Настройка политики проверки TLS для аккаунта

Эта статья описывает, как настроить и кастомизировать политику проверки TLS для соответствия особым требованиям вашей сети.

Обзор политики инспекции TLS Cato

Сегодня большая часть сетевого трафика зашифрована (TLS, HTTPS), что часто уменьшает пользу от сканирования трафика с помощью IPS, интернет-брандмауэра, политики управления приложениями и Antimalware-трафика. Если в трафике содержится вредоносное содержимое, оно также зашифровано, и системы безопасности Cato не могут его проверить или просканировать.

Когда вы включаете проверку TLS для своего аккаунта, Cato безопасно расшифровывает трафик, который проходит через PoP, и системы безопасности Cato проверяют его на наличие вредоносных программ и сканируют загружаемые файлы. Если содержимое трафика подтверждено как безопасное, Cato затем перешифровывает трафик и отправляет его в пункт назначения. Однако, если содержимое содержит реальные или предполагаемые вредоносные программы, то системы безопасности Cato блокируют трафик.

Вы можете выбрать использование политики Cato по умолчанию, которая проверяет весь трафик. Вы также можете создать специфические правила проверки TLS, которые определяют, какой трафик будет проверяться, а какой будет обходить проверку TLS.

tlsinspection.png

Примечание

Примечание: По умолчанию, проверка TLS обходится для этих операционных систем:

  • Android (из-за проблем, связанных с закреплением сертификатов)

  • Linux

  • Неизвестные операционные системы

Типовые правила обхода Cato для приложений

Cato включает в себя несколько приложений в неявное правило обхода, которое автоматически исключает их из проверки TLS. Для получения списка этих приложений см. ниже Типовые правила обхода.

Задержка при инспекции TLS

Ожидается минимальная задержка при первоначальном подключении из-за инициативных действий TCP и TLS, которые происходят до того, как данные могут попасть в соответствующий сетевой или охранный двигатель в PoP. Эта задержка составляет до 8 миллисекунд на пакет.

Работа с упорядоченной базой правил инспекции TLS

Двигатель проверки TLS проверяет подключения последовательно и проверяет, соответствует ли подключение правилу. Финальное правило в базе правил — это правило по умолчанию ANY - ANY Inspect, так что если подключение не соответствует какому-либо правилу, то оно автоматически проверяется.

Вы можете просмотреть настройки правил по умолчанию в разделе Правила по умолчанию в конце базы правил. Настройки правил не могут быть изменены, за исключением действия с недоверенным серверным сертификатом. Подробнее о действии с недоверенным сертификатом сервера см. ниже Добавление правил для настройки политики инспекции TLS.

Правила, находящиеся в начале базы правил, имеют более высокий приоритет, так как они применяются к соединениям раньше, чем правила, находящиеся ниже в базе правил. Например, если подключение соответствует правилу № 2, то действие для этого правила применяется к подключению, и двигатель проверки TLS прекращает применение политики к этому подключению. Это означает, что правила № 3 и ниже не применяются к этому подключению.

Понимание действий для правил инспекции TLS

Правила проверки TLS позволяют использовать действие 'проверить' или 'обойти' для TLS-трафика.

Использование правил, которые инспектируют трафик TLS

Используйте действие 'Проверить', чтобы определить правила проверки TLS, которые расшифровывают подключения и позволяют соответствующим средствам безопасности проверить трафик на наличие вредоносного содержимого.

Использование правил, которые обходят трафик TLS

Используйте действие 'Обойти', чтобы определить трафик, который обходит правила проверки TLS. Обходящий трафик не расшифровывается для проверки системами безопасности Cato. Помните, что правило обхода исключает только такое подключение, которое не соответствует более высокому правилу проверки в базе правил.

Вы можете изменить приоритет правила обхода так, чтобы оно имело более высокий приоритет, чем правило инспекции.

Настройка политики инспекции TLS

Используйте окно Политики инспекции TLS для настройки политики инспекции TLS для всего трафика в вашем аккаунте. Вы можете выбрать использование политики по умолчанию, которая инспектирует весь трафик, или добавить правила инспекции и обхода для создания пользовательской политики.

Работа с несколькими элементами

Когда в поле Источник или Что имеется несколько элементов, например, две группы или категории, между этими элементами существует отношение ИЛИ.

multi-tlsrules.png

Установка корневого сертификата Cato на устройства конечных пользователей

Корневой сертификат Cato должен быть установлен как доверенный сертификат на каждое устройство и компьютер, подключаемые к Cato Cloud. Для получения дополнительной информации об установке сертификата Cato см. Установка корневого сертификата для инспекции TLS.

  • Сертификат Cato не может быть установлен на большинстве встроенных операционных систем (OS), поэтому многие устройства, использующие встроенные ОС, теряют подключение при включении инспекции TLS. Для получения дополнительной информации о поддерживаемых Cato ОС для инспекции TLS см. Лучшие практики для инспекции TLS.

Блокировка трафика QUIC и GQUIC для инспекции TLS

QUIC и GQUIC — это транспортные протоколы, разработанные Google, которые не работают через TCP-соединения, и трафик, использующий эти протоколы, не может быть проверен службой инспекции TLS. Поэтому мы рекомендуем аккаунтам, включающим инспекцию TLS, блокировать трафик QUIC и GQUIC с помощью правил Интернет-файрволла. Правила, блокирующие этот трафик, заставляют поток подключаться только с использованием протоколов, которые могут быть проинспектированы службой инспекции TLS. Если вы разрешаете трафик, использующий протоколы QUIC и GQUIC, потоки не могут быть проверены и блокируются без необходимости.

При первом включении политики инспекции TLS правила для блокировки трафика QUIC и GQUIC автоматически добавляются в политику Интернет-файрволла. Если политика Интернет-файрволла уже блокирует трафик QUIC, чтобы его можно было корректно проверить, то новые правила не добавляются.

Для получения дополнительной информации о трафике QUIC и GQUIC см. Интернет- и WAN-файрвол политики – Лучшие практики.

Использование типовой политики инспекции TLS

Политика инспекции TLS по умолчанию Cato инспектирует весь трафик (кроме приложений, автоматически обходимых). Вы можете использовать политику по умолчанию, включив инспекцию TLS, и нет необходимости добавлять какие-либо правила в политику.

Существует последнее неявное правило, соответствующее всему трафику с действием Инспектировать.

Чтобы использовать политику инспекции TLS по умолчанию от Cato:

  1. В меню навигации нажмите Безопасность > Инспекция TLS.

  2. Нажмите ползунок Включить инспекцию TLS.

  3. Нажмите Сохранить. Инспекция TLS включена с использованием политики по умолчанию.

Добавление правил для настройки политики инспекции TLS

Вы можете настроить политику инспекции TLS для инспекции только определённых типов трафика в соответствии с потребностями вашей организации. Добавьте правила в политику с действиями Инспектировать и Обход для определения, какой трафик будет расшифрован и проинспектирован.

  • Создайте правила с действием Инспектировать для определения трафика, который Cato Cloud инспектирует на наличие подозрительного и вредоносного контента.

  • Создайте правила с действием Обход для исключения определённого трафика из двигателей инспекции TLS Cato. Например, вы можете добавить правило обхода для приложения RingCentral, чтобы исключить трафик RingCentral из инспекции TLS.

При создании правил используйте Source и What для определения области трафика TLS, а также Action для настройки проверки или обхода трафика. Убедитесь, что правило обхода имеет более высокий приоритет (ближе к началу базы правил), чем правило проверки, соответствующее тому же трафику. Трафик, который соответствует правилу обхода проверки TLS Inspection, также исключается из проверки безопасности двигателями Anti-Malware.

Когда вы настраиваете правило с действием Inspect, также необходимо определить, как правило обрабатывает недоверенные серверные сертификаты.

TLSi_Untrusted_Cert_New.png

Это параметры для этой настройки:

  • Allow - Трафик разрешен на сайт с недоверенным сертификатом и проверяется (это настройка по умолчанию).

  • Prompt - Пользователям отображается запрос, предлагающий подтвердить, что они хотят продолжить и перейти на сайт с недоверенным сертификатом. Если пользователь продолжает переходить на сайт, трафик проверяется

  • Блокировка - Трафик на сайт с недоверенным сертификатом блокируется

Примечание

Note: Для приложений, использующих закрепление сертификатов для предотвращения проверки TLS, добавьте их в правило обхода, чтобы они правильно функционировали для конечных пользователей.

Для добавления правил в политику проверки TLS:

  1. В меню навигации нажмите Security > TLS Inspection.

  2. Нажмите New.

  3. Введите Name для правила.

  4. Используйте переключатель Enabled, чтобы включить или отключить правило.

    Тумблер зеленый toggle.png, когда включен.

  5. Настройте Rule Order для этого правила.

  6. Разверните Source и выберите тип источника.

    • Выберите тип (например: Host, Network Interface, IP, Any). Значение по умолчанию — Any.

    • При необходимости выберите конкретный объект из выпадающего списка для этого типа.

  7. В разделе Device настройте Platforms, Countries, Device Posture Profiles и Connection Origin, которые необходимы для соответствия этому правилу.

    Для получения дополнительной информации об условиях устройства см. Добавление условий устройства для инспекции TLS.

  8. Определите What, к чему применяется правило. Например, сервис, приложение, пользовательская или заранее определенная категория.

  9. Настройте Action, выбрав Inspect или Bypass.

    • Если вы выберете Inspect, из выпадающего меню Untrusted Server Certificates выберите действие для трафика с проблемными сертификатами: Allow, Block или Prompt. Значение по умолчанию — Allow.

  10. Нажмите Apply.

  11. Нажмите Save. Правило проверки TLS сохранено в базе правил.

Управление политикой инспекции TLS

В этом разделе объясняется, как управлять правилами в политике проверки TLS, включая: изменение приоритета правил, их активацию и удаление.

Изменение приоритета правил

Измените приоритет правила, чтобы определить, когда действие правила будет применено к совпадающему соединению. Правила применяются последовательно к каждому соединению, если соединение соответствует правилу, правила с более низким приоритетом не применяются.

Включение и отключение правил инспекции TLS

Используйте ползунок, чтобы включить или отключить отдельные правила в политике инспекции TLS.

Удаление правил

Вы можете удалить одно или несколько правил из базы правил инспекции TLS. После удаления правил вы не сможете их отменить или восстановить.

Типовые правила обхода

Cato управляет правилами инспекции TLS по умолчанию, которые обходят специфические приложения, операционные системы и клиенты, которые могут вызывать проблемы. Эти правила расположены в верхней части базы правил и не могут быть изменены. Чтобы помочь вам планировать и принимать решения для политики инспекции TLS, вы можете просмотреть настройки этих правил в разделе Правила обхода по умолчанию.

TLSi_Default_Bypass_Rules.png

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 6 из 8

0 комментариев