IPSに関しては、暗号化されたトラフィックをどのように終了または復号化するかについて完全に理解していませんか?それらをインラインで展開することは絶対に理にかなっていますが、検査できるようにトラフィックをどのように分割するべきですか?これは、設置されるCASBインフラストラクチャと同様に機能しますか?
IPSが暗号化されたトラフィックを処理する方法は4つあります。
IPSは、TLSインターセプトプロキシとして機能し、TLS接続の中間者になります。これには、IPSソフトウェアによって作成されたルート証明書をルートトラストストアに追加する必要があります。そうしないと、アクセスしようとするすべての暗号化されたWebサイトで接続エラーが発生します。これにより、IPSは 一部の例外 を使用して、暗号化されたトラフィックの内容を透過的に監視できます。 IPSソフトウェアがすべての信頼を委任しているため、安全でない、または信頼できない場合、これは危険な場合があります。
IPSは、損失を取り、トラフィックを復号化することなく、あらゆるものを分析できます(たとえば、送信元と宛先のIPとポート、トラフィック分析ベースのヒューリスティック、TCPヘッダー情報、SNI 、など)。これはもちろん完全な検査ではありませんが、カスタムTLS証明書をインストールするためにIPSの背後にある各クライアントに依存しないため、セキュリティリスクになる可能性があります。
ソフトウェアが暗号化された接続を使用してアプリケーションと統合されている場合(IPSが別のハードウェアファイアウォールではなくTLSエンドポイント自体で実行されている場合に可能)、暗号化されたトラフィックを検査できます。すでに解読されています。これには、暗号化されたトラフィックを読み取ることができる一方でTLSインターセプトを必要としないという利点がありますが、サポートされているアプリケーションでのみ動作し、エンドポイントで実行する必要があるという欠点があります。
暗号化されたトラフィックは単純にブロックできます。これにより、IPSがほとんどのトラフィックを読み取り、読み取ることができないトラフィックを拒否できますが、使いやすさが犠牲になります。ただし、未承認のエンティティは、ソフトウェアが理解できない非標準または難読化された暗号化プロトコルを使用して通信できます。プレーンHTTPを介してHTMLページのコンテンツで暗号化されたデータを送信することが可能であるため、プロトコルホワイトリストの使用も解決策ではありません。
暗号化されたセッションを終了することは簡単です。 TLSはTCPとは異なるレイヤーにあります(OSIモデルでは、TLSはレイヤー6ですが、TCPはレイヤー4です)。つまり、TLSはTCP接続内でカプセル化され、TCP関連情報はまったく暗号化されません。接続を切断するには、IPSがRSTを送信するだけです。 TCP接続が停止すると、TLSセッションも停止します。