Настройка политики инспекции TLS для учетной записи

В этой статье обсуждается, как настроить и кастомизировать политику инспекции TLS, чтобы удовлетворить специфические требования вашей сети.

Обзор инспекция TLS политики Cato

Сегодня большая часть сетевого трафика зашифрована (TLS, HTTPS), что часто снижает пользу от сканирования трафика с IPS, межсетевым экраном Интернета, Политика контроля приложений и антивирусного трафика. Если трафик содержит вредоносное содержимое, оно также зашифровано, и движки безопасности Cato не могут его инспектировать или сканировать.

Когда вы включаете инспекцию TLS для вашей учетной записи, Cato надежно расшифровывает трафик, проходящий через PoP, и движки безопасности Cato инспектируют его на наличие вредоносных программ и сканируют загруженные файлы. Если содержимое трафика подтверждается как безопасное, Cato снова шифрует трафик и пересылает его на назначение. Однако, если содержимое содержит фактическое или предполагаемое вредоносное ПО, то движки безопасности Cato блокируют трафик.

Вы можете выбрать использование политики Cato по умолчанию, которая инспектирует весь трафик. Вы также можете создать специфические правила инспекции TLS, которые определяют, какой трафик инспектируется и какой трафик обходит инспекцию TLS.

tlsinspection.png

Примечание

Примечание: По умолчанию инспекция TLS обходится для этих операционных систем:

  • Android (из-за проблем, связанных с закреплением сертификатов)
  • Linux
  • Неизвестные операционные системы

Правила обхода по умолчанию для приложений Cato

Cato включает несколько приложений в неявное правило обхода, которые автоматически исключаются из инспекции TLS. Для списка этих приложений, см. ниже Правила обхода по умолчанию.

Задержка для инспекция TLS

Некоторая минимальная задержка ожидается при первоначальном соединении из-за TCP и TLS рукопожатий, которые происходят перед тем, как данные могут направляться в подходящие сети или движки безопасности в PoP. Эта задержка составляет до 10 миллисекунд на пакет.

Работа с заказано инспекция TLS правило база

Движок инспекции TLS инспектирует соединения последовательно и проверяет, соответствует ли соединение правилу. Последнее правило в базе правил - это неявное правило по умолчанию "ANY - ANY Inspect", так что если соединение не соответствует правилу, то оно автоматически инспектируется.

Вы можете просмотреть настройки правила по умолчанию в разделе Default Rules в конце базы правил. Настройки правил нельзя изменять, кроме действия сертификата недоверенных серверов. Для получения дополнительной информации о действии сертификата недоверенных серверов, см. ниже Добавление правил для настройки политики инспекции TLS.

Правила, которые находятся в начале базы правил, имеют более высокий приоритет, так как они применяются к соединениям перед правилами, ниже расположенными в базе. Например, если соединение соответствует правиле №2, действие для этого правила применяется к соединению, и движок инспекции TLS прекращает применение политики к этому соединению. Это означает, что правила №3 и ниже не применяются к данному соединению.

Изменения в политике и одновременное редактирование несколькими администраторами

Политика инспекции TLS позволяет различным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в базе правил в своём личном варианте редакции, а затем публиковать их в политике аккаунта (опубликованная редакция). Для получения дополнительной информации о том, как управлять ревизиями политики, см. Работа с ревизиями политики.

Работа с мастером настроек инспекции TLS

Мастер настройки инспекции TLS автономно проверяет вашу политику, используя эти проверки и аналитики. Когда проверка не проходит, вы можете просмотреть и обновить вашу политику непосредственно в мастере, без редактирования отдельных правил. Это помогает вам оставаться в безопасности, упрощая управление политикой. Для получения дополнительной информации, см. Использование мастера настроек.

Понимание политики инспекции TLS

Используйте страницу Политики инспекции TLS, чтобы настроить политику инспекции TLS для всего трафика в вашей учетной записи.

Работа с множественными объектами

Когда в поле Источник или поле Что находится несколько объектов, таких как две группы или категории, между этими объектами существует связь ИЛИ.

multi-tlsrules.png

Установка корневого сертификата Cato на устройства конечных пользователей

Корневой сертификат Cato должен быть установлен как доверенный сертификат на каждом устройстве и компьютере, который подключается к облаку Cato. Для получения дополнительной информации об установке сертификата Cato смотрите Установка корневого сертификата для инспекции TLS.

  • Сертификат Cato не может быть установлен на большинстве встраиваемых операционных систем (ОС), поэтому многие устройства, использующие встраиваемую ОС, теряют подключение, когда включена инспекция TLS. Для получения дополнительной информации о поддерживаемых ОС для инспекции TLS смотрите Лучшие практики для инспекции TLS.

Принудительное использование версий и наборов шифрования TLS

По умолчанию разрешены все версии TLS и наборы шифров. Для блокировки устаревших и небезопасных версий TLS или предотвращения использования слабых наборов шифров в зашифрованном трафике политика инспекции TLS может принудительно задать минимальные версии протокола TLS и уровень надежности набора шифров для трафика в вашей учетной записи.

Настройки конфигурации набора шифров делятся на три уровня, основанных на рекомендованных настройках Mozilla. Некоторые версии TLS несовместимы с определенными уровнями. Для получения дополнительной информации и списка наборов шифров на каждом уровне, смотрите документацию Mozilla.

Блокировка трафика QUIC и GQUIC для инспектирования TLS

QUIC и GQUIC — это транспортные протоколы, разработанные Google, которые не работают поверх TCP-соединений, а трафик с использованием этих протоколов не может быть инспектирован службой инспекции TLS. Поэтому мы рекомендуем учетным записям, которые включают инспекцию TLS, блокировать трафик QUIC и GQUIC с использованием правил межсетевого экрана Интернета. Правила, блокирующие этот трафик, принудительно устанавливают подключение только с использованием протоколов, которые могут быть инспектированы службой инспекции TLS. Если вы разрешите трафик с использованием протоколов QUIC и GQUIC, потоки не могут быть инспектированы и бесполезно блокируются.

При первом включении политики инспекции TLS правила для блокировки трафика QUIC и GQUIC автоматически добавляются в политику межсетевого экрана Интернета. Если политика межсетевого экрана Интернета уже блокирует трафик QUIC для его правильной инспекции, новые правила не добавляются.

Для получения дополнительной информации о трафике QUIC и GQUIC смотрите Рекомендации по политике межсетевого экрана Интернета и WAN.

Настройка политики инспекции TLS

Когда вы настраиваете политику инспекции TLS, вы можете включить политику инспекции TLS Cato по умолчанию или настроить политику, добавив свои собственные правила.

Использование политики инспекции TLS по умолчанию

Политика инспекции TLS Cato по умолчанию инспектирует весь трафик (кроме автоматического обхода приложений). Вы можете использовать политику по умолчанию, включив инспекцию TLS, и нет необходимости добавлять какие-либо правила в политику.

Существует окончательное неявное правило, которое соответствует всем потокам с действием Инспектировать.

Чтобы использовать политику инспекции TLS Cato по умолчанию:

  1. В меню навигации нажмите Безопасность > Инспекция TLS.
  2. Нажмите на ползунок Включить инспекцию TLS.
  3. Нажмите Сохранить. Инспекция TLS включена с использованием политики по умолчанию.

Добавление правил для настройки политики инспекции TLS

Вы можете настроить политику инспекции TLS для инспекции только определённых типов трафика в соответствии с потребностями вашей организации. Добавьте правила в политику с действиями Инспектировать и Обход для определения, какой трафик расшифровывается и инспектируется.

  • Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
  • Создайте правила с действием Обход, чтобы исключить определённый трафик из движков инспекции TLS Cato. Например, вы можете добавить правило обхода для приложения RingCentral, чтобы исключить трафик RingCentral из инспекции TLS.

При создании правил используйте Источник и Что, чтобы определить масштаб трафика TLS, и Действие, чтобы настроить, инспектирует ли правило трафик или обходит его. Убедитесь, что правило обхода имеет более высокий приоритет (ближе к вершине базы правил), чем правило инспекции, которое соответствует тому же трафику. Трафик, соответствующий правилу обхода инспекции TLS, также исключён из проверок безопасности движками защиты от вредоносных программ.

Когда вы настраиваете правило с действием Инспектировать, вы также должны определить поведение обработки недоверенных сертификатов сервера.

TLSi_Nedoverennyy_Sertifikat_Novyy.png

Вот варианты настройки:

  • Разрешить — трафик разрешен на сайт с недоверенным сертификатом и инспектируется (это настройка по умолчанию).
  • Запрос - пользователям показывается запрос, подтверждающий желание продолжить и перейти на сайт с недоверенным сертификатом. Если Пользователь продолжает к сайта, Трафик инспектируется
  • Блокировать - Трафик к сайта с недоверенным сертификатом блокируется

Примечание

Примечание: Для приложений, использующих пиннинг сертификатов для предотвращения инспекции TLS, добавьте их в правило обхода, чтобы они корректно функционировали для конечных пользователей.

Чтобы добавить правила в Политику Инспекции TLS:

  1. В меню навигации кликните Безопасность > Инспекция TLS.
  2. Кликните Новый.
  3. Введите Имя для правила.

  4. Используйте переключатель Включен для включения или отключения правила.

    Переключатель зеленый toggle.png когда включен.

  5. Настройте Порядок правил для этого правила.

  6. Разверните Источник и выберите тип источника.

    • Выберите тип (например: Хост, Сетевой интерфейс, IP, Любое). Значение по умолчанию — Любое.
    • При необходимости выберите конкретный объект из выпадающего списка для этого типа.

  7. В разделе Критерии настройте Платформы, Страны, Профили положения устройств и Источник соединения, необходимые для совпадения с этим правилом.

    Для получения дополнительной информации об Условиях устройства, см. Добавление условий устройства для инспекции TLS.

  8. Определите Назначение, к которому применяется правило. Например, сервис, приложение, пользовательская или предопределенная категория.

  9. Выберите минимальную версию TLS и наборы шифров.

    Примечание: Некоторые версии TLS несовместимы с уровнями наборов шифров. Для получения дополнительной информации, см. Принуждение версий TLS и наборов шифров

  10. Настройте Действие выбрав Инспектировать или Обход.

    • Если выбрано Инспектировать, из выпадающего меню Недоверенные сертификаты сервера выберите действие для трафика с проблемными сертификатами: Разрешить, Блокировать или Запрос. Значение по умолчанию — Разрешить.
  11. Кликните Применить.
  12. Кликните Сохранить. Правило Инспекции TLS сохранено в базе правил.

Правила обхода по умолчанию

Cato управляет стандартными правилами инспекции TLS, которые обходят специфические приложения, операционные системы и клиентов, которые могут вызвать проблемы. Эти правила располагаются вверху базы правил и не подлежат редактированию. Для того чтобы помочь планировать и принимать решения по политике инспекции TLS, вы можете просмотреть настройки этих правил в разделе Правила обхода по умолчанию.

Когда в поле "Что" несколько элементов, таких как Приложение и Полное доменное имя (FQDN), то между этими элементами существует связь И.

Правила_Обхода_По_Умолчанию_TLSi.png

Related Resources

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 6 из 8

0 комментариев