TLS检查的最佳实践

TLS检查概览

大多数互联网流量都是通过HTTPS加密的,但是恶意软件却利用HTTPS作为一种躲避技术。 这些威胁可能会对您组织的数据造成损害。

Cato Networks为WAN和互联网HTTPS流量提供传输层安全性检查(TLS)。 Cato支持TLS版本1.1,1.2和1.3。 当启用TLS检查时,Cato的PoP会解密HTTPS流量并检查其恶意内容。 我们建议您使用TLS检查来启用Cato的威胁防护服务,例如入侵防御系统(IPS)、反恶意软件和托管威胁检测与响应(MDR)。

本文解释了TLS检查如何提供对这些威胁的保护,并描述了威胁防护和TLS流量的最佳实践。

注意

注意: 由于与证书固定相关的问题,TLS检查不支持Android设备。

启用TLS检查

使用Cato管理应用程序为整个账户启用TLS检查。 作为实施TLS检查的一部分,您必须将Cato证书安装为终端用户主机和设备上的根证书。 使用TLS检查策略来定义规则以检查或通过TLS检查绕过流量。 当为您的账户启用TLS检查时,开箱即用政策是默认情况下检查所有HTTPS流量。

使用Cato证书解密流量

当客户端(例如,Web浏览器)连接到服务器时,PoP会在TLS协商的一部分将Cato的证书发送给浏览器。 为了让客户端验证该证书由可信CA签署,您必须在所有客户端和设备上安装Cato的证书。 可以从Cato管理应用程序或从 客户端下载门户 下载证书。 然后PoP可以解密HTTPS流量并检查是否存在安全威胁。

安装Cato的证书还允许您使用Cato的HTTPS网站的阻止页面。 如果TLS流量被网址过滤或互联网防火墙规则阻止,Cato证书允许访问Cato的阻止页面。 不需要TLS检查即可阻止访问HTTPS网站,但如果未在用户的计算机上安装Cato证书,将出现证书警告,而不是Cato的阻止页面。 因此,我们建议您在客户端设备上安装Cato的证书。 有关证书和已阻止页面的更多信息,请参见 带有已阻止HTTPS网站的证书警告

从TLS检查中排除项目

您可以使用统一的TLS检查窗口将特定项目排除在TLS检查之外。 这可以包括被认为是合法或受信任的服务或目的地。 有关从TLS检查中排除流量的更多信息,请参见 配置账户的TLS检查策略

注意事项

  • 对于Android、Linux和未识别的操作系统,绕过TLS检查。 这些操作系统的事件日志中包含的 操作系统类型

    • OS_ANDROID

    • OS_LINUX

    • OS_UNKNOWN

  • 启用TLS检查可激活所有TLS流量的TCP加速功能。 当TCP加速激活时,PoPs充当代理服务器来检查流量是否存在恶意文件和威胁。 有关TCP加速的更多信息,请参阅解释Cato TCP加速和最佳实践

TLS检查的最佳实践

启用TLS检查以提升安全性

Cato Networks强烈建议您为您的账户启用TLS检查。 如果您希望获得Cato高级安全和检测服务的全面保护,重要的是要知道这些服务的一些功能只能检查未加密数据。 例如,如果您不使用TLS检查,这会降低MDR等使用自动化威胁搜寻系统的安全服务的效率。

另一个例子是使用基于签名检测的IPS服务。 当TLS检查被激活时,IPS可以应用深度数据包检查并允许在一系列安全签名上进行附加功能, 所以,它为您的网络提供了更好的保护。

如何处理使用证书固定的应用程序?

出于安全原因,一些站点和应用程序使用证书固定。 证书固定强制客户端使用特定证书以防止中间人攻击。 当启用TLS检查时,这些应用程序无法工作。 因此,您必须在TLS检查策略窗口中将其添加为绕过规则。

有关配置TLS检查的更多信息,请参见 配置账户的TLS检查策略

这篇文章有帮助吗?

9 人中有 9 人觉得有帮助

0 条评论