מעבר TLS 1.2 בשירות Exchange Online

המאמר הנוכחי מתמקד במעבר אל פרוטוקול TLS 1.2 בשירות Exchange Online.

בימים האחרונים יצא עדכון בממשק Message Center של Office 365 לגבי שינוי בפרוטוקול TLS 1.2 בשירות Exchange Online, השינוי ייכנס לתוקף בתחילת אוקטובר ויש לבצע את הפעולות עד סוף ספטמבר.

טיפ: חשוב לציין כי השינוי אינו חל על כלל הטטנטים ויש להיצמד אל ההתראות בכל טננט.

השינוי הנוכחי הוא חלק משינויים נוספים אשר נעשו בעבר עם פרוטקולים נוספים וכאלה אשר מתוכננים לביצוע בעתיד הקרוב והרחוק עם פרוטקולים אחרים בשירות Exchange Online, למאמר הרשמי בנושא Preparing for TLS 1.2 in Office 365.

כמו שניתן לשים לב, הפרוטוקולים המוזכרים במאמר לא יהיו זמינים עד ליוני 2020 כולל שירותי הענן השונים, התקני קצה וכל אינטגרציה עם מוצר כזה או אחר, ולכן מומלץ להתחיל למגרץ את כל המערכות שנמצאות אם פרוטוקול אבטחה ישנים.

מעבר אל TLS 1.2 בשירות Exchange Online

הפעולה עצמה של מעבר פרוטוקול TLS 1.2 בשירות Exchange Online הוא לא מסובך מידי, אך התהליך עצמו הוא תהליך לא פשוט בגלל מספר סיבות שלא בהכרח הם סיבות טכנולוגיות הקשורות לשירות עצמו או לסביבה שלנו.

למרות כל זאת התהליך יכול להיות תהליך קצר, ולכן מומלץ לפעול במעבר אל TLS 1.2 בשירות Exchange Online לפי מספר דגשים עיקריים:

מיפוי המידע בשירות Exchange – השלב הראשון הוא הוצאת מידע לגבי מערכות אשר משתמשות בפרוטוקולים השונים של TLS 1.1 או TLS 1.0, וכאן החלוקה נעשית לפי תשתית הדואר הקיימת בארגון.

תכנון המעבר אל TLS 1.2 – תכנון המעבר אל TLS 1.2 או יותר נכון דסבול של פרוטוקולים ישנם TLS 1.1 וכן TLS 1.0, צריך להיעשות על סצך מיפוי המידע, ואם נקח סביבת דואר היברידית אז צריך לבצע את הפעולות בכל הסביבה

אם ישנם מערכות צד שלישי או הגדרת Partner אז צריך לקחת בתכנון את אותם מערכות.

בדיקת ומעקב אחר תעבורה – הפעולה החשובה ביותר היא בדיקת הפרוטוקולים הישנים מול המערכות הרלוונטיות והעברתם למצב מעקב (audit) בכדי לבדוק היתכנות.

דיסבול TLS 1.1 + TLS 1.0 – ביטול הפרוטוקולים הישנים ייעשה רק לאחר מיפוי המידע ומעקב אחר הפרוטוקולים הישנים במטרה למנוע פגישה בשירות.

תרחיש קיים

ארגונים רבים נמצאים במצב של סביבה היברידית עם אינטגרציה למערכות צד שלישי כולל הגדרות Partners ולכן התהליך צריך להיות זהיר והפעולות צריכות להיעשות לפי השלבים הבאים ובהתייחס לדגשים שהוזכרו קודם לכן.

ביצוע הפעולות בסביבה מהסוג הנ”ל צריך להיעשות לפי השלבים הבאים:

• הוצאת המידע מתוך הממשקים וניתוח לפי כמויות
• הגדרת TLS 1.2 בשרתי דואר מקומיים לפי המלצות Best Practices
• העברת קונקטורים (Bybird Connectors) לפרוטוקול TLS 1.2
• תקשור השינויים לארגונים חיצוניים אודות השינוי
• ביטול TLS 1.0 + TLS 1.1 ואכיפה אל TLS 1.2

הוצאת המידע – הוצאת מידע קיים ומיפוי תעבורת הדואר מתוך הממשקים של Exchange ושל Protection הבאים: Mail Flow ומתוך Reports.

החלק החשוב בממשק הזה הוא דוח Legacy וכן דוח Outbound and Inbound mail flow

דוח של קונקטורים היברידית (Hybrid Connectors)

מתוך מצב הקונקטור ניתן לבצע פעולות שונות, למשל של תחקור.

דוח קונקטורים נוסף

טיפ: בכל דוח כזה ישנה אפשרות להיכנס אל דוח מפורט יותר ולהוציא פירוט של המשתמשים אשר שלחו דואר על גבי הפרוטוקולים הישנים עם דוח Excel

במידה וישנם הגדרות Partners עם קונקטורים יוצג דוח מהסוג הנ”ל, או לחלופין מתוך אותו דוח של Outbound and Inbound mail flow ניתן לייצא דוח Excel עם כמויות המקטלג את תעבורת הדואר לפי פרוטוקלים וקונקטורים.

הגדרת TLS 1.2 בשרתי דואר מקומיים – ישנם מספר מאמרים מפורטים של קבוצה המוצר לגבי הגדרת TLS 1.2 בשרתי דואר Exchange 2010 ומעלה, אך הפעולות שמומלץ לשים לב אליהם הם הגדרות SCHANNEL, הגדרת .Net, עדכונים בשרת הדואר ועדכוני KB ספציפיים כדוגמת SHA1.

קישור למאמרים Preparing for TLS 1.2 in Office 365.

תקשור השינויים – במידה והדוחות של תעבורת הדואר כוללים דומיינים חיצוניים השולחים עם פרוטוקולים TLS 1.0 + TLS 1.1, אנו חייבים לוודא מי אותם דומיינים (ספקים או לקוחות) ולתקשר את השינוי טרם ביצוע פעולה, ורק לאחר מכן לבצע דיסבול של הפרוטוקולים הישנים.

טיפ: אין טעם להחריג את הפרוטוקולים עם הגדרת  Exchange Transport Rule לדומיינים ספציפיים בגלל הפרוטוקולים ידוסבלו בכל מקרה בשירות Exchange Online.

רק בסיום הפעולות הנ”ל תעבורת הדואר מוכנה למעבר אל TLS 1.2 בשירות Exchange Online.

לסיכום

המעבר אל TLS 1.2 בשירות Exchange Online הוא בלתי ניתן לעצירה וישנו תאריך, ולכן מומלץ להתחיל בהכנות ויישום הדרישות והדגשים למעבר מסודר TLS 1.2 וזאת בכדי למנוע בעיות בתעבורת הדואר הארגוני.