TLS Inspection mit Microsoft Entra – HTTPS gezielt filtern
Kontrolle über verschlüsselten Datenverkehr – jetzt auch mit TLS Inspection. In diesem Artikel zeigen wir Ihnen, wie TLS Inspection funktioniert, welche Voraussetzungen Sie benötigen und worauf Sie bei der Implementierung achten sollten.
Was ist Microsoft Entra Internet Access?
Microsoft Entra Internet Access ist einer von drei Bestandteilen der Global Secure Access Familie und gehört damit zu den Security Service Edge Lösungen. Diese moderne Sicherheitsarchitektur zielt darauf ab, den Zugriff auf Internetressourcen über das Netzwerk zu kontrollieren – ohne die Nutzererfahrung oder Sicherheit zu beeinträchtigen. Mit der neuen TLS Inspection Funktion in Microsoft Entra Internet Access, die jetzt in der Public Preview verfügbar ist, können Organisationen erstmals gezielt auch verschlüsselte Unterseiten blockieren, die über erlaubte Hauptdomains aufgerufen werden. Das schafft mehr Transparenz, mehr Schutz vor Bedrohungen und höhere Compliance – direkt aus der Cloud.
Warum TLS Inspection wichtig ist?
Beim Modul „Internet Access“ steht generell der sichere, kontrollierte Zugriff vom Endgerät auf Internetinhalte – unabhängig vom Standort im Vordergrund. Dabei gibt es zwei Möglichkeiten: Entweder lassen sich bestimmte Ressourcen nach Web-Kategorien blockieren oder es werden eigene Ziele definiert, die blockiert oder erlaubt werden.
So funktioniert TLS Inspection bei Entra
Mit der Funktion „TLS Inspection“ kann jetzt auch der Zugriff auf Unterseiten nach bestimmten Web-Kategorien blockiert werden. Dafür muss – wie auch bei herkömmlichen Proxy-Lösungen – der HTTPS-Verkehr entschlüsselt werden, um in den Datenverkehr reinschauen zu können. Die Architektur stellt sich wie folgt dar:
Das Zertifikat von der eigenen internen vertrauenswürdigen Zertifizierungsstelle nutzt der Global Secure Access Dienst als Zwischenzertifizierungsstelle, um kurzlebige Zertifikate für die Zieldomäne beim Zugriff auf diese auszustellen.
Als erstes wird also ein Zertifikat benötigt, dass auf den Endgeräten als vertrauenswürdig eingestuft wird. Der Request dafür wird im Entra-Portal erstellt und z. B. mit einer internen PKI wird das entsprechende Zertifikat ausgestellt. Das Root-CA Zertifikat dieser PKI muss auf den Endgeräten als vertrauenswürdig eingestuft sein.
Im zweiten Schritt wird eine TLS Inspection Policy angelegt. In der aktuellen Preview werden hier, bis auf wenige Ausnahmen, alle Web-Kategorien pauschal inkludiert. Sensible Kategorien wie Education, Finance, Government, Health und Medicine werden von der TLS Inspection nicht entschlüsselt.
Die angelegte TLS Inspection Policy wird dann in ein bestehendes Security Profil eingegliedert.
Beim Verbindungsaufbau von einem Client wird nun für den TLS-Handshake das vom GSA-Dienst generierte Zertifikat genutzt. Dieses ist nur wenige Tage gültig und beinhaltet das eigene Zertifikat in der Kette, sodass die Verbindung als vertrauenswürdig gilt.
Wurde die Zielseite als blockierter Inhalt kategorisiert, wird der Zugriff wie bisher weiterhin blockiert. Mittlerweile ist die Fehlermeldung, die der User bekommt, jedoch viel aussagekräftiger und besser verständlich, da hier auch die Kategorie mit angezeigt wird.
Auch das Traffic Log für Administratoren hat zusätzliche Informationen erhalten. Neben der Zieldomäne sind jetzt beispielsweise auch die Ziel-URL und Informationen zur TLS Inspection mit aufgeführt.
Fazit: Mehr Transparenz, mehr Sicherheit – mit TLS Inspection
Die TLS Inspection gibt uns jetzt die Möglichkeit, den HTTPS-Verkehr von den Endgeräten weitergehend zu bewerten, um so auch nicht gewünschte Unterseiten zu sperren, obwohl die Hauptdomäne zugelassen werden soll. Somit entsteht eine höhere Flexibilität bei der Konfiguration. In Zukunft ist es so auch möglich, dass damit Angriffe in verschlüsselten Verbindungen noch besser erkannt werden.
Technische Einschränkungen und was Sie beachten sollten
Bei jeder Verwendung einer TLS Inspection muss auch bei der Lösung über Global Secure Access die HTTPS-Kommunikation mit der Neu-Verschlüsselung zurechtkommen. Eine Einschränkung besteht z. B. bei der Verwendung von Zertifikat-Pinning. Insofern sollte die Lösung für wichtige Anwendungen zunächst getestet und ggf. Ausnahmen definiert werden. Wir helfen Ihnen gerne bei der Implementierung.
Weitere News zu diesem Thema
