Introduzione
In questo documento viene descritto come aggiungere certificati e chiavi pubbliche in Cisco Umbrella.
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Le informazioni fornite in questo documento si basano su Cisco Umbrella.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Panoramica
L'associazione dei certificati è un meccanismo di sicurezza Internet che consente alle applicazioni di resistere alla rappresentazione nei server HTTPS utilizzando certificati digitali non rilasciati o comunque fraudolenti. A tale scopo, un server viene associato a un insieme definito di chiavi pubbliche, che possono essere le uniche attendibili per le connessioni a tale server. Esistono due tecniche per l'aggiunta di certificati:
- Il Pinning a chiave pubblica (PKP RFC7469) è un meccanismo obsoleto per l'attivazione del pinning dei certificati nei browser Web. I certificati aggiunti vengono inviati al browser utilizzando intestazioni HTTP.
- Il Pinning statico dei certificati è un'applicazione hardcoded che prevede certificati o autorità di certificazione specifiche. Alcune applicazioni desktop/mobili utilizzano un meccanismo statico di associazione dei certificati per una maggiore sicurezza.
Quando queste applicazioni Web vengono inoltrate da Umbrella, la chiave pubblica fornita da Umbrella non corrisponde, il che fa sì che l'applicazione chiuda la connessione HTTPS. Il blocco dei certificati viene in genere applicato solo alle applicazioni desktop/mobili, poiché il supporto PKP è stato rimosso dai browser Web più recenti.
Compatibilità con Umbrella SWG
Umbrella ignora gli URL noti dalla decrittografia SSL per risolvere i problemi di associazione dei certificati in determinate circostanze. La tabella 1 include le applicazioni che sono state ignorate globalmente per tutti i clienti Umbrella. La tabella 1 include anche altre applicazioni note per l'utilizzo dell'associazione dei certificati in fase di scrittura. Se si utilizza una di queste applicazioni, è possibile utilizzare i metodi descritti in seguito, per i motivi indicati, per evitare l'ispezione HTTPS. La tabella 2 fornisce ulteriori dettagli per i servizi dell'applicazione descritti nella tabella 1.
Altre applicazioni di aggiunta certificati
Le applicazioni possono essere ignorate in base al cliente (per policy) per risolvere i problemi di blocco dei certificati utilizzando la funzionalità di decrittografia selettiva di Umbrella. Tali eccezioni possono essere facilmente implementate in base al dominio, al nome dell'applicazione o alla categoria; Umbrella SWG include una vasta libreria di applicazioni nel nostro database di app.
Nella maggior parte dei casi la decisione di ignorare l'applicazione spetta all'amministratore IT. L'aggiunta di un'eccezione Decrittografia rappresenta un compromesso in termini di protezione in quanto impedisce l'ispezione di file e protezione del contenuto Web. Si tratta di una decisione individuale a seconda del tipo di applicazione e delle esigenze aziendali. Ad esempio, se il problema di associazione del certificato riguarda solo un'applicazione per dispositivi mobili/desktop, l'amministratore può scegliere di aggiungere un'eccezione per far funzionare l'applicazione per dispositivi mobili oppure può preferire chiedere agli utenti di utilizzare la versione Web dell'applicazione.
Questa è una tabella di applicazioni che vengono ignorate a livello globale per i clienti Umbrella e non è richiesta alcuna azione o non è noto che utilizzi l'associazione certificato al momento della scrittura e non viene ignorata da Umbrella per impostazione predefinita. Se si utilizzano le applicazioni che non vengono ignorate per impostazione predefinita, è possibile utilizzare i metodi descritti in precedenza, per i motivi indicati, per ignorare l'applicazione dall'ispezione HTTPS.
Tabella 1 - Applicazioni che possono utilizzare il blocco dei certificati
|
Nome applicazione
|
Cisco Umbrella Coverage
|
|
Servizi Adobe
|
Ignorato a livello globale per i clienti Umbrella
|
|
Airbnb
|
Supportato da Application Control
|
|
Amazon Alexa
|
Supportato da Application Control
|
|
Amazon Drive
|
Supportato da Application Control
|
|
Amazon Kindle
|
Supportato da Application Control
|
|
Amazon Workspaces
|
Supportato da Application Control
|
|
Ampiezza
|
Ignorato a livello globale per i clienti Umbrella
|
|
App Dynamics
|
Ignorato a livello globale per i clienti Umbrella
|
|
Apple iMessage
|
Supportato da Application Control
|
|
Apple Mail
|
Supportato da Application Control
|
|
Servizi Apple (vedere la tabella 2 per ulteriori dettagli)
|
Ignorato a livello globale per i clienti Umbrella
|
|
Servizi Cisco (vedere la tabella 2 per ulteriori dettagli)
|
Ignorato a livello globale per i clienti Umbrella
|
|
Citrix Workspace
|
Supportato da Application Control
|
|
Crashlytics
|
Ignorato a livello globale per i clienti Umbrella
|
|
CrowdStrike Falcon
|
Supportato da Application Control
|
|
Diligent.com
|
Supportato da Application Control
|
|
Discord Chat
|
Ignorato a livello globale per i clienti Umbrella
|
|
Cloud di contratti DocuSign
|
Supportato da Application Control
|
|
DropBox
|
Supportato da Application Control
|
|
Druva Cloud Backup
|
Supportato da Application Control
|
|
Enginyte Connect
|
Supportato da Application Control
|
|
Nota
|
Supportato da Application Control
|
|
Messenger su Facebook
|
Supportato da Application Control
|
|
Facebook
|
Supportato da Application Control
|
|
Filemail
|
Supportato da Application Control
|
|
Quadratino
|
Supportato da Application Control
|
|
Giphy
|
Ignorato a livello globale per i clienti Umbrella
|
|
GitHub
|
Supportato da Application Control
|
|
Google Drive
|
Supportato da Application Control
|
|
Google Play Store
|
Supportato da Application Control
|
|
Servizi Google (vedere la tabella 2 per maggiori dettagli)
|
Ignorato a livello globale per i clienti Umbrella
|
|
Area di lavoro Google
|
Supportato da Application Control
|
|
VaiRiunione
|
Supportato da Application Control
|
|
Macchina pubblicitaria
|
Supportato da Application Control
|
|
Instagram
|
Supportato da Application Control
|
|
LogMedia Pro
|
Supportato da Application Control
|
|
Microsoft Defender for Endpoint
|
Supportato da Application Control
|
|
Microsoft Intune
|
Supportato da Application Control
|
|
Servizi Microsoft (vedere la tabella 2 per ulteriori informazioni)
|
Ignorato a livello globale per i clienti Umbrella
|
|
Microsoft Xbox Live
|
Supportato da Application Control
|
|
Netflix
|
Supportato da Application Control
|
|
ApriUnità
|
Supportato da Application Control
|
|
PayPal
|
Supportato da Application Control
|
|
PingOne Identity
|
Supportato da Application Control
|
|
Servizi per unità cloud/rack
|
Ignorato a livello globale per i clienti Umbrella
|
|
Salesforce CRM
|
Supportato da Application Control
|
|
Segmento
|
Ignorato a livello globale per i clienti Umbrella
|
|
Piattaforma di segnale
|
Supportato da Application Control
|
|
Skype for Business
|
Supportato da Application Control
|
|
Snapchat
|
Supportato da Application Control
|
|
Soundcloud
|
Supportato da Application Control
|
|
Ragno
|
Supportato da Application Control
|
|
Spotify
|
Supportato da Application Control
|
|
Visualizzatore team
|
Supportato da Application Control
|
|
TikTok
|
Supportato da Application Control
|
|
Todoista
|
Supportato da Application Control
|
|
Twitter
|
Supportato da Application Control
|
|
Vimeo
|
Supportato da Application Control
|
|
HCM giorno lavorativo
|
Supportato da Application Control
|
|
Zoom riunioni
|
Ignorato a livello globale per i clienti Umbrella
|
Tabella 2 - Dettaglio perServizi ignorati a livello globale, come illustrato nella tabella 1
| Servizi Apple |
- Controllo portale captive Apple
- Apple iTunes e App Store
- Servizi aggiuntivi per piattaforme Apple
|
|
Servizi Cisco
|
- Servizi Cisco Umbrella e OpenDNS
- Cisco Webex e Webex Teams
- Cisco Cloud Email Security WebUI
- servizio endpoint AMP
- Duo Security 2FA
|
| Servizi Google |
- Hangouts di Google
- Google Messages sul Web
- Servizi aggiuntivi per la piattaforma Google
|
| Servizi Microsoft |
- Indicatore di stato connettività di rete Microsoft
- Windows Update
- servizio di traduzione di Windows
- Servizi aggiuntivi per piattaforme Microsoft/Windows
|
Per ulteriori informazioni, vedere Risoluzione dei problemi relativi alle applicazioni diverse dal browser o contattare il Supporto Umbrella. Le domande possono essere prese in considerazione per l'aggiunta all'elenco di bypass globale dopo essere state esaminate dal team di progettazione.
Feedback