Настройка политики инспекции TLS для учетной записи

В этой статье обсуждается, как настроить и кастомизировать политику инспекции TLS, чтобы удовлетворить специфические требования вашей сети.

Обзор политики инспекции TLS Cato

Сегодня большинство сетевого трафика зашифровано (TLS, HTTPS), что часто уменьшает пользу от сканирования трафика с использованием системы предотвращения вторжений, межсетевого экрана для Интернета, Политика контроля приложений и Защита от вредоносных программ. Если трафик содержит вредоносное содержимое, он также зашифрован, и механизмы безопасности Cato не могут его инспектировать или сканировать.

Когда вы включаете Инспекцию TLS для своей учетной записи, Cato безопасно дешифрует трафик, проходящий через точку присутствия (PoP), и механизмы безопасности Cato инспектируют его на наличие Вредоносное ПО и сканируют загруженные файлы. Если подтверждено, что содержимое трафика безопасно, Cato повторно шифрует трафик и пересылает его на пункт назначения. Однако, если контент содержит фактическое или предполагаемое Вредоносное ПО, механизмы безопасности Cato блокируют трафик.

Вы можете выбрать использование политики Cato по умолчанию, которая инспектирует весь трафик. Вы также можете создать специфические правила инспекции TLS, которые определяют, какой трафик будет инспектироваться, а какой обходит инспекцию TLS.

tlsinspection.png

Примечание

Примечание: По умолчанию инспекция TLS обходится для следующих операционных систем:

  • Android (из-за проблем, связанных с прикреплением сертификатов)

  • Linux

  • Неизвестные операционные системы

Правила обхода Cato по умолчанию для приложений

Cato включает несколько приложений в неявное правило обхода, которые автоматически исключаются из инспекции TLS. Для получения списка этих приложений смотрите ниже Правила обхода по умолчанию.

Задержка при инспекции TLS

Ожидается минимальная задержка при первоначальном подключении из-за установки TCP и TLS рукопожатий, которые происходят до передачи данных в соответствующий сетевой или защитный механизм в PoP. Эта задержка составляет до 10 миллисекунд на пакет.

Работа с упорядоченной базой правил инспекции TLS

Движок инспекции TLS инспектирует соединения последовательно и проверяет, соответствует ли соединение правилу. Конечное правило в базе правил - это правило инспекции по умолчанию с параметрами "Любой - Любой", поэтому если соединение не соответствует ни одному правилу, то оно автоматически инспектируется.

Вы можете просмотреть настройки правила по умолчанию в разделе По умолчанию в конце базы правил. Настройки правила нельзя редактировать, за исключением действия для недоверенных сертификатов сервера. Для получения дополнительной информации о действии с недоверенными сертификатами сервера, смотрите ниже Добавление правил для настройки политики инспекции TLS.

Правила, которые находятся вверху базы правил, имеют более высокий приоритет, так как они применяются к соединениям перед теми правилами, которые ниже в базе правил. Например, если соединение соответствует правилу №2, действие для этого правила применяется к соединению, и движок инспекции TLS прекращает применение политики к этому соединению. Это означает, что правило №3 и ниже не применяются к соединению.

Понимание действий для правил инспекции TLS

Правила инспекции TLS позволяют использовать действие инспектирования или обхода для TLS-трафика.

Использование правил, которые инспектируют трафик TLS

Используйте действие инспектирования, чтобы определить правила инспекции TLS, которые дешифруют соединения и позволяют соответствующим механизмам безопасности инспектировать трафик на наличие вредоносного содержимого.

Использование правил, которые обходят трафик TLS

Используйте действие обхода, чтобы определить трафик, который обходит правила инспекции TLS. Обходной трафик не дешифруется для инспекции механизмами безопасности Cato. Помните, что правило обхода исключает только соединения, не совпадающие с более высоким правилом инспекции в базе правил.

Вы можете изменить приоритет правила обхода, чтобы оно имело более высокий приоритет, чем правило инспекции.

Настройка политики инспекции TLS

Используйте окно Политики инспекции TLS, чтобы настроить политику инспекции TLS для всего трафика в вашей учетной записи. Вы можете выбрать использование политики по умолчанию, которая инспектирует весь трафик, или добавить правила инспекции и обхода для создания пользовательской политики.

Работа с множественными объектами

Когда в поле Источник или поле Что находится несколько объектов, таких как две группы или категории, между этими объектами существует связь ИЛИ.

multi-tlsrules.png

Установка корневого сертификата Cato на устройства конечных пользователей

Корневой сертификат Cato должен быть установлен как доверенный сертификат на каждом устройстве и компьютере, который подключается к облаку Cato. Для получения дополнительной информации об установке сертификата Cato смотрите Установка корневого сертификата для инспекции TLS.

  • Сертификат Cato не может быть установлен на большинстве встраиваемых операционных систем (ОС), поэтому многие устройства, использующие встраиваемую ОС, теряют подключение, когда включена инспекция TLS. Для получения дополнительной информации о поддерживаемых ОС для инспекции TLS смотрите Рекомендации по инспекции TLS.

Блокировка трафика QUIC и GQUIC для инспекции TLS

QUIC и GQUIC — это транспортные протоколы, разработанные Google, которые не работают поверх TCP-соединений, а трафик с использованием этих протоколов не может быть инспектирован службой инспекции TLS. Поэтому мы рекомендуем учетным записям, которые включают инспекцию TLS, блокировать трафик QUIC и GQUIC с использованием правил межсетевого экрана Интернета. Правила, блокирующие этот трафик, принудительно устанавливают подключение только с использованием протоколов, которые могут быть инспектированы службой инспекции TLS. Если вы разрешите трафик с использованием протоколов QUIC и GQUIC, потоки не могут быть инспектированы и бесполезно блокируются.

При первом включении политики инспекции TLS правила для блокировки трафика QUIC и GQUIC автоматически добавляются в политику межсетевого экрана Интернета. Если политика межсетевого экрана Интернета уже блокирует трафик QUIC для его правильной инспекции, новые правила не добавляются.

Для получения дополнительной информации о трафике QUIC и GQUIC смотрите Рекомендации по политике межсетевого экрана Интернета и WAN.

Использование политики инспекции TLS по умолчанию

Политика инспекции TLS Cato по умолчанию инспектирует весь трафик (кроме автоматического обхода приложений). Вы можете использовать политику по умолчанию, включив инспекцию TLS, и нет необходимости добавлять какие-либо правила в политику.

Существует окончательное неявное правило, которое соответствует всем потокам с действием Инспектировать.

Чтобы использовать политику инспекции TLS Cato по умолчанию:

  1. В меню навигации нажмите Безопасность > Инспекция TLS.

  2. Нажмите на ползунок Включить инспекцию TLS.

  3. Нажмите Сохранить. Инспекция TLS включена с использованием политики по умолчанию.

Добавление правил для настройки политики инспекции TLS

Вы можете настроить политику инспекции TLS для инспекции только определённых типов трафика в соответствии с потребностями вашей организации. Добавьте правила в политику с действиями Инспектировать и Обход для определения, какой трафик расшифровывается и инспектируется.

  • Создайте правила с действием Инспектировать, чтобы определить трафик, который Cato Cloud инспектирует на подозрительное и вредоносное содержание.

  • Создайте правила с действием Обход, чтобы исключить определённый трафик из движков инспекции TLS Cato. Например, вы можете добавить правило обхода для приложения RingCentral, чтобы исключить трафик RingCentral из инспекции TLS.

При создании правил используйте Источник и Что, чтобы определить масштаб трафика TLS, и Действие, чтобы настроить, инспектирует ли правило трафик или обходит его. Убедитесь, что правило обхода имеет более высокий приоритет (ближе к вершине базы правил), чем правило инспекции, которое соответствует тому же трафику. Трафик, соответствующий правилу обхода инспекции TLS, также исключён из проверок безопасности движками защиты от вредоносных программ.

Когда вы настраиваете правило с действием Инспектировать, вы также должны определить поведение обработки недоверенных сертификатов сервера.

TLSi_Nedoverennyy_Sertifikat_Novyy.png

Вот варианты настройки:

  • Разрешить — трафик разрешен на сайт с недоверенным сертификатом и инспектируется (это настройка по умолчанию).

  • Запрос - пользователям показывается запрос, подтверждающий желание продолжить и перейти на сайт с недоверенным сертификатом. Если Пользователь продолжает к сайта, Трафик инспектируется

  • Блокировать - Трафик к сайта с недоверенным сертификатом блокируется

Примечание

Примечание: Для приложений, использующих пиннинг сертификатов для предотвращения инспекции TLS, добавьте их в правило обхода, чтобы они корректно функционировали для конечных пользователей.

Чтобы добавить правила в Политику Инспекции TLS:

  1. В меню навигации кликните Безопасность > Инспекция TLS.

  2. Кликните Новый.

  3. Введите Имя для правила.

  4. Используйте переключатель Включен для включения или отключения правила.

    Переключатель зелёный toggle.png когда включен.

  5. Настройте Порядок правил для этого правила.

  6. Разверните Источник и выберите тип источника.

    • Выберите тип (например: Хост, Сетевой интерфейс, IP, Любое). Значение по умолчанию — Любое.

    • При необходимости выберите конкретный объект из выпадающего списка для этого типа.

  7. В разделе Устройство настройте Платформы, Страны, Профили состояния устройства и Источник подключения, необходимые для соответствия правила.

    Для получения дополнительной информации об Условиях устройства, см. Добавление условий устройства для инспекции TLS.

  8. Определите Что применяется правило. Например, сервис, приложение, пользовательская или предопределенная категория.

  9. Настройте Действие выбрав Инспектировать или Обход.

    • Если выбрано Инспектировать, из выпадающего меню Недоверенные сертификаты сервера выберите действие для трафика с проблемными сертификатами: Разрешить, Блокировать или Запрос. Значение по умолчанию — Разрешить.

  10. Кликните Применить.

  11. Кликните Сохранить. Правило Инспекции TLS сохранено в базе правил.

Управление политикой инспекции TLS

В этом разделе объясняется, как управлять правилами в политике Инспекции TLS, включая: изменение приоритета правил, включение и удаление правил.

Изменение приоритета правила

Измените приоритет правила, чтобы определить, когда действие правила применяется к совпадающему соединению. Правила применяются последовательно к каждому соединению, после того как соединение совпало с правилом, правила с более низким приоритетом не применяются к нему.

 

Чтобы изменить приоритет правила:

  1. Наведите курсор на колонку № определенного правила. Нажмите на move.png и перетащите правило выше для увеличения или ниже для уменьшения приоритета правила.

  2. Нажмите Сохранить.

Включение и отключение правил инспекции TLS

Используйте ползунок для включения и отключения отдельных правил в политике инспекции TLS.

 

Чтобы включить или отключить правило:

  1. В конце правила нажмите More_icon.png. Появляется выпадающее меню правила.

  2. Нажмите Включить или Отключить.

  3. Нажмите Сохранить.

Правила обхода по умолчанию

Cato управляет правилами инспекции TLS по умолчанию, которые обходят специфические приложения, операционные системы и клиенты, которые могут вызвать проблемы. Эти правила расположены в верхней части базы правил и не подлежат редактированию. Чтобы помочь с планированием и принятием решений для политики инспекции TLS, вы можете посмотреть настройки этих правил в разделе Правила обхода по умолчанию.

Правила_Обхода_По_Умолчанию_TLSi.png

Связанные ресурсы

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 6 из 6

0 комментариев