계정에 대한 TLS 검사 정책 구성

이 기사에서는 네트워크의 특정 요구 사항을 충족하기 위해 TLS 검사 정책을 구성하고 사용자 정의하는 방법에 대해 설명합니다.

Cato TLS 검사 정책 개요

오늘날 대부분의 네트워크 트래픽은 암호화(TLS, HTTPS)되어 있으며, 이는 종종 IPS, 인터넷 방화벽, 애플리케이션 제어 정책 및 안티멀웨어 트래픽으로 트래픽을 스캔하는 이점을 최소화합니다. 트래픽이 악성 콘텐츠를 포함하는 경우에도 암호화되어 Cato 보안 엔진에서는 검사나 스캔이 불가능합니다.

계정에 대해 TLS 검사를 활성화하면, Cato는 PoP를 통해 통과하는 트래픽을 안전하게 해독하고 Cato 보안 엔진이 이를 악성 소프트웨어로 검사하고 다운로드된 파일을 스캔합니다. 트래픽의 콘텐츠가 안전한 것으로 확인되면 Cato는 트래픽을 다시 암호화하고 목적지로 전달합니다. 그러나 콘텐츠에 실제 또는 의심되는 악성 소프트웨어가 포함되어 있는 경우, Cato 보안 엔진이 트래픽을 차단합니다.

모든 트래픽을 검사하는 Cato 기본 정책을 사용할 수 있습니다. 또한 특정 TLS 검사 규칙을 만들어 어떤 트래픽이 검사되고 어떤 트래픽이 TLS 검사를 우회할지 정의할 수 있습니다.

tlsinspection.png

참고

참고: 기본적으로 다음 운영 체제는 TLS 검사를 우회합니다:

  • Android(인증서 고정과 관련된 문제로 인해)

  • Linux

  • 알 수 없는 운영 체제

애플리케이션에 대한 Cato 기본 우회 규칙

Cato는 암묵적인 우회 규칙에 여러 애플리케이션을 포함시켜 TLS 검사에서 자동으로 제외됩니다. 이러한 애플리케이션 목록은 아래의 기본 우회 규칙을 참조하십시오.

TLS 검사에 대한 지연 시간

최소한의 지연 시간이 예상되며, 이는 데이터가 적절한 네트워크나 POP의 보안 엔진으로 흐르기 전에 발생하는 TCP 및 TLS 핸드셰이크 때문에 발생합니다. 이 지연 시간은 패킷당 최대 10 밀리초입니다.

순서가 있는 TLS 검사 규칙 기반 사용하기

TLS 검사 엔진은 연결을 순차적으로 검사하고 연결이 규칙과 일치하는지 확인합니다. 규칙 기반의 최종 규칙은 기본 암묵적 모두 - 모든 검사 규칙입니다. 따라서 연결이 규칙과 일치하지 않으면 자동으로 검사됩니다.

규칙 기반의 끝에 있는 기본 규칙 섹션에서 기본 규칙 설정을 검토할 수 있습니다. 신뢰할 수 없는 서버 인증서 작업 외에는 규칙 설정을 편집할 수 없습니다. 신뢰할 수 없는 서버 인증서 작업에 대한 자세한 내용은 아래의 TLS 검사 정책 사용자 정의 규칙 추가을 참조하십시오.

규칙 기반의 맨 위에 있는 규칙은 우선 순위가 높습니다. 이는 규칙 기반의 아래쪽 규칙보다 먼저 연결에 적용되기 때문입니다. 예를 들어, 연결이 규칙 #2와 일치하면 이 규칙의 동작이 연결에 적용되고 TLS 검사 엔진은 이 연결에 정책을 적용하는 것을 멈춥니다. 이는 규칙 #3 이하의 규칙이 연결에 적용되지 않음을 의미합니다.

TLS 검사 규칙 작업 이해하기

TLS 검사 규칙은 TLS 트래픽에 대해 검사 또는 우회 작업을 사용할 수 있도록 합니다.

TLS 트래픽을 검사하는 규칙 사용하기

검사 작업을 사용하여 연결을 해독하고 관련 보안 엔진이 트래픽을 악성 콘텐츠로 검사할 수 있도록 TLS 검사 규칙을 정의하십시오.

TLS 트래픽을 우회하는 규칙 사용하기

우회 작업을 사용하여 TLS 검사 규칙을 우회하는 트래픽을 정의하십시오. 우회 트래픽은 Cato 보안 엔진에 의해 검사 목적으로 해독되지 않습니다. 기억하십시오, 우회 규칙은 규칙 기반에서 상위의 검사 규칙과 일치하지 않는 연결만 제외합니다.

우회 규칙이 검사 규칙보다 우선순위를 높게 지정할 수 있도록 우선 순위 변경을 할 수 있습니다.

TLS 검사 정책 구성

계정의 모든 트래픽에 대한 TLS 검사 정책을 구성하려면 TLS 검사 정책 창을 사용하십시오. 모든 트래픽을 검사하는 기본 정책을 사용하거나 검사 및 우회 규칙을 추가하여 사용자 정의 정책을 만들 수 있습니다.

여러 항목 작업하기

소스 필드 또는 무엇 필드에 여러 항목이 있는 경우, 예를 들어 두 그룹 또는 카테고리가 있을 때 이러한 항목들은 OR 관계에 있습니다.

multi-tlsrules.png

사용자 장치에 Cato 루트 인증서 설치하기

Cato 루트 인증서는 Cato 클라우드에 연결하는 모든 기기와 컴퓨터에 신뢰된 인증서로 설치되어야 합니다. Cato 인증서 설치에 대한 자세한 내용은 Installing the Root Certificate for TLS Inspection을 참조하십시오.

  • Cato 인증서는 대부분의 임베디드 운영 체제(OS)에 설치할 수 없으므로, TLS 검사가 활성화되면 임베디드 OS를 사용하는 많은 기기가 연결성을 잃게 됩니다. Cato가 TLS 검사를 위해 어떤 운영 체제를 지원하는지에 대한 자세한 내용은 Best Practices for TLS Inspection을 참조하십시오.

TLS 검사를 위해 QUIC 및 GQUIC 트래픽 차단

QUIC 및 GQUIC는 Google이 개발한 전송 프로토콜로, TCP 연결에서 작동하지 않으며 이 프로토콜을 사용하는 트래픽은 TLS 검사 서비스에서 검사할 수 없습니다. 따라서 TLS 검사를 활성화한 계정은 인터넷 방화벽 규칙을 사용하여 QUIC 및 GQUIC 트래픽을 차단하는 것을 권장합니다. 이 트래픽을 차단하는 규칙은 TLS 검사 서비스에 의해 검사 가능한 프로토콜을 사용해 연결하도록 강제합니다. QUIC 및 GQUIC 프로토콜을 사용하는 트래픽을 허용하는 경우, 플로우를 검사할 수 없으며 불필요하게 차단됩니다.

TLS 검사 정책을 처음 활성화할 때, QUIC 및 GQUIC 트래픽을 차단하는 규칙이 인터넷 방화벽 정책에 자동으로 추가됩니다. 인터넷 방화벽 정책이 이미 QUIC 트래픽을 차단하여 올바르게 검사할 수 있도록 되어 있는 경우 새로운 규칙이 추가되지 않습니다.

QUIC 및 GQUIC 트래픽에 대한 자세한 내용은 Internet and WAN Firewall Policies – Best Practices를 참조하십시오.

기본 TLS 검사 정책 사용하기

기본 Cato TLS 검사 정책은 자동으로 우회되는 애플리케이션을 제외한 모든 트래픽을 검사합니다(). TLS 검사를 활성화하여 기본 정책을 사용할 수 있으며 정책에 규칙을 추가할 필요가 없습니다.

검사 작업과 모든 트래픽을 일치시키는 최종 묵시 규칙이 있습니다.

기본 Cato TLS 검사 정책을 사용하려면:

  1. 네비게이션 메뉴에서 보안 > TLS 검사를 클릭합니다.

  2. TLS 검사 사용 슬라이더를 클릭합니다.

  3. 저장을 클릭합니다. 기본 정책을 사용하여 TLS 검사가 활성화됩니다.

TLS 검사 정책 사용자 정의 규칙 추가

조직의 필요에 따라 특정 트래픽 유형만 검사하도록 TLS 검사 정책을 사용자 정의할 수 있습니다. 검사우회 작업을 사용하여 정책에 규칙을 추가하여 어떤 트래픽이 해독되고 검사되는지 정의합니다.

  • Cato Cloud가 의심스럽고 악의적인 콘텐츠를 검사하는 트래픽을 정의하기 위해 검사 작업을 사용하여 규칙을 생성합니다.

  • Cato TLS 검사 엔진에서 특정 트래픽을 제외하기 위해 우회 작업을 사용하여 규칙을 생성합니다. 예시로, RingCentral 애플리케이션에 대해 우회 규칙을 추가하여 TLS 검사를 RingCentral 트래픽에서 제외할 수 있습니다.

규칙을 생성할 때, 소스무엇을 사용하여 TLS 트래픽의 범위를 정의하고 작업을 사용하여 규칙이 트래픽을 검사하거나 우회하는지 설정합니다. 우회 규칙이 동일한 트래픽에 맞는 검사 규칙보다 우선 순위가 높도록(기준점에 가까운) 설정하세요. TLS 검사 우회 규칙과 일치하는 트래픽은 안티멀웨어 엔진에 의한 보안 스캔에서도 제외됩니다.

검사 작업으로 규칙을 구성할 때, 신뢰할 수 없는 서버 인증서를 다루는 방법에 대한 동작을 정의해야 합니다.

TLSi_신뢰할_수_없는_인증서_새로운.png

이 설정에 대한 옵션은 다음과 같습니다:

  • 허용 - 트래픽이 신뢰할 수 없는 인증서를 가진 사이트로 허용되고 검사됩니다 (기본 설정입니다).

  • 프롬프트 - 사용자에게 계속하길 원하는지 확인하도록 요청하는 프롬프트가 표시됩니다. 사용자가 사이트로 계속 이동하면 트래픽이 검사됩니다

  • 차단 - 신뢰할 수 없는 인증서를 가진 사이트로의 트래픽이 차단됩니다

참고

참고: TLS 검사를 방지하기 위해 인증서 고정을 사용하는 애플리케이션의 경우, 최종 사용자가 정상적으로 작동하도록 우회 규칙에 추가하십시오.

TLS 검사 정책에 규칙을 추가하려면:

  1. 내비게이션 메뉴에서 보안 > TLS 검사를 클릭합니다.

  2. 새로 만들기를 클릭하세요.

  3. 규칙 이름을 입력합니다.

  4. 사용됨 토글을 사용하여 규칙을 활성화하거나 비활성화하세요.

    활성화되면 토글은 녹색 toggle.png으로 표시됩니다.

  5. 이 규칙에 대한 규칙 순서를 설정하세요.

  6. 소스를 확장하고 소스 유형을 선택하세요.

    • 유형을 선택하세요(예: 호스트, 네트워크 인터페이스, IP, 모든). 기본값은 모든입니다.

    • 필요한 경우, 특정 객체를 해당 유형의 드롭다운 목록에서 선택하세요.

  7. 장치 섹션에서 이 규칙에 맞도록 필요한 플랫폼, 국가, 장치 상태 프로필연결 원점을 구성합니다.

    장치 조건에 대한 자세한 내용은 TLS 검사에 대한 장치 조건 추가를 참조하십시오.

  8. 규칙이 무엇에 적용되는지 정의합니다. 예시: 서비스, 애플리케이션, 사용자 정의 또는 사전 정의됨 카테고리.

  9. 검사 또는 우회를 선택하여 작업을 구성하다.

    • 검사를 선택하면 신뢰할 수 없는 서버 인증서 드롭다운 메뉴에서 문제가 있는 인증서를 가진 트래픽에 대한 작업: 허용, 차단 또는 프롬프트 중 하나를 선택하십시오. 기본값은 허용입니다.

  10. 적용을 클릭하십시오.

  11. 저장을 클릭하십시오. TLS 검사 규칙이 규칙베이스에 저장되었습니다.

TLS 검사 정책 관리

이 섹션에서는 규칙의 우선순위를 변경하고 규칙을 활성화 및 삭제하는 방법을 포함하여 TLS 검사 정책의 규칙을 관리하는 방법을 설명합니다.

규칙 우선 순위 변경

규칙의 우선순위를 변경하여 규칙 액션이 일치하는 연결에 적용되는 시점을 결정하십시오. 규칙은 각 연결에 순차적으로 적용되며, 연결이 규칙과 일치하면 우선순위가 낮은 규칙은 적용되지 않습니다.

 

규칙의 우선순위를 변경하려면:

  1. 특정 규칙의 # 열을 가리킵니다. move.png를 클릭하고 규칙을 위로 드래그하여 우선순위를 높이거나 아래로 드래그하여 우선순위를 낮춥니다.

  2. 저장을 클릭하십시오.

TLS 검사 규칙 활성화 및 비활성화

TLS 검사 정책의 개별 규칙을 슬라이더를 사용하여 활성화 및 비활성화할 수 있습니다.

 

규칙을 활성화하거나 비활성화하려면:

  1. 규칙 끝에서 More_icon.png를 클릭하십시오. 규칙의 드롭다운 메뉴가 나타납니다.

  2. 활성화 또는 비활성화를 클릭하십시오.

  3. 저장을 클릭하십시오.

기본 우회 규칙

Cato는 문제를 일으킬 수 있는 특정 앱, 운영 체제, 클라이언트를 우회하는 기본 TLS 검사 규칙을 관리합니다. 이 규칙은 규칙의 맨 위에 위치하며 편집할 수 없습니다. TLS 검사 정책을 계획하고 결정하는 데 도움이 되도록, 기본 우회 규칙 섹션에서 이러한 규칙의 설정을 볼 수 있습니다.

TLSi_Default_Bypass_Rules.png

관련 자원

도움이 되었습니까?

6명 중 6명이 도움이 되었다고 했습니다.

댓글 0개