SSL復号化対象のHTTP/2 over TLS通信で、セキュリティポリシでdenyが設定された通信のTrafficログが出力されない事象について
Flexible Secure Gateway, FSG
2024年11月25日 (2024年11月27日:更新)
事象概要
SSL復号化対象のHTTP/2 over TLS通信で、セキュリティポリシでdenyが設定された通信のTrafficログが出力されない
対象
下記の条件に合致している場合、ブラウザとWebサーバ間の通信で、HTTP/2 over TLS通信が行われている通信が対象となります。
-
対象の通信にSSL復号が有効化されている。
-
対象の通信にセキュリティポリシーのDenyアクションが適用されている。
-
いずれかのセキュリティポリシーのURLカテゴリリストにany以外のURLカテゴリが設定されている。
影響内容
セキュリティログのTraffic ログでdenyのlogが出力されない。
対処方法
現時点で根本的な対処方法はありません。
現時点での回避策として、特定のHTTP/HTTPS通信の遮断方法を変更することがあります。
セキュリティポリシーのDenyアクションを適用するのではなく、アクションはAllowに設定したうえで、URLフィルタリングプロファイルで全てのURLに対してblockを設定することで本事象を回避しながら、特定のHTTP/HTTPS通信を遮断することができます。
この場合、通信遮断についてのログはTrafficログではなくURL Filterログに出力されます。
改修目途
今後のFSG機能リリースで、SSL復号関連機能としてHTTP/2通信を抑止するための Strip ALPN有効化機能を提供する予定です。
提供時期は2025年3月を予定しています。
Strip ALPN有効化機能を利用いただくことで、事象を回避することができます。