问题
您可能会观察到TLSi 似乎已启用的事件,即使:
- 全球 TLS 检查已禁用或
- 流量符合 TLS 绕过规则或
- 来源操作系统是默认绕过的操作系统类型(例如:Android、Linux、未知操作系统)。
这种行为通常在安全/互联网事件中被识别,事件详细信息显示TLS 检查 = 1,并且在某些情况下会显示 TLS 相关的阻止、提示或强制门户页面。
环境
可能适用以下条件之一或多个:
- 全球 TLS 检查已禁用,或操作系统绕过(例如:Android、Linux、未知操作系统)
- 具有阻止或提示操作的防火墙规则
- 使用中强制门户认证
- 无客户端访问(浏览器访问)
- 被系统安全控制分类为高风险或禁止的流量
- 针对特定应用程序实施全球参数的 TLS 检查
注意:事件中的 TLS 检查可反映系统所需的控制、执行或安全性检查,不一定仅为配置的策略检查。
理解这种行为
TLS 检查设置定义了基于策略的检查,但某些流量需要Cato 的安全堆栈执行的系统级检查才能正常运行。 在这种情况下,即使在租户策略级别被禁用或绕过,仍可能发生 TLS 检查。
根据Cato 的主服务协议 (MSA)以及全球安全和合规要求,默认情况下会阻止访问某些恶意、危险或禁止的目的地。 为了实施这些基线保护并满足法规要求,Cato 可能会使用其安全堆栈截取和评估流量。 因此,即使客户配置的 TLS 检查被禁用,TLS 检查功能仍可能在某些阻止事件中被报告为活跃。
这种行为是预期和按设计的。 这并不意味着客户策略启用了 TLS 检查或忽略了绕过规则。 相反,这反映了系统强制实施的安全控制,这些控制是准确分类和阻止高风险流量的必需,以同时保持平台的安全性和合规性。
上述行为会在事件中反映为 TLS 检查 = 1
TLS 检查被执行的场景
场景 1:强制门户流量始终被检查
用于强制门户检测和认证的流量由系统规则处理。
PoP必须:
- 检测认证要求
- 注入强制门户页面
- 临时管理访问行为(例如,始终启用处理)
为支持这一点,无论是否:流量都会始终经过 TLS 检查引擎
- 来源操作系统通常被绕过,或
- 租户 TLS 检查被禁用或绕过
这种行为是预期的,并不表明忽略了租户 TLSi 策略。
场景 2:无客户端访问(浏览器访问门户)流量始终被检查
无客户端访问(浏览器访问门户)的流量来自公共互联网,作为不受信任的入站流量进入 Cato 云。
出于安全原因:
- 这些流量始终由系统规则检查,包括 TLS 检查
- 租户 TLS 检查配置不适用于这些流量
因此,即使:事件 相关于浏览器访问可能显示为 TLS 检查 = 1
- 全球 TLS 检查已禁用,或
- 相同的目的地通常会通过 SDP 客户端绕过用户流量
场景 3:具有块或提示操作的防火墙规则
对于 HTTPS 流量,配置为阻止或提示操作的防火墙规则需要 TLS 检查以:
- 准确分类加密流量
- 将阻止或提示页面注入返回给用户
此 TLS 终止由系统规则执行,而不是由租户 TLS 检查策略执行。
因此,即使:事件 对于符合块或提示规则的流量,仍可能显示 TLS 检查 = 1
- TLS 检查已在全球禁用,或
- TLS 绕过规则适用于目的地
这种行为是需要为了正确执行 HTTPS 流量的阻止/提示操作。
(另请参见:访问不受信任的网站已被阻止尽管启用 TLS 检查的情况下。)
场景 4:针对特定应用程序的全球 TLS 检查策略
除租户定义的 TLS 检查规则外,Cato 对某些应用程序(例如:Dropbox 和 WhatsApp)实施全球 TLS 检查策略。
这些策略用于:
- 确保一致的安全性和 CASB 执行
- 处理证书钉住和应用程序特定行为
因此,即使在以下情况下,对某些应用程序的流量仍可能进行检查:
- TLS 检查在租户策略中被禁用,或
- 来源操作系统通常被绕过
在事件中,这将显示为 TLS 检查 = 1,即使没有可见的匹配租户定义的 TLSi 规则。
这种行为是预期的,由 Cato 的全球安全策略推动。
何时进一步调查
如果观察到性能问题(例如应用程序加载时间缓慢)并且绕过 cato 提供更好的性能,可能需要额外的数据来支持调查,请确保提供以下信息:
- 性能影响是多少? 是数据加载时间还是内容本身加载问题?
- 来自客户端下载的 HAR 文件
- 提供用于支持验证的SSS
0 条评论
文章评论已关闭。