Большая часть интернет-трафика зашифрована через HTTPS, однако вредоносные программы используют HTTPS как способ избежать обнаружения. Такого рода угрозы могут нанести ущерб данным вашей организации.
Cato Networks предоставляет инспекцию транспортного уровня безопасности (TLS) для трафика WAN и Интернет HTTPS. Cato поддерживает версии TLS 1.1, 1.2 и 1.3. Когда инспекция TLS активирована, точки присутствия Cato расшифровывают HTTPS-трафик и проверяют его на наличие вредоносного контента. Мы рекомендуем использовать инспекцию TLS для услуг Cato по защите от угроз, таких как система предотвращения вторжений (IPS), защита от вредоносных программ и управляемое обнаружение и реагирование на угрозы (MDR).
В этой статье объясняется, как инспекция TLS защищает от такого рода угроз и описываются лучшие практики защиты от угроз и трафика TLS.
Примечание
Примечание: Из-за проблем, связанных с пиннингом сертификатов, инспекция TLS не поддерживается для устройств Android.
Используйте Приложение Управления Cato, чтобы включить инспекцию TLS для всей учетной записи. В рамках реализации инспекции TLS необходимо установить сертификат Cato как корневой сертификат на конечные устройства и хосты. Используйте политику инспекции TLS, чтобы определить правила для инспекции или обхода трафика от инспекции TLS. Когда инспекция TLS включена для вашей учетной записи, политика «из коробки» заключается в инспекции всего HTTPS-трафика по умолчанию.
Когда клиент (например, веб-браузер) подключается к серверу, Pop отправляет сертификат Cato в браузер в рамках переговоров TLS. Чтобы Клиент мог убедиться, что этот сертификат подписан доверенным центром сертификации, необходимо установить сертификат Cato на всех Клиентах и Устройствах. Сертификат доступен для скачивания из Приложения Управления Cato или с портала загрузки клиента. После этого Pop может расшифровать HTTPS-трафик и инспектировать его для обнаружения любых угроз безопасности.
Установка сертификата Cato также позволяет использовать страницу блокировки Cato для веб-сайтов HTTPS. Если трафик TLS блокируется правилами URL-фильтрации или межсетевым экраном Интернета, сертификат Cato разрешает доступ к странице блокировки Cato. Инспекция TLS не требуется для блокировки доступа к веб-сайтам HTTPS, но если сертификат Cato не установлен на компьютере пользователя, вместо страницы блокировки Cato выводится предупреждение о сертификате. Поэтому мы рекомендуем установить сертификат Cato на клиентские устройства. Для дополнительной информации о сертификате и страницах блокировки, смотрите Предупреждения о сертификатах с заблокированными HTTPS-сайтами.
Вы можете исключить определенные объекты из инспекции TLS, используя унифицированное окно инспекции TLS. Это может включать услуги или пункты назначения, которые считаются легитимными или доверенными. Для получения дополнительной информации об исключении трафика из инспекции TLS смотрите Настройка политики инспекции TLS для учетной записи.
Примечания:
-
Инспекция TLS обходится для Android, Linux и неидентифицированных операционных систем. Журналы событий для этих операционных систем включают Тип ОС как:
-
OS_ANDROID
-
OS_LINUX
-
OS_UNKNOWN
-
-
Включение инспекции TLS активирует функцию ускорения TCP для всего TLS-трафика. Когда активирована TCP-ускорение, точки присутствия действуют как прокси-серверы для инспекции трафика на вредоносные файлы и угрозы. Для получения более подробной информации о моде proxy TCP см. Объяснение Cato TCP Acceleration и лучшие практики.
Cato Networks настоятельно рекомендует включить инспекцию TLS для вашей учетной записи. Если вы хотите полную защиту расширенных сервиса и системы обнаружения Cato, важно знать, что некоторые из их возможностей могут инспектировать только незашифрованные данные. Например, если вы не используете инспекцию TLS, это снижает эффективность таких сервисов безопасности, как MDR, который использует автоматизированную систему поиска угроз.
Другой пример - это служба IPS, использующая сигнатурное обнаружение. Когда инспекция TLS активирована, IPS может применять глубокую инспекцию пакетов и расширять возможности по диапазону сигнатур безопасности. Таким образом, это обеспечивает лучшую защиту вашей сети.
Некоторые сайты и приложения используют закрепление сертификатов по соображениям безопасности. Закрепление сертификатов заставляет клиента использовать определенный сертификат, чтобы предотвратить атаки типа «человек посередине». Эти приложения не работают, когда инспекция TLS активирована. Поэтому вы должны добавить их как правило обхода в окне политики инспекции TLS.
Для получения дополнительной информации о настройке инспекции TLS, смотрите Настройка политики инспекции TLS для аккаунта.
0 комментариев
Войдите в службу, чтобы оставить комментарий.