Configurando Política de Inspeção TLS para a Conta

Este artigo discute como configurar e personalizar a política de Inspeção TLS para atender aos requisitos específicos da sua rede.

Visão Geral da Política de Inspeção TLS da Cato

Hoje, a maioria do tráfego de rede é criptografado (TLS, HTTPS), o que frequentemente minimiza o benefício de escanear tráfego com IPS, Firewall de Internet, Política de Controle de Aplicativo e tráfego Anti-Malware. Se o tráfego contiver conteúdo malicioso, também está criptografado e os motores de segurança da Cato não podem inspecioná-lo ou escaneá-lo.

Ao ativar a Inspeção TLS para sua conta, a Cato descriptografa de forma segura o tráfego que passa por um PoP e os motores de segurança da Cato o inspecionam em busca de malware e escaneiam arquivos baixados. Se o conteúdo do tráfego for confirmado como seguro, a Cato então recriptografa o tráfego e o encaminha para o destino. No entanto, se o conteúdo contiver malware real ou suspeito, então os motores de segurança da Cato bloqueiam o tráfego.

Você pode optar por usar a política padrão da Cato que inspeciona todo o tráfego. Você também pode criar regras específicas de Inspeção TLS que definem qual tráfego é inspecionado e qual tráfego ignora a Inspeção TLS.

tlsinspection.png

Nota

Nota: Por padrão, a Inspeção TLS é ignorada para estes sistemas operacionais:

  • Android (devido a problemas relacionados ao pinning de certificados)
  • Linux
  • Sistemas operacionais desconhecidos

Regras de Ignorar Padrão para Aplicações da Cato

A Cato inclui várias aplicações em uma regra de bypass implícita que são automaticamente excluídas da Inspeção TLS. Para uma lista dessas aplicações, ver abaixo Regras de Bypass Padrão.

Latência para Inspeção TLS

Alguma latência mínima é esperada na conexão inicial devido aos handshakes TCP e TLS que ocorrem antes que os dados possam fluir para a rede ou motor de segurança apropriados no PoP. Essa latência é de até 10 milissegundos por pacote.

Trabalhando com uma Base de Regras de Inspeção TLS Encomendado

O motor de Inspeção TLS inspeciona as conexões sequencialmente e verifica se a conexão corresponde a uma regra. A regra final na base de regras é uma regra padrão implícita QUALQUER - QUALQUER Inspecionar - então, se uma conexão NÃO corresponder a uma regra, ela é automaticamente inspecionada.

Você pode revisar as configurações de regras padrão na seção Regras Padrão no final da base de regras. As configurações de regra não podem ser editadas, exceto a ação Certificado de Servidor Não Confiável. Para mais sobre a ação Certificado de Servidor Não Confiável, ver abaixo Adicionando Regras para Personalizar a Política de Inspeção TLS.

As regras que estão no topo da base de regras têm uma prioridade mais alta porque são aplicadas às conexões antes das regras mais abaixo na base de regras. Por exemplo, se uma conexão corresponder à regra #2, a ação para esta regra é aplicada à conexão e o motor de Inspeção TLS para de aplicar a política a esta conexão. Isso significa que as regras #3 e abaixo não são aplicadas à conexão.

Revisões de Política de Proteção de Endpoint e Edição Conjunta por Múltiplos Administradores

A Política de Inspeção TLS permite que diferentes administradores editem a política em paralelo. Cada administrador pode editar regras e salvar as alterações na base de regras em sua própria revisão privada, e então publicá-las na política de conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de políticas, veja Trabalhando com Revisões de Políticas.

Trabalhando com o Assistente de Configuração de Inspeção TLS

O Assistente de Configuração de Inspeção TLS revisa autonomamente sua política usando essas verificações e insights. Quando uma verificação falha, você pode revisar e atualizar sua política diretamente no Assistente sem editar regras individuais. Isso ajuda você a permanecer seguro enquanto simplifica o gerenciamento de políticas. Para mais informações, veja Usando o Assistente de Configuração.

Entendendo a Política de Inspeção TLS

Use a página Política de Inspeção TLS para configurar a política de inspeção TLS para todo o tráfego na sua conta.

Trabalhando com Múltiplos Itens

Quando houver vários itens em um campo de Fonte, ou um campo de O que, como dois grupos ou categorias, então há uma relação OU entre esses itens.

multi-tlsrules.png

Instalando o Certificado Raiz da Cato em Dispositivos de Usuário Final

O certificado raiz da Cato deve ser instalado como um certificado confiável em cada dispositivo e computador que conecta-se à Cato Cloud. Para mais informações sobre a instalação do certificado da Cato, consulte Instalando o Certificado Raiz para Inspeção TLS.

  • O certificado da Cato não pode ser instalado na maioria dos sistemas operacionais (SO) embutidos, portanto muitos dispositivos que usam SO embutido perdem conectividade quando a Inspeção TLS está habilitada. Para mais informações sobre quais SO Cato suporta para Inspeção TLS, consulte Melhores Práticas para Inspeção TLS.

Aplicação de Versões TLS e Suítes de Cifras

Por padrão, todas as versões TLS e conjuntos de criptografia são permitidos. Para bloquear versões TLS desatualizadas e inseguras ou impedir o uso de conjuntos de criptografia fracos no tráfego criptografado, a política de inspeção TLS pode impor as versões mínimas do protocolo TLS e a força do conjunto de criptografia para o tráfego na sua conta.

As opções de configuração de conjuntos de criptografia são divididas em três níveis, com base nas configurações recomendadas pela Mozilla. Algumas versões TLS não são compatíveis com certos níveis. Para mais informações e uma lista de conjuntos de cifras em cada nível, veja a documentação Mozilla.

Bloquear Tráfego QUIC e GQUIC para Inspeção TLS

QUIC e GQUIC são protocolos de transporte desenvolvidos pelo Google que não operam sobre conexões TCP, e o tráfego que utiliza esses protocolos não pode ser inspecionado pelo serviço de Inspeção TLS. Portanto, recomendamos que contas que habilitam a Inspeção TLS bloqueiem o tráfego de QUIC e GQUIC usando regras do Firewall de Internet. As regras que bloqueiam esse tráfego forçam o fluxo a se conectar apenas usando protocolos que podem ser inspecionados pelo serviço de Inspeção TLS. Se você permitir o tráfego usando os protocolos QUIC e GQUIC, os fluxos não podem ser inspecionados e são desnecessariamente bloqueados.

A primeira vez que você habilita a política de Inspeção TLS, regras para bloquear o tráfego de QUIC e GQUIC são automaticamente adicionadas à política do Firewall da Internet. Se a política do Firewall da Internet já bloqueia o tráfego QUIC para que ele possa ser corretamente inspecionado, então nenhuma nova regra é adicionada.

Para mais informações sobre o tráfego QUIC e GQUIC, veja Políticas de firewall da Internet e WAN – Melhores Práticas.

Configurando a Política de Inspeção TLS

Ao configurar a política de inspeção TLS, você pode habilitar a política de inspeção TLS padrão da Cato ou personalizar a política adicionando suas próprias regras.

Usando a Política de Inspeção TLS Padrão

A política de Inspeção TLS padrão da Cato inspeciona todo o tráfego (exceto para as aplicações que são automaticamente ignoradas). Você pode usar a política padrão habilitando a Inspeção TLS e não há necessidade de adicionar quaisquer regras à política.

Há uma regra final implícita que corresponde a todo o tráfego com a ação Inspecionar.

Para usar a política de Inspeção TLS padrão da Cato:

  1. No menu de navegação, clique em Segurança > Inspeção TLS.
  2. Clique no controle deslizante Habilitar Inspeção TLS.
  3. Clique em Salvar. A inspeção TLS é habilitada usando a política padrão.

Adicionando Regras para Personalizar a Política de Inspeção TLS

Você pode personalizar a política de Inspeção TLS para inspecionar apenas tipos de tráfego específicos de acordo com as necessidades de sua organização. Adicione regras à política com ações de Inspecionar e Ignorar para definir qual tráfego é descriptografado e inspecionado.

  • Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
  • Crie regras com a ação Ignorar para excluir tráfego específico dos mecanismos de inspeção TLS da Cato. Por exemplo, você pode adicionar uma regra de ignorar para a aplicação RingCentral para excluir o tráfego do RingCentral da Inspeção TLS.

Ao criar regras, use Origem e O que para definir o escopo do tráfego TLS e Ação para configurar se a regra inspeciona ou ignora o tráfego. Certifique-se de que a regra de ignorar tenha uma prioridade mais alta (mais próxima ao topo da base de regras) do que uma regra de inspeção que corresponda ao mesmo tráfego. O tráfego que corresponde a uma regra de ignorar da Inspeção TLS também é excluído das verificações de segurança pelos motores Anti-Malware.

Quando você configura uma regra com a ação Inspecionar, você também deve definir o comportamento de como a regra lida com certificados de servidor não confiáveis.

TLSi_Certificado_Não_Confiável_Novo.png

Estas são as opções para esta configuração:

  • Permitir - O tráfego é permitido para o site com um certificado não confiável e inspecionado (esta é a configuração padrão).
  • Prompt - Os usuários verão um prompt pedindo-lhes que confirmem se desejam continuar e acessar o site com um certificado não confiável. Se o usuário continuar para o site, o tráfego será inspecionado
  • Bloquear - O tráfego para o site com um certificado não confiável é bloqueado

Nota

Nota: Para aplicações que usam fixação de certificado para impedir a inspeção TLS, adicione-as a uma regra de ignorar para que funcionem corretamente para os usuários finais.

Para adicionar regras à política de inspeção TLS:

  1. No menu de navegação, clique em Segurança > Inspeção TLS.
  2. Clique em Novo.
  3. Digite um Nome para a regra.

  4. Use o controle de alternância Habilitado para habilitar ou desabilitar a regra.

    O toggle está verde toggle.png quando ativado.

  5. Configure a Ordem da Regra para esta regra.

  6. Expanda Origem e selecione o tipo de fonte.

    • Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Qualquer). O valor padrão é Qualquer.
    • Quando necessário, selecione um objeto específico da lista suspensa para esse tipo.

  7. Na seção Critérios, configure as Plataformas, Países, Perfis de Postura de Dispositivo e a Origem da Conexão necessárias para corresponder a esta regra.

    Para mais informações sobre Condições de Dispositivo, veja Adicionando Condições de Dispositivo para Inspeção TLS.

  8. Defina o Destino ao qual a regra se aplica. Por exemplo, um serviço, uma aplicação, uma categoria personalizada ou predefinida.

  9. Escolha a Versão TLS e Conjuntos de Criptografia mínimos.

    Nota: Algumas versões TLS são incompatíveis com níveis de conjuntos de criptografia. Para mais informações, veja Aplicando Versões TLS e Conjuntos de Cifras

  10. Configure a Ação selecionando Inspecionar ou Ignorar.

    • Se selecionar Inspecionar, no menu suspenso Certificados de Servidor Não Confiáveis, selecione a ação para o tráfego com certificados problemáticos: Permitir, Bloquear, ou Prompt. O valor padrão é Permitir.
  11. Clique em Aplicar.
  12. Clique em Salvar. A regra de Inspeção TLS é salva na base de regras.

Regras de Bypass Padrão

Cato gerencia regras padrão de Inspeção TLS que ignoram aplicativos específicos, sistemas operacionais e clientes que podem causar problemas. Essas regras estão posicionadas no topo da base de regras e não podem ser editadas. Para ajudar você a planejar e tomar decisões para a política de Inspeção TLS, você pode visualizar as configurações para essas regras na seção Regras de Bypass Padrão.

Quando há vários itens no campo O que, como uma Aplicação e FQDN, há uma relação AND entre esses itens.

Regras_Padrão_Bypass_TLSi.png

Related Resources

Esse artigo foi útil?

Usuários que acharam isso útil: 6 de 8

0 comentário