Проблема
Вы можете наблюдать события, где TLSi кажется включенным, даже если:
- Глобальная инспекция TLS отключена, или
- Трафик соответствует правилу обхода TLS, или
- Исходная ОС - один из типов ОС, обходимых по умолчанию (например: Android, Linux, Неизвестная ОС).
Такое поведение обычно идентифицируется в Безопасность / Интернет события, где детали события показывают инспекция TLS = 1 и в некоторых случаях отображается страница Блокировка, Запрос, или Портал авторизации.
Окружение
Одно или более из следующих условий может применяться:
- Инспекция TLS отключена глобально или обходится по ОС (например: Android, Linux, Неизвестная ОС)
- Правила файервола с действиями Блокировка или Запрос
- Аутентификация через портал авторизации используется
- Доступ без клиента (Доступ через браузер)
- Трафик классифицируется как высокий риск или запрещен системными мерами безопасности
- Инспекция TLS - принудительное соблюдение глобальных параметров для конкретных приложений
Примечание: Инспекция TLS в событиях может отражать инспекцию, вызванную системой для управления, обеспечения или безопасности, а не только настроенную политику инспекции.
Понимание поведения
Настройки инспекции TLS определяют инспекцию на основе политики, но для правильного функционирования определенные потоки трафика требуют исполнения системной инспекции, выполненной защитным стеком Cato. В таких случаях инспекция TLS может происходить, даже если она отключена или обойдена на уровне политики арендатора.
Согласно основному соглашению об обслуживании (MSA) Cato и глобальным требованиям по безопасности и соответствию, доступ к некоторым вредоносным, опасным или запрещенным направлениям заблокирован по умолчанию. Чтобы обеспечить эти базовые меры защиты и выполнить регулирующие обязательства, Cato может перехватывать и оценивать трафик с помощью своего защитного стека. В результате функции инспекции TLS могут отображаться как активные на некоторых блокированных событиях, даже когда настроенная клиентом инспекция TLS отключена.
Это поведение ожидается и запланировано. Это не означает, что инспекция TLS была включена политикой клиента или что правила обхода были проигнорированы. Вместо этого оно отражает обязательные системные меры безопасности, необходимые для правильной классификации и блокировки высокорискового трафика при поддержании безопасности и соответствия платформы.
Указанное поведение будет отражено в событии с инспекция TLS = 1
Сценарии, когда инспекция TLS исполняется
Сценарий 1: Трафик, связанный с порталом авторизации, всегда инспектируется
Трафик, используемый для обнаружения и аутентификации на портале авторизации, обрабатывается системными правилами.
PoP должен:
- Определить требования к аутентификации
- Инъецировать страницу портала авторизации
- Временно управлять поведением доступа (например, обработка режима "Всегда включено")
Для поддержки этого трафик всегда проходит через движок инспекции TLS, даже если:
- Исходная ОС обычно обходится, или
- Инспекция TLS арендатора отключена или обходится
Это поведение ожидается и не указывает на то, что политика TLSi арендатора была проигнорирована.
Сценарий 2: Трафик доступа без клиента (Портал доступа через браузер) всегда инспектируется
Трафик для Доступ без клиента (Портал доступа через браузер) исходит из публичного интернета и входит в облако Cato как недоверенный входящий трафик.
По причинам безопасности:
- Этот трафик всегда инспектируется системными правилами, включая инспекцию TLS
- Конфигурация инспекции TLS арендатора не применяется к этим потокам
В результате события, связанные с доступом через браузер, могут показывать инспекция TLS = 1, даже если:
- Глобальная инспекция TLS отключена, или
- То же назначение обычно обходилось бы для пользовательского трафика через клиент SDP
Сценарий 3: Правила файервола с действиями Блокировка или Запрос
Для HTTPS-трафика правила файервола, настроенные с действиями Блокировка или Запрос, требуют инспекции TLS для:
- Точно классифицировать зашифрованный трафик
- Инъецировать страницы блокировки или запроса обратно пользователю
Эта терминология TLS осуществляется системными правилами, а не политикой инспекции TLS арендатора.
Следовательно, события для потоков, соответствующих правилам Блокировка или Запрос, могут показывать инспекция TLS = 1, даже если:
- Инспекция TLS глобально отключена, или
- Правило обхода TLS применяется к назначению
Это поведение необходимо для правильного исполнения действий блокировки/запроса для HTTPS трафика.
(Смотрите также: Доступ к Недоверенным Веб-сайтам Заблокирован даже если Инспекция TLS Отключена.)
Сценарий 4: Глобальные политики инспекции TLS для конкретных приложений
Вдобавок к определенным арендатором правилам инспекции TLS, Cato применяет глобальные политики инспекции TLS для некоторых приложений, таких как Dropbox и WhatsApp.
Эти политики используются для:
- Обеспечения последовательной безопасности и исполнения CASB
- Обработка привязки сертификатов и поведений, специфичных для приложений
В результате, трафик к определенным приложениям может быть инспектирован, даже если:
- Инспекция TLS отключена в политике арендатора, или
- Исходная ОС обычно обходится
В событиях это отображается как инспекция TLS = 1, даже если никакое соответствующее определенное арендатором правило TLSi не видно.
Такое поведение ожидается и управляется глобальными политиками безопасности Cato.
Когда следует исследовать далее
Если наблюдаются проблемы с производительностью (например, медленное время загрузки приложений) и обход Cato обеспечивает лучшую производительность, может потребоваться дополнительная информация для поддержки, поэтому, пожалуйста, убедитесь, что предоставили следующее:
- Каково воздействие на производительность? Это время загрузки данных или проблемы с загрузкой содержимого?
- HAR-файл из браузера клиента
- Предоставьте SSS для поддержки проверки
0 комментариев
Статья закрыта для комментариев.