TLS 檢查總覽

傳輸層安全標準 (TLS) 加密流量占了絕大多數的網路流量。由於威脅行為者經常使用這些加密管道隱藏惡意活動，因此務必在流量抵達目的地前檢查。

Secure Web Proxy 提供整合式 TLS 檢查服務，可讓您攔截及解密 HTTPS 流量。Secure Web Proxy 可查看加密要求，並套用進階安全性政策 (例如對完整要求路徑進行網址篩選，以及檢查 HTTP 標頭)，防範加密通道中隱藏的威脅，保護您的環境。

運作方式

TLS 檢查功能會建立兩個獨立的加密連線，並以 Secure Web Proxy 做為安全中介。

用戶端信號交換：當用戶端嘗試連線至外部網站 (例如 www.example.com) 時，Secure Web Proxy 會攔截要求。
產生憑證：Secure Web Proxy 會與私人憑證授權單位服務 (CA 服務) 通訊。Proxy 會即時為 www.example.com 產生臨時憑證，並由貴機構的私有下層 CA 簽署。
信任驗證：用戶端隨後會收到該臨時憑證。
檢查點：流量會在 Secure Web Proxy 執行個體中解密。在這個階段，安全性政策會套用至純文字 HTTP 資料。
伺服器握手：Secure Web Proxy 接著會啟動第二個 TLS 連線，連至實際的目標伺服器。流量會重新加密，並傳送至目的地地址。

Secure Web Proxy TLS 檢查服務提供彈性且可擴充的架構，可透過下列功能管理加密流量：

整合式私人信任：內建與 CA 服務的整合功能，可為私人 CA 提供高可用性的 Google 管理存放區。
彈性的信任根：使用現有的內部部署根憑證授權單位 (CA) 簽署 CA 服務代管的下層 CA。然後直接在 CA 服務中產生及管理全新的根憑證。
特定解密：使用 SessionMatcher 精確定義要解密的流量。您可以根據下列參數觸發 TLS 檢查：
- 網站網域名稱：使用規則運算式和網域清單比對特定網站。
- 網路條件：指定來源 IP 位址範圍或無類別域間路由 (CIDR) 區塊，例如 10.0.0.0/24，定義網路邊界。
- 布林值邏輯：結合多個條件 (例如來源 IP 和目的地網址)，建立非常具體的安全性規則。
可擴充的政策架構：
- 專屬政策：為每項 Secure Web Proxy 政策指派專屬的 TLS 檢查政策和 CA 集區，確保嚴格隔離。
- 共用政策：在多個 Proxy 政策之間共用單一 TLS 檢查設定，簡化政策管理作業。
完整統一資源識別碼 (URI) 可見度：檢查整個 URI (包括網域、路徑和查詢字串，例如 www.example.com/downloads/malware.exe)，而不只是網域名稱。
精確存取控管：使用 TLS 檢查功能，針對網站的特定路徑強制執行政策。舉例來說，您可以允許存取 www.example.com/documentation，但封鎖 www.example.com/uploads。

如要檢查加密流量，Secure Web Proxy 會做為可信任的中介服務。這項程序需要 Proxy、CA 服務和用戶端裝置之間協調運作。

TLS 檢查功能適用於機構可管理用戶端裝置的環境，例如受管理的筆電、伺服器或虛擬機器 (VM)。

即使是受管理裝置，由於憑證固定，某些連線也無法遭到攔截。當應用程式經過硬式編碼，只接受特定公開金鑰或特定公開 CA 鏈結時，就會發生憑證綁定。

如要避免已釘選的應用程式服務中斷，或維護私密網站的隱私權，可以使用 SessionMatcher 屬性略過檢查。您可以根據下列參數限制或略過檢查：

如要啟用 TLS 檢查功能，請使用下列任一方法設定憑證授權單位 (CA)：

如要進一步瞭解這些方法，請參閱「建立從屬 CA 集區」。