Network Securityサービスは、ネットワークファイアウォールを超えて内部サーバーに到達するすべてのインバウンドTLS暗号化IPv4トラフィックに対して、インラインのリアルタイム脅威保護を提供します。Virtual Applianceは暗号化されたフローを受信し、それを復号化し、検査し、再度暗号化してから目的地に送信します。
特定のセグメントを保護するために暗号化されたトラフィックがある場合、単一の管理されたVirtual Applianceに対してグローバル設定としてTLS Inspectionを有効にしてください。これにより、ウェブサイトのサーバーとウェブブラウザー間のプライバシーとデータの完全性を提供することでインターネット通信を保護できます。キー交換アルゴリズムは各セッションの接続を保護します。
UsersはNetwork SecurityのTLS機能を既存のインフラストラクチャの証明書管理サービス (Azure Key Vault、Amazon Certificate Manager (ACM)、Amazon Simple Storage Service (S3) を含む) と統合できます。チェーン検証を成功させるためには:
  • プライベートキーを含むAzure証明書は、PFXまたはPEM (PKCS8のみ) 形式のいずれかである可能性があります。
  • S3証明書には、ウェブサーバの証明書チェーンをPEM (PKCS8またはPKCS1) 形式で含める必要があります。証明書チェーンは、ウェブサーバ証明書から始まり、1つ以上の中間CA証明書が続き、ルートCA証明書で終わります。
  • ACM証明書には、[certificate body]フィールドにPEMエンコードされたウェブサーバの証明書を含め、[certificate chain]フィールドに証明書チェーン (各PEMエンコードされた中間CA証明書とルートCA証明書の連結文字列を含む) を含める必要があります。
  • AWS ACMとAzure Key Vaultの両方で、ユーザはWebサーバの証明書チェーンと秘密鍵をインポートする必要があります。Azure Key Vaultでは、Virtual Applianceが証明書と秘密鍵の両方を取得できます。しかし、AWS ACMから秘密鍵をエクスポートすることはできないため、それらの秘密鍵をVirtual Applianceに手動でインポートするか、CloudHSMを使用して取得する必要があります。これは、AWS S3証明書に対応する秘密鍵についても同様です。
  • Network SecurityのTLS Inspectionは、AWS上のSNIをサポートし、サーバごとに最大30の証明書をサポートします。これはAPIを使用して有効にすることができます。アプライアンスのバージョン番号は2023.4.0.12159以上が必要です。詳細はこちら
注意
注意
最適なセキュリティのために、すべての機密データを暗号化し、安全に保管することを忘れないでください。
クラウドプラットフォームプロバイダに基づいて、Network SecurityサービスはTLS構成プロセスを案内するための適切なウィザードを自動的に提供します。
AWSプラットフォームの場合:
Azureプラットフォームの場合: