IT-Security · UC 712

SSL-Inspection-Ausnahmen-Governance

Alle aktiven TLS/SSL-Bypass-Regeln auf einen Blick – mit Risk-Score, Hit-Zähler und revisionssicherer Bereinigung per Vier-Augen.

IT-Security / Admin Lizenz: ZIA · Advance Governance

Was es tut

Die SSL-Inspection-Ausnahmen-Governance zeigt eine tabellarische Übersicht aller aktiven ZIA-Bypass-Regeln (SSL/TLS-Inspection-Ausnahmen), die Sie oder Ihr Team bisher angelegt haben. Für jede Regel werden angezeigt:

  • Domäne / URL-Muster der Ausnahme
  • Risk-Score (0–100) – hoch riskante Ausnahmen sind rot hervorgehoben
  • Hit-Zähler – wie oft die Ausnahme in den letzten 30 Tagen getroffen wurde
  • Letzter Treffer – Datum und Uhrzeit des letzten Matches
  • Ablaufdate (falls gesetzt) – automatische Erinnerung vor Ablauf
  • Erstellt von / Genehmigt von mit Zeitstempel (Audit-Trail)

Markierte Einträge werden als typisierter Löschanfrage-Antrag an die IT-Security-Rolle weitergeleitet und dort per Vier-Augen-Prinzip genehmigt.

Wer es nutzt & Voraussetzungen

  • Portal / Rolle: IT-Security, Admin (lesend auch Helpdesk).
  • Lizenz / Capability: ZIA; Lizenzklasse Advance oder höher.
  • Schreibaktion: Löschanfragen erfordern die IT-Security-Rolle; Genehmigung durch eine zweite berechtigte Person.

So bedienen Sie es

Übersicht aufrufen

  1. Öffnen Sie „SSL-Inspection-Ausnahmen" im Admin- oder IT-Security-Portal.
  2. Die Tabelle zeigt alle aktiven Bypass-Regeln sortiert nach Risk-Score (absteigend).
  3. Nutzen Sie den Risk-Filter (z. B. > 40), um kritische Einträge zu isolieren.

Ausnahmen zur Bereinigung markieren

  1. Klicken Sie auf eine Zeile → Detailansicht mit vollständigem Audit-Trail öffnet sich.
  2. Klicken Sie „Löschen beantragen".
  3. Geben Sie eine Begründung ein und bestätigen – der Antrag geht als ssl_inspection-Freigabe-Antrag in die Freigabe-Queue.
  4. Eine zweite berechtigte Person genehmigt → Ausnahme wird aus ZIA entfernt, Audit-Log-Eintrag wird geschrieben.

Grenzwert-Bericht exportieren

  1. Klicken Sie „Bericht exportieren".
  2. Alle Ausnahmen mit Risk-Score ≥ 40 werden als CSV exportiert – für Compliance-Reviews und Auditoren.

Felder im Detail

FeldBedeutung
Domäne / MusterExakte Domäne oder Wildcard-Muster der TLS-Bypass-Regel.
Risk-Score0–100; berechnet aus Zscaler-Kategorisierung + aktueller Bedrohungslage. ≥ 70 = rot, 40–69 = gelb, < 40 = grün.
Hits (30 d)Anzahl Matches in den letzten 30 Tagen. Null Hits = Regel möglicherweise obsolet.
Letzter TrefferZeitstempel des letzten Matches. Hilft festzustellen, ob die Ausnahme noch aktiv genutzt wird.
AblaufdateOptional. Ausnahmen mit Ablaufdate werden 7 Tage vor Ablauf per E-Mail gemahnt.
Erstellt / GenehmigtWer die Ausnahme wann beantragt und genehmigt hat (unveränderlicher Audit-Trail).

Hinweise

Jede Löschanfrage erzeugt einen Audit-Log-Eintrag mit Antragsteller, Zeitstempel, Begründung und Genehmiger – unveränderlich gespeichert.
Ausnahmen mit Risk-Score ≥ 70 und Null Hits (30 Tage) sind dringend zu prüfen – sie öffnen eine TLS-Blindstelle ohne aktiven Nutzen.
Der Bericht-Export (Risk ≥ 40) eignet sich direkt als Nachweis für DORA- und NIS2-Kontrollen im Bereich „Kryptografie und Zertifikats-Management".

Verwandte Artikel

314 – SSL/TLS-Inspection-Bypass (End-User-Antrag) 450 – Kill-Switch — Notfall-Isolation 480 – Compliance-Evidence-Collector 481 – Audit-Log