Problema
Você pode observar eventos onde Inspeção TLSi parece ativada mesmo que:
- Inspeção TLS Global está desativada, ou
- O tráfego corresponde a uma regra de bypass TLS, ou
- O sistema operacional da fonte é um dos tipos de SO ignorados por padrão (por exemplo: Android, Linux, Sistema Operacional Desconhecido).
Esse comportamento é tipicamente identificado em Segurança / Eventos de Internet, onde os detalhes do evento mostram Inspeção TLS = 1 e, em alguns casos, uma página Bloquear, Prompt ou Portal Cativo relacionada ao TLS é apresentada.
Ambiente
Podem aplicar-se uma ou mais das seguintes condições:
- Inspeção TLS desativada globalmente ou ignorada pelo sistema operacional (por exemplo: Android, Linux, Sistema Operacional Desconhecido)
- Regras de firewall com ações de Bloquear ou Prompt
- Autenticação de Portal Cativo em uso
- Acesso Sem Cliente (Acesso ao Navegador)
- Tráfego classificado como alto risco ou proibido pelos controles de segurança do sistema
- Inspeção TLS - implementação de Parâmetros Globais para aplicações específicas
Nota: Inspeção TLS nos eventos pode refletir inspeção exigida pelo sistema para controle, implementação ou segurança, não necessariamente apenas inspeção configurada por política.
Entendendo o Comportamento
As configurações de Inspeção TLS definem inspeção baseada em política, mas certos fluxos de tráfego exigem inspeção em nível de sistema realizada pelo stack de segurança da Cato para funcionar corretamente. Nesses casos, a Inspeção TLS pode ocorrer mesmo quando está desativada ou ignorada ao nível da política do locatário.
De acordo com Acordo de Serviço Mestre (MSA) da Cato e requisitos globais de segurança e conformidade, o acesso a certos destinos maliciosos, perigosos ou proibidos é bloqueado por padrão. Para aplicar essas proteções básicas e cumprir obrigações regulatórias, a Cato pode interceptar e avaliar o tráfego usando seu stack de segurança. Como resultado, funções de Inspeção TLS podem ser relatadas como ativas em alguns eventos de bloqueio, mesmo quando a Inspeção TLS configurada pelo cliente está desativada.
Esse comportamento é esperado e por design. Isso não indica que a Inspeção TLS foi habilitada pela política do cliente ou que regras de bypass foram ignoradas. Em vez disso, reflete controles de segurança obrigatórios aplicados pelo sistema para classificar e bloquear com precisão o tráfego de alto risco enquanto mantém a segurança e conformidade da plataforma.
O comportamento acima será refletido no evento com a Inspeção TLS = 1
Cenários onde a Inspeção TLS é aplicada
Cenário 1: Tráfego de Portal Cativo é sempre inspecionado
Tráfego usado para detecção de Portal Cativo e autenticação é tratado por regras do sistema.
O PoP deve:
- Detectar requisitos de autenticação
- Injetar a página de Portal Cativo
- Gerenciar temporariamente o comportamento de acesso (por exemplo, tratamento Sempre Ativo)
Para suportar isso, o tráfego é sempre passado pelo motor de inspeção TLS, mesmo quando:
- O sistema operacional de origem é normalmente ignorado, ou
- Inspeção TLS do locatário está desativada ou ignorada
Esse comportamento é esperado e não indica que a política TLSi do locatário foi ignorada.
Cenário 2: Tráfego de Acesso Sem Cliente (Portal de Acesso ao Navegador) é sempre inspecionado
Tráfego para Acesso Sem Cliente (Portal de Acesso ao Navegador) origina-se da Internet pública e entra na Cato Cloud como tráfego de entrada não confiável.
Por motivos de segurança:
- Esse tráfego é sempre inspecionado por regras do sistema, incluindo Inspeção TLS
- A configuração de Inspeção TLS do locatário não se aplica a esses fluxos
Como resultado, Eventos relacionados ao Acesso ao Navegador podem mostrar Inspeção TLS = 1 mesmo quando:
- Inspeção TLS Global está desativada, ou
- O mesmo destino seria normalmente ignorado para tráfego de usuário via cliente SDP
Cenário 3: Regras de firewall com ações de Bloquear ou Prompt
Para tráfego HTTPS, regras de firewall configuradas com ações de Bloquear ou Prompt exigem Inspeção TLS para:
- Classificar com precisão o tráfego criptografado
- Injetar páginas de bloqueio ou prompt de volta ao usuário
Essa terminação TLS é realizada por regras do sistema, não pela política de Inspeção TLS do locatário.
Portanto, Eventos para fluxos que correspondem a regras de Bloquear ou Prompt podem mostrar Inspeção TLS = 1 mesmo quando:
- Inspeção TLS está globalmente desativada, ou
- Uma regra de bypass TLS aplica-se ao destino
Esse comportamento é necessário para aplicar corretamente ações de bloqueio/prompt para tráfego HTTPS.
(Veja também: Accessing an Untrusted Website Is Blocked Even Though TLS Inspection Is Disabled.)
Cenário 4: Políticas Globais de Inspeção TLS para aplicações específicas
Além das regras de Inspeção TLS definidas pelo locatário, a Cato aplica políticas globais de Inspeção TLS para certas aplicações, como Dropbox e WhatsApp.
Essas políticas são usadas para:
- Garantir segurança consistente e aplicação CASB
- Lidar com fixação de certificado e comportamento específico de aplicação
Como resultado, o tráfego para certas aplicações pode ser inspecionado mesmo quando:
- Inspeção TLS está desativada na política do locatário, ou
- O sistema operacional de origem seria normalmente ignorado
Em Eventos, isso aparece como Inspeção TLS = 1, mesmo que nenhuma regra TLSi definida pelo locatário seja visível.
Esse comportamento é esperado e dirigido pelas políticas globais de segurança da Cato.
Quando investigar mais a fundo
Se problemas de desempenho forem observados (por exemplo, tempos de carregamento de aplicação lentos) e ignorar o Cato proporcionar um melhor desempenho, dados adicionais podem ser necessários para suporte investigar, então por favor certifique-se de fornecer o seguinte:
- Qual é o impacto no desempenho? É tempo de carregamento de dados ou problemas com o próprio carregamento de conteúdo?
- Arquivo HAR do navegador do cliente
- Fornecer um SSS para suporte validar
0 comentário
Artigo fechado para comentários.