 검사가 활성화되면 IPS는 심층 패킷 검사를 적용하고 다양한 보안 서명에 대한 추가 기능을 허용합니다． 따라서 네트워크에 더 나은 보호를 제공합니다．

일부 사이트와 애플리케이션은 보안상의 이유로 인증서 핀닝을 사용합니다． 인증서 핀닝은 중간자 공격을 방지하기 위해 클라이언트가 특정 인증서를 사용하도록 강제합니다． 이러한 애플리케이션은 TLS 검사가 활성화될 때 작동하지 않습니다． 따라서, TLS 검사 정책 창에서 우회 규칙으로 추가해야 합니다．

TLS 검사 구성을 위한 자세한 내용은 계정의 TLS 검사 정책 구성를 참조하십시오.