Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das TLS-Protokoll (Transport Layer Security) verwendet Zertifikate auf der Transportschicht, um die Privatsphäre, Integrität und Authentizität der zwischen zwei Kommunikationsparteien ausgetauschten Daten sicherzustellen. Während TLS legitimen Datenverkehr schützt, kann bösartiger Datenverkehr wie Schadsoftware- und Datenleckangriffe weiterhin hinter der Verschlüsselung verborgen bleiben. Die Microsoft Entra Internet Access TLS-Inspektionsfunktion bietet Einblicke in verschlüsselten Datenverkehr, indem Inhalte zum verbesserten Schutz verfügbar sind, z. B. Schadsoftwareerkennung, Verhinderung von Datenverlust, Aufforderungsüberprüfung und andere erweiterte Sicherheitskontrollen. In diesem Artikel finden Sie eine Übersicht über den TLS-Inspektionsprozess.
Der TLS-Inspektionsprozess
Wenn Sie DIE TLS-Überprüfung aktivieren, entschlüsselt Global Secure Access HTTPS-Anforderungen am Dienst-Edge und wendet Sicherheitskontrollen wie vollständige erweiterte URL-Webinhaltsfilterrichtlinien an. Wenn keine Sicherheitskontrolle die Anforderung blockiert, verschlüsselt Global Secure Access sie und leitet sie an das Ziel weiter.
Führen Sie die folgenden Schritte aus, um die TLS-Inspektion zu aktivieren:
- Generieren Sie eine Zertifikatsignaturanforderung (CSR) im Global Secure Access-Portal, und signieren Sie die CSR mithilfe der Stamm- oder Zwischenzertifizierungsstelle Ihrer Organisation.
- Laden Sie das signierte Zertifikat in das Portal hoch.
Global Secure Access verwendet dieses Zertifikat als Zwischenzertifizierungsstelle für die TLS-Inspektion. Während der Verkehrsüberwachung generiert Global Secure Access dynamisch kurzlebige Blattzertifikate aus dem Zwischenzertifikat. Die TLS Inspektion richtet zwei separate TLS-Verbindungen ein.
- Einer vom Clientbrowser zu einem Global Secure Access Service Edge
- Eine Verbindung vom Global Secure Access zum Zielserver
Global Secure Access verwendet Blattzertifikate während TLS-Handshakes zwischen Clientgeräten und dem Dienst. Um erfolgreiche Handshakes sicherzustellen, installieren Sie Ihre Stammzertifizierungsstelle und Ihre Zwischenzertifizierungsstelle, wenn diese zum Signieren des Certificate Signing Request (CSR) verwendet werden, im vertrauenswürdigen Zertifikatspeicher auf allen Clientgeräten.
Datenverkehrsprotokolle enthalten vier TLS-bezogene Metadatenfelder, die Ihnen helfen, zu verstehen, wie TLS-Richtlinien angewendet werden:
- TlsAction: Umgangen oder Abgefangen
- TlsPolicyId: Der eindeutige Bezeichner der angewendeten TLS-Richtlinie
- TlsPolicyName: Der lesbare Name der TLS-Richtlinie zur einfacheren Referenz
- TlsStatus: Erfolg oder Fehler
Informationen zu den ersten Schritten mit der TLS-Inspektion finden Sie unter Konfigurieren von Transport Layer Security.
Unterstützte Verschlüsselungsalgorithmen
| Liste der unterstützten Cypher |
|---|
| ECDHE-ECDSA-AES128-GCM-SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 |
| ECDHE-RSA-AES128-GCM-SHA256 |
| ECDHE-RSA-CHACHA20-POLY1305 |
| ECDHE-ECDSA-AES128-SHA |
| ECDHE-RSA-AES128-SHA |
| AES128-GCM-SHA256 |
| AES128-SHA |
| ECDHE-ECDSA-AES256-GCM-SHA384 |
| ECDHE-RSA-AES256-GCM-SHA384 |
| ECDHE-ECDSA-AES256-SHA |
| ECDHE-RSA-AES256-SHA |
| AES256-GCM-SHA384 |
| AES256-SHA |
Bekannte Einschränkungen
Die TLS-Inspektion hat die folgenden bekannten Einschränkungen:
- TLS-Inspektion unterstützt bis zu 100 Richtlinien, 1000 Regeln und 8000 Ziele.
- Stellen Sie sicher, dass jede zertifikatsignierende Anforderung (CSR), die Sie generieren, über einen eindeutigen Zertifikatnamen verfügt und nicht wiederverwendet wird. Das signierte Zertifikat muss mindestens 6 Monate lang gültig bleiben.
- Sie können jeweils nur ein aktives Zertifikat verwenden.
- TLS-Inspektion unterstützt nicht Application-Layer Protokollverhandlung (ALPN) Version 2. Wenn eine Zielwebsite HTTP/2 erfordert, schlägt der upstream-TLS-Handshake fehl, und der Standort kann nicht zugegriffen werden, wenn die TLS-Inspektion aktiviert ist.
- Die TLS-Überprüfung folgt beim Überprüfen von Zielzertifikaten nicht den Links für den Authority Information Access (AIA) und dem Online Certificate Status Protocol (OCSP).
Mobile Plattform
- Viele mobile Anwendungen implementieren das Anheften von Zertifikaten, wodurch eine erfolgreiche TLS-Inspektion verhindert wird, was zu Handshake-Fehlern oder einem Funktionsverlust führt. Um das Risiko zu reduzieren, aktivieren Sie zuerst die TLS-Inspektion in einer Testumgebung, und überprüfen Sie, ob kritische Anwendungen kompatibel sind. Konfigurieren Sie für Apps, die auf zertifikatbasiertem Anheften basieren, benutzerdefinierte TLS-Inspektionsregeln, um diese Ziele mithilfe von domänenbasierten oder kategoriebasierten Regeln zu umgehen.