目次
このページのトピック

TLS検査の概要

Network Security サービスは、ネットワークファイアウォールの外側から内部サーバに到達するすべてのインバウンドTLS暗号化IPv4トラフィックに対して、インラインのリアルタイム脅威保護を提供します。仮想アプライアンスは、暗号化されたフローを受信し、復号化して検査し、暗号化して、送信先に送信します。

特定のセグメントに対して保護する暗号化トラフィックがある場合は、単一の管理対象仮想アプライアンスのグローバル設定としてTLS検査を有効にします。この方法では、WebサイトサーバとWebブラウザ間のプライバシーとデータの整合性を確保することで、インターネット通信を保護できます。鍵交換アルゴリズムは、各セッションの接続を保護します。

Network SecurityのTLS機能を、Azure Key Vault、 Amazon Certificate Manager (ACM)、Amazon Simple Storage Service(S3)などの既存のインフラストラクチャの証明書管理製品と統合できます。チェーンの検証を成功させるには:

  • Azure証明書には秘密鍵も含まれており、PFX形式またはPEM(PKCS8のみ)形式のいずれかになります。
  • S3証明書には、PEM(PKCS8またはPKCS1)形式のWebサーバの証明書チェーンを含める必要があります。証明書チェーンは、Webサーバ証明書で始まり、1つ以上の中間CA証明書が続き、ルートCA証明書で終わります。
  • ACM証明書では、 certificate body フィールドにPEMエンコードのWebサーバの証明書を含め、証明書チェーン(各PEMエンコードの中間CA証明書とルートCA証明書を連結した文字列を含む)を含める必要があります。 certificate chain フィールドに入力します。
  • AWS ACMとAzure Key Vaultの両方で、ユーザはWebサーバの証明書チェーンと秘密鍵をインポートする必要があります。Azure Key Vaultを使用すると、仮想アプライアンスで証明書と秘密鍵の両方を取得できます。ただし、秘密鍵はAWS ACMからエクスポートできないため、手動で仮想アプライアンスにインポートするか、CloudHSMを使用して取得する必要があります。これは、AWS S3証明書に対応する秘密鍵についても同様です。
  • Network SecurityのTLSインスペクションで、AWSでのSNIがサポートされるようになりました。サーバあたり最大30個の証明書を使用できます。これは、APIを使用して有効にできます。 Applianceバージョン番号2023.4.0.12159以降が必要です。 詳細を表示

注意: 最適なセキュリティを実現するために、すべての機密データを暗号化して安全に保存してください。


Network Security サービスは、クラウドプラットフォームプロバイダに基づいて、TLS設定プロセスを実行するための適切なウィザードを自動的に提供します。

AWSプラットフォームの場合:

Azureプラットフォームの場合: