Das Secure Web Gateway (SWG) spielt eine entscheidende Rolle in der SASE/SSE-Lösung, die darauf abzielt, internetgebundene Verbindungen zu sichern. Sein Hauptziel ist es, die Benutzer vor Online-Bedrohungen zu schützen und akzeptable Zugriffsrichtlinien innerhalb einer Organisation durchzusetzen. Die SWG erreicht dies, indem sie den Benutzerverkehr abfängt und verschiedene Sicherheitsmodule einsetzt, einschließlich der Durchsetzung von Zugriffsrichtlinien. Nur Datenverkehr, der den Zugriffsrichtlinien des Unternehmens entspricht und als sauber eingestuft wird, darf durchgelassen werden. Da 95 % des Internetverkehrs heute verschlüsselt ist, müssen SASE/SSE-Lösungen für eine umfassende Sicherheit in der Lage sein, diesen Verkehr zu entschlüsseln. Während der Großteil des Datenverkehrs mit MITM (Man-In-The-Middle) TLS-Entschlüsselung entschlüsselt werden kann, sind Bedenken hinsichtlich des Datenschutzes der Benutzer aufgekommen, insbesondere wenn diese Websites besuchen, auf denen personenbezogene Daten (PII) verarbeitet werden, oder Bank-Websites. Darüber hinaus haben einige Hersteller von Anwendungssoftware damit begonnen, Zertifikats-Pinning-Techniken einzusetzen, um die MITM-TLS-Entschlüsselung gänzlich zu verhindern. Diese Entwicklungen werfen Fragen über die Sicherheit auf, die auf der SASE-Ebene angewendet werden kann, während sie gleichzeitig einen Mehrwert für Unternehmen bietet. Hier gewinnen die Reputation Security Engines an Bedeutung. Dieser Artikel hebt den Wert von SWG für internetgebundene Verbindungen hervor, indem er Sicherheits-Engines beschreibt, die universell eingesetzt werden können, mit oder ohne TLS-Entschlüsselung. Außerdem werden Sicherheits-Engines erforscht, die mit entschlüsseltem TLS-Verkehr arbeiten und umfassende Sicherheitsmaßnahmen ermöglichen.

Allgemeine Merkmale, die allen Komponenten von SASE gemeinsam sind

Da sich die Zugriffskontrolle von SASE Security auf die Identität konzentriert, sind Authentifizierung und Autorisierung grundlegende Funktionen, die für alle SASE-Komponenten erforderlich sind. Die Artikel über identitätsbewusstes SASE und Identitätsbroker bieten Einblicke in verschiedene Authentifizierungsmethoden und Schnittstellen mit mehreren Authentifizierungsdiensten. Darüber hinaus befasst sich der Artikel Proxies in SASE mit den Techniken, die verwendet werden, um den Datenverkehr zu erfassen, der von Benutzern zum Internet, von Benutzern zu SaaS-Diensten und von Benutzern zu Unternehmensanwendungen fließt. Dieser Artikel konzentriert sich jedoch hauptsächlich auf die Sicherheits-Engines der SWG-Komponente. Beachten Sie, dass dieser Artikel auch nicht auf andere gemeinsame Funktionen aller SASE-Komponenten eingeht, wie z.B. die zentrale Konfigurationsverwaltung und die Beobachtungsfunktionen.

Sicherheits-Engines und generische Richtlinienbewertung

Im Rahmen von SASE arbeiten alle Sicherheits-Engines auf der Grundlage von verwalteten Richtlinien, die die Regeln und Aktionen für das Verhalten des Systems festlegen. Jede Security Engine kann aus mehreren Richtlinientabellen bestehen, und jede Tabelle kann mehrere Richtlinien enthalten. Eine Richtlinie besteht aus einer Aktion und einer Reihe von Regeln. Mit ‚Aktion‘ legen Sie fest, wie das System die Traffic-Sitzung behandeln soll. Regeln innerhalb einer Richtlinie definieren die Bedingungen, die erfüllt sein müssen, damit die Richtlinie als zutreffend angesehen wird. Regeln bestehen aus übereinstimmenden Attributen und ihren entsprechenden Werten. Wenn die Verkehrssitzung mit den angegebenen Attributwerten übereinstimmt, wird die Regel als übereinstimmend betrachtet. Innerhalb von Regeln können verschiedene übereinstimmende Attribute verwendet werden, um Sicherheitsrichtlinien effektiv durchzusetzen. Beispiele für diese Attribute sind Zeitplan (Datum/Zeitspanne), Quell-IP, Ziel-IP, Protokoll/Ziel-Port, Quell-Port, Attribute für Benutzeransprüche wie Benutzer-E-Mail-Adresse, Benutzergruppe, Benutzerrolle, Aussteller und andere, wie in der JWT-Registrierung für Ansprüche angegeben. Zusätzlich können Attribute wie Domänenname, URL, Anfrage-Header und -Werte, HTTP-Methode, Gerätestatus, UEBA-Score, Standort des Benutzers, Domänenkategorie, Domänen-Reputations-Score, URL-Kategorie, URL-Reputations-Score, IP-Sicherheitskategorie, IP-Reputations-Score und Datei-Reputations-Score ebenfalls verwendet werden. Es ist wichtig zu wissen, dass nicht alle Sicherheits-Engines alle passenden Attribute in ihren Richtlinien unterstützen. SASE wertet Verkehrssitzungen aus, indem es sie durch mehrere Sicherheits-Engines leitet. Jede Sicherheits-Engine entscheidet unabhängig, ob sie die Datenverkehrssitzung auf der Grundlage ihrer konfigurierten Richtlinien zulässt. Wenn alle Sicherheits-Engines die Fortsetzung der Datenverkehrssitzung erlauben, lässt SASE den Datenverkehr passieren. Die Reihenfolge, in der SASE die Sicherheitsmodule ausführt, ist in der Regel vordefiniert. Bestimmte SASE-Implementierungen bieten jedoch die Möglichkeit, die Reihenfolge zu wählen, in der die Sicherheitsmodule ausgeführt werden. Auf diese Weise können Administratoren bestimmten Sicherheits-Engines Priorität einräumen oder die Verarbeitungsreihenfolge nach ihren Anforderungen anpassen.

Inline-Erfassung von Bedrohungsdaten

Die SWG-Komponente (Secure Web Gateway) spielt eine entscheidende Rolle beim Sammeln von Inline-Bedrohungsdaten. Es stützt sich auf Daten-Feeds von seriösen Anbietern, um wertvolle Informationen über verschiedene Aspekte zu erhalten, darunter:

  • Reputation von IP-Adressen, Domänen, URLs, Dateien und SaaS-Diensten: Die SWG nutzt Bedrohungs-/Dateninformationen, um die Reputation dieser Entitäten zu bewerten. Diese Informationen helfen bei der Identifizierung potenziell bösartiger oder verdächtiger Quellen und ermöglichen es dem System, fundierte Entscheidungen zu treffen.
  • Kategorisierung von Domains, URLs und SaaS-Diensten: Mit Hilfe der Intelligence Feeds kann die SWG die Kategorien bestimmen, zu denen Domains, URLs und SaaS-Dienste gehören. Diese Kategorisierung hilft bei der Durchsetzung von Richtlinien und ermöglicht es Unternehmen, granulare Sicherheitskontrollen auf der Grundlage bestimmter Kategorien zu definieren.
  • Malware-Klassifizierung von Inhalten: Die SWG nutzt die gesammelten Bedrohungsdaten, um potenzielle Malware auf der Grundlage einer Inhaltsanalyse zu klassifizieren. Durch die Untersuchung der Merkmale des Inhalts kann das System bösartige Dateien oder Websites identifizieren und blockieren oder unter Quarantäne stellen und so verhindern, dass sie Schaden anrichten.
  • Datenklassifizierung von Inhalten: Die SWG nutzt auch Datenklassifizierungs-Intelligence-Feeds, um den Inhalt des Webverkehrs zu klassifizieren. Diese Klassifizierung hilft bei der Identifizierung sensibler oder vertraulicher Informationen, die übertragen oder auf die zugegriffen werden kann, und ermöglicht es Unternehmen, Datenschutzrichtlinien wirksam durchzusetzen.

Da der gesamte Internet- und SaaS-Datenverkehr über die SWG läuft, kann sie verschiedene Attribute des Datenverkehrs erfassen. Durch die Nutzung von Bedrohungs-/Daten-Intelligence-Feeds kann die SWG diese Attribute mit wertvollen Bedrohungsinformationen anreichern. Diese Informationen erleichtern nicht nur die Durchsetzung von Richtlinien über verschiedene Sicherheits-Engines hinweg, sondern bieten auch einen Einblick in die Bedrohungen, die im Datenverkehr, der durch die SWG fließt, vorhanden sind. Diese verbesserte Transparenz ermöglicht es Unternehmen, potenzielle Sicherheitsrisiken in Echtzeit zu erkennen und abzumildern und so eine solide Sicherheitslage zu gewährleisten.

Sicherheits-Engines vor der SSL-Prüfung

Diese Sicherheits-Engines verarbeiten Verkehrssitzungen, bevor sie über TLS/SSL entschlüsselt werden. Diese Sicherheits-Engines wirken auf den gesamten internetgebundenen HTTP-Verkehr. Diese Sicherheits-Engines stoppen den Datenverkehr, wenn sie ein potenzielles Risiko erkennen.

  • IP-Reputations-basierte Sicherheits-Engine zum Schutz vor Bedrohungen: Die Administratoren der SWG sind in der Lage, Richtlinien auf der Grundlage bestimmter IP-Kategorien, IP-Reputationsbewertungen und anderer allgemeiner Attribute zu erstellen, so dass sie maßgeschneiderte Sicherheitsmaßnahmen einrichten können. Diese Engine bietet zuverlässigen Schutz für Benutzer, die auf Websites zugreifen, die dafür bekannt sind, dass sie Malware und Phishing-Inhalte enthalten. Die Engine nutzt umfassende Bedrohungsdaten, die über die Ziel-IP-Adressen gesammelt werden, um potenzielle Risiken effizient zu identifizieren und abzuschwächen und die Benutzer vor bösartigen Aktivitäten zu schützen. Durch die Bewertung der Reputation jeder IP-Adresse trifft die Sicherheits-Engine fundierte Entscheidungen über die geeigneten Maßnahmen, die in Übereinstimmung mit der entsprechenden Richtlinie zu ergreifen sind, und sorgt so für eine proaktive und dynamische Sicherheitslage.
  • Domänenreputationsbasierte Sicherheits-Engine zum Schutz vor Bedrohungen: Die Administratoren von SWG können Richtlinien auf der Grundlage von Domänenkategorien, Domänenreputationswerten und anderen generischen Attributen erstellen, so dass sie die gewünschten Sicherheitsmaßnahmen effektiv definieren können. Diese Engine bietet umfassenden Schutz für Benutzer, die auf Websites zugreifen, die als Host für Malware und Phishing-Inhalte gekennzeichnet sind. Auf der Grundlage von Domain-Bedrohungsdaten, die aus verschiedenen Quellen gesammelt werden, darunter HTTP CONNECT Host Header, TLS SNI für TLS-basierten HTTP-Verkehr und Host Header von klarem HTTP-Verkehr, wertet die Engine Richtlinien aus, um potenzielle Risiken genau zu identifizieren und abzuschwächen. Durch die Einbeziehung von Domain-Reputationsdaten sorgt die Sicherheits-Engine für proaktive Verteidigungsmaßnahmen, stärkt die allgemeine Sicherheitslage und schützt die Benutzer vor potenziellen Bedrohungen.

Bei den reputationsbasierten Sicherheits-Engines stehen sowohl Genauigkeit als auch Anpassungsfähigkeit im Vordergrund. Diese Sicherheits-Engines bieten eine umfassende Flexibilität auf Richtlinienebene, so dass SWG-Administratoren die Möglichkeit haben, Ausnahmen zu erstellen. Diese Ausnahmen sind aus verschiedenen Gründen von entscheidender Bedeutung, z. B. um Fehlalarme zu vermeiden, die durch Threat Intelligence Feeds erzeugt werden, und um den Datenverkehr für lokale Bedrohungsjäger zu ermöglichen, die weitere Untersuchungen durchführen. Wenn es um die Sicherheits-Engine für die Domain-Reputation geht, stellt sich die wichtige Frage, welcher Domainname für die Sammlung von Informationen und die Durchsetzung von Reputationsrichtlinien verwendet werden soll. Diese Frage stellt sich, weil der Domänenname in mehreren Schichten des Datenverkehrs vorkommt. Im Falle von Datenverkehr, der über die Forward-Proxy-Methode der SWG fließt, kann die SWG den Domänennamen aus dem Host-Header der HTTP CONNECT-Anfrage und aus dem Feld TLS Server Name Indication (SNI) extrahieren. Obwohl die Werte des Host-Headers und der TLS-SNI normalerweise übereinstimmen, gibt es Fälle, in denen sie voneinander abweichen können. Daher führen SWGs standardmäßig zwei Durchläufe durch diese Sicherheits-Engine durch. Der erste Durchlauf erfolgt, wenn die SWG die HTTP CONNECT-Anfrage erhält, während der zweite Durchlauf erfolgt, wenn die SWG den TLS-Verkehr empfängt. Dieser Ansatz stellt sicher, dass die SWG die Reputation der Domäne genau bewerten und die entsprechenden Richtlinien durchsetzen kann. Die SWGs sind jedoch so konzipiert, dass sie intelligent und effizient sind. Wenn die aus der HTTP CONNECT-Anfrage extrahierten Domänennamen und das TLS SNI-Feld identisch sind, erkennt die SWG diese Redundanz und vermeidet die Notwendigkeit eines zweiten Durchlaufs der Reputationsmaschine. Diese Optimierung trägt dazu bei, den Prozess der Sicherheitsevaluierung zu rationalisieren und unnötigen Rechenaufwand zu reduzieren. Dadurch kann die SWG ein hohes Leistungsniveau beibehalten und gleichzeitig einen umfassenden, auf der Reputation der Domäne basierenden Schutz vor Bedrohungen gewährleisten.

Zugangskontrollmodul

Zusätzlich zum reputationsbasierten Schutz vor Bedrohungen bieten SWGs robuste Zugriffskontrollfunktionen, die es Administratoren ermöglichen, Benutzern differenzierten Zugriff auf verschiedene Internet-Sites zu gewähren. Diese leistungsstarke Sicherheits-Engine ermöglicht es Administratoren, Richtlinien auf der Grundlage von Domänenkategorien zu erstellen, die von renommierten Threat Intelligence-Anbietern bereitgestellt werden. Durch den Einsatz von Domain-Kategorien können SWG-Administratoren die Verwaltung vereinfachen, indem sie eine große Anzahl von Internet-Sites in einige wenige übergreifende Kategorien einordnen. Dieses Klassifizierungssystem verbessert die Effizienz und die Einfachheit der Richtlinienerstellung und stellt sicher, dass Administratoren effektiv Maßnahmen zur Zugriffskontrolle definieren können, ohne dass eine detaillierte Konfiguration für jeden einzelnen Standort erforderlich ist. Darüber hinaus bietet die Zugriffskontroll-Engine auch die Flexibilität, einzelne Domänennamen innerhalb der Richtlinien anzugeben. So können Administratoren den Zugriff auf bestimmte Websites genau steuern und Situationen berücksichtigen, in denen bestimmte Websites besondere Zugriffsrechte oder -beschränkungen erfordern. Die Flexibilität der Zugriffskontroll-Engine erweist sich als besonders nützlich in Szenarien, in denen bei der Domain-Kategorisierung falsch-positive Ergebnisse auftreten. In solchen Fällen können Administratoren Ausnahmen innerhalb der Richtlinien erstellen, um die Kategorisierung außer Kraft zu setzen und eine genaue Zugriffskontrolle für die betroffenen Standorte zu gewährleisten. Diese Fähigkeit, Ausnahmen zu behandeln, ermöglicht es Administratoren, ein Gleichgewicht zwischen strengen Sicherheitsmaßnahmen und der Bereitstellung des notwendigen Zugangs für legitime Websites, die möglicherweise falsch klassifiziert wurden, zu wahren.

SASE TLS/SSL Inspection Engine

Die SWG TLS/SSL-Inspektions-Engine spielt eine entscheidende Rolle bei der Ermöglichung erweiterter Zugriffskontrollen und dem Schutz vor Bedrohungen, die Zugriff auf den Inhalt von TLS/SSL-Sitzungen erfordern. Bei der TLS-Inspektion müssen diese Sitzungen jedoch entschlüsselt werden, was den Zugriff auf die privaten Schlüssel erfordert. Als Man-In-The-Middle (MITM)-Einheit hat die SWG keinen direkten Zugriff auf die privaten Schlüssel. Um diese Einschränkung zu überwinden, verwenden TLS-Prüfmodule in der Regel eine Technik, bei der sie das Serverzertifikat mithilfe der vertrauenswürdigen Zertifizierungsstelle (CA) des Unternehmens imitieren. Der typische Ablauf der Schritte, die die TLS-Inspektions-Engine für jede neue TLS-Sitzung des Clients durchführt, sieht wie folgt aus:

  • Stellen Sie eine TLS-Verbindung zum Zieldienst (Internet-Seite) her.
  • Rufen Sie das vom Zieldienst vorgelegte Zertifikat ab.
  • Imitieren Sie den Inhalt des Zertifikats, einschließlich seiner Lebensdauer, um ein Scheinzertifikat zu erstellen.
  • Signieren Sie das gefälschte Zertifikat mit der vertrauenswürdigen Zertifizierungsstelle des Unternehmens.
  • Präsentieren Sie dieses gefälschte Zertifikat während des TLS-Handshakes mit dem Client.

Damit dieser Prozess nahtlos funktioniert, ohne Sicherheits-Popups in Browsern zu verursachen, ist es wichtig, dass die Zertifikatskette der Enterprise CA auf den Rechnern der Mitarbeiter sicher als vertrauenswürdige CA eingebunden ist, in der Regel über deren Systemverwaltungssoftware. Um den mit der Schlüsselgenerierung und dem Signieren von Scheinzertifikaten verbundenen Rechenaufwand zu minimieren, legt die TLS-Prüfmaschine die Scheinzertifikate und die entsprechenden privaten Schlüssel im Cache ab und verwendet sie bis zum Ablauf ihrer Lebensdauer. Obwohl die TLS-Inspektion für den erweiterten Schutz vor Bedrohungen und die Zugangskontrolle sehr wünschenswert ist, kann es in Unternehmen bestimmte Fälle geben, in denen die Entschlüsselung nicht erlaubt ist. Zu diesen Fällen gehören Bedenken hinsichtlich des Datenschutzes, insbesondere beim Zugriff auf Bank-, Finanz- oder Gesundheits-Websites, sowie Szenarien, in denen Zertifikats-Pinning eingesetzt wird. Darüber hinaus können sich Unternehmen dafür entscheiden, die TLS-Prüfung nicht für Inhalte zu aktivieren, die bereits vor der TLS-Verschlüsselung auf der Client-Seite auf Bedrohungen geprüft werden, z. B. durch Browser- oder Office 365-Erweiterungen. Damit Sie flexibel entscheiden können, ob eine TLS-Entschlüsselung durchgeführt werden soll oder nicht, können Administratoren mit der SWG TLS/SSL-Inspektions-Engine Richtlinien erstellen. Diese Richtlinien können Klassifizierungen von Domänenkategorien enthalten, die es Administratoren ermöglichen, die TLS-Entschlüsselung für bestimmte Kategorien wie Finanz- und Gesundheits-Websites sowie alle anderen Websites zu umgehen, für die das Unternehmen die Entschlüsselung für unangenehm hält. Durch die richtlinienbasierte Kontrolle und Kategorisierung ermöglicht die SWG TLS/SSL Inspection Engine Unternehmen, ein Gleichgewicht zwischen der Wahrung der Privatsphäre und der Sicherheit herzustellen und gleichzeitig einen robusten Schutz vor Bedrohungen und erweiterte Zugriffskontrollen zu gewährleisten.

SWG PKI-Infrastruktur

SASE-Dienste sind von Natur aus mandantenfähig und unterstützen mehrere Unternehmen. In diesem Zusammenhang verfügen einige Unternehmen über eine eigene PKI-Infrastruktur (Public Key Infrastructure), während andere möglicherweise gar keine PKI-Infrastruktur besitzen. Es ist wichtig zu beachten, dass das Zertifikat der Unternehmenszertifizierungsstelle (das zum Signieren der gefälschten Zertifikate verwendet wird) eine relativ kurze Lebensdauer haben sollte, typischerweise einige Tage, um robuste Sicherheit zu gewährleisten. Die regelmäßige Neuausstellung des CA-Zertifikats ist notwendig, um eine sichere Umgebung zu erhalten. Um die Sicherheit des privaten Schlüssels des CA-Zertifikats im SWG-Kontext zu gewährleisten, wird die Zertifikatserstellung auf der Basis von Certificate Signing Request (CSR) bevorzugt. Viele SWGs stellen ihre eigene PKI-Infrastruktur zur Verfügung, um Zwischen-CA-Zertifikate (SWG-CA-Zertifikate) für ihre SWG-Datenebenen-Instanzen auszustellen. In Fällen, in denen ein Unternehmen nicht über eine eigene PKI-Infrastruktur verfügt, erstellt die PKI-Infrastruktur der SWG automatisch die übergeordneten CA- und Root-CA-Zertifikate im Namen des einzelnen Unternehmens. In Fällen, in denen ein Unternehmen über eine eigene PKI-Infrastruktur verfügt, stellt die PKI-Infrastruktur der SWG eine Kommunikation mit der PKI-Infrastruktur des Unternehmens her, um das signierte Zertifikat der übergeordneten CA zu erhalten. Sobald das übergeordnete CA-Zertifikat vorliegt, wird es zum Signieren der SWG-CA-Zertifikate verwendet, um die Authentizität und Integrität der Zertifikate sicherzustellen, die zum Signieren von Mimic-Zertifikaten verwendet werden. Die PKI-Infrastruktur wird als kritische Komponente der SWG angesehen, da sie eine entscheidende Rolle bei der Sicherung der privaten Schlüssel spielt, die zum Signieren der unechten Zertifikate verwendet werden. Durch die effektive Verwaltung der PKI-Infrastruktur, einschließlich der regelmäßigen Neuausstellung von CA-Zertifikaten, und die Einhaltung etablierter Sicherheitspraktiken können die SWGs die Integrität und Vertrauenswürdigkeit der in der mandantenfähigen SASE-Serviceumgebung verwendeten Zertifikate gewährleisten.

Sicherheits-Engines nach SSL-Prüfung

Nach der TLS/SSL-Entschlüsselung setzt die SWG eine Reihe von Sicherheits-Engines ein, um die Datenverkehrssitzungen zu verarbeiten und potenzielle Risiken zu identifizieren. Diese Sicherheits-Engines spielen eine entscheidende Rolle bei der Gewährleistung eines umfassenden Schutzes vor Bedrohungen

Sicherheits-Engine zum Schutz vor URL-Bedrohungen durch Reputation

SWG-Administratoren sind in der Lage, Richtlinien auf der Grundlage von URL-Kategorien, URL-Reputationswerten und anderen relevanten Attributen zu erstellen, so dass sie effektiv Sicherheitsmaßnahmen definieren können. Die Engine zum Schutz vor reputationsbasierten Bedrohungen auf Domänenebene bietet zwar Schutz auf Domänenebene, aber es gibt Fälle, in denen ein reputationsbasierter Schutz vor Bedrohungen auf URL-Ebene erforderlich ist. Dies ist besonders wichtig für Websites, die Unterabschnitte oder verschiedene URLs haben, die bestimmte Bereiche der Website repräsentieren. Auch wenn der Ruf der Domain insgesamt gut ist, könnten einzelne Bereiche der Website gefährdet sein oder ein Risiko darstellen. Daher ist die URL-basierte Reputations-Sicherheits-Engine für einen umfassenden Schutz unverzichtbar und verhindert, dass Benutzer auf von Malware gehostete oder Phishing-Websites zugreifen. Durch die Berücksichtigung der Reputation bestimmter URLs verbessert diese Engine die Genauigkeit der Bedrohungserkennung und ermöglicht die proaktive Blockierung potenziell schädlicher Inhalte. Wie bereits im Abschnitt „SWG Pre Decryption Security Engines“ erwähnt, können Reputationsbewertungen, die aus Threat Intelligence Feeds abgeleitet werden, manchmal zu falsch positiven Ergebnissen führen. Darüber hinaus gibt es Fälle, in denen Administratoren eine Datenverkehrssitzung für eine eingehendere Prüfung durch Bedrohungsjäger zulassen möchten. Wenn außerdem bereits ein umfassender Schutz auf Client-Ebene besteht, ist eine Verdoppelung des Schutzes auf Gateway-Ebene möglicherweise unnötig. Um diese Szenarien zu bewältigen, sind die Engines zum Schutz vor Reputationsbedrohungen nach der Entschlüsselung auch richtliniengesteuert, so dass Administratoren Ausnahmeregeln erstellen können.

Erweiterte Zugriffskontroll-Engine

Zusätzlich zum reputationsbasierten Schutz vor Bedrohungen bieten SWGs robuste, erweiterte Zugriffskontrollfunktionen, die es Administratoren ermöglichen, Benutzern beim Zugriff auf verschiedene Internetseiten einen differenzierten Zugriff zu gewähren. Diese erweiterte Zugriffskontroll-Engine hat Ähnlichkeiten mit der zuvor beschriebenen „Access Control Engine“ im Abschnitt „SWG Pre Decryption Security Engines“. Da es jedoch nach der TLS-Entschlüsselung arbeitet, bietet es noch ausgefeiltere Zugriffskontrolloptionen auf der Grundlage von URLs, HTTP-Methoden und HTTP-Anfrage-Headern. Die erweiterte Zugriffskontrolle nutzt URL-Kategorien, die im Vergleich zu Domain-Kategorien eine genauere und detailliertere Klassifizierung von Websites ermöglichen. Durch die Verwendung von URL-Kategorien können Administratoren effektiv Richtlinien zur Regulierung des Zugriffs auf der Grundlage bestimmter URLs definieren und so eine fein abgestufte Zugriffskontrolle ermöglichen. Ähnlich wie die Zugriffskontroll-Engine bietet auch die erweiterte Zugriffskontroll-Engine die Flexibilität, Ausnahmen zu erstellen, um Szenarien zu bewältigen, in denen bei der URL-Kategorisierung falsch positive Ergebnisse auftreten. Mit diesen Ausnahmen können Administratoren die Standard-Zugriffskontrollrichtlinien für bestimmte Websites oder Inhalte außer Kraft setzen, die möglicherweise falsch eingestuft werden oder besondere Zugriffsberechtigungen erfordern.

Sicherheits-Engines mit Inhaltskontrolle

Bisher haben sich die beschriebenen Sicherheits-Engines darauf konzentriert, Verkehrssitzungen zu stoppen, wenn Bedrohungen erkannt werden oder der Zugriff verweigert wird. Diese Engines arbeiten auf der Grundlage von anfänglichen HTTP-Informationen und Anfrage-Headern und ermöglichen die Aussetzung des Datenverkehrs, bis der Datenverkehr überprüft wurde. Es gibt jedoch zusätzliche Sicherheits-Engines, die eine tiefere Prüfung der Inhalte von HTTP-Sitzungen erfordern. Diese Engines benötigen Zugriff auf den Inhalt sowohl der Anfragen als auch der Antworten, um Bedrohungen effektiv zu erkennen. Im Gegensatz zu den vorherigen Engines stoppen diese Content Inspection Engines nicht den gesamten Datenverkehr, sondern nur den spezifischen Datenverkehr, sobald eine Bedrohung erkannt wird. Einige dieser Sicherheits-Engines benötigen nicht nur Zugriff auf den gesamten Inhalt, sondern müssen diesen unter Umständen auch noch weiter verarbeiten, bevor sie Threat Intelligence-Feeds zur Identifizierung potenzieller Bedrohungen nutzen können. Wenn eine Datei zum Beispiel komprimiert ist, muss sie für die Analyse dekomprimiert werden. Darüber hinaus erwarten bestimmte Threat Intelligence-Anbieter die Extraktion von Textströmen aus verschiedenen Dateitypen wie Word-Dokumenten, PowerPoint-Präsentationen, OpenOffice-Dateien, Excel-Tabellen, PDFs und mehr. Da diese Extraktionen und Erkennungen von Bedrohungen rechenintensiv sein können, kann es bei den HTTP-Transaktionen zu Latenzzeiten kommen. Deshalb bieten viele dieser Sicherheits-Engines zwei Optionen: Inline-Erfassung mit Bedrohungserkennung und Inline-Durchsetzung oder Inline-Erfassung mit Offline-Bedrohungserkennung. Im Inline-Erkennungsmodus wird der Datenverkehr erfasst, und die Erkennung von Bedrohungen erfolgt innerhalb der HTTP-Sitzung, so dass sofortige Durchsetzungsmaßnahmen möglich sind. Im Offline-Erkennungsmodus wird der Datenverkehr weiterhin aufgezeichnet, aber die Extraktion des Textstroms und die Erkennung von Bedrohungen mit Threat Intelligence Feeds werden außerhalb der HTTP-Sitzung durchgeführt. In diesem Modus wird der anstößige Datenverkehr nicht sofort gestoppt, aber die Sicht auf potenzielle Bedrohungen bleibt erhalten. Diese beiden Modi bieten Unternehmen die Flexibilität, ein Gleichgewicht zwischen Inline-Bedrohungsschutz und Benutzerfreundlichkeit herzustellen, so dass sie den Ansatz wählen können, der ihren Anforderungen am besten entspricht.

Sicherheits-Engine zum Schutz vor Bedrohungen auf Basis der Dateireputation

Der SWG enthält eine auf Dateireputation basierende Sicherheits-Engine zum Schutz vor Bedrohungen, die eine wichtige Rolle bei der Bewertung der Reputation von über HTTP übertragenen Dateien spielt. Diese Engine nutzt die Funktion der SWG zur Erfassung von Bedrohungsdaten, die kontinuierlich die Inhalte analysiert, die das Gateway passieren. Während der Datenverkehr fließt, berechnet die Threat Intelligence Engine den Hash des Inhalts, sowohl während der Übertragung als auch am Ende der Datei, um den Reputationswert der Datei zu ermitteln. Falls erforderlich, dekomprimiert die SWG den Inhalt, bevor sie den Hash berechnet. Administratoren haben die Flexibilität, Richtlinien zu erstellen, die die Dateireputationsbewertung berücksichtigen und auf der Grundlage dieser Bewertung festlegen, ob die Datenverkehrssitzung zugelassen oder abgelehnt wird. Diese Sicherheits-Engine führt die Richtlinienbewertung durch und stoppt die weitere Übertragung des Datenverkehrs, sobald die Bedrohung erkannt wird.

Anti Malware Sicherheits-Engine

Die in die SWGs integrierte Anti-Malware Security Engine verfügt über fortschrittliche Bedrohungsdaten und Anti-Malware-Funktionen, um Viren und Malware effektiv zu erkennen und zu verhindern, dass sie in den Datenverkehr eindringen und auf die Geräte der Benutzer gelangen. Diese Engine spielt auch eine entscheidende Rolle, wenn es darum geht, Benutzer an der unwissentlichen Verbreitung von Malware zu hindern, indem sie den Datenverkehr in beide Richtungen aktiv überwacht. Wie bereits erwähnt, verwenden diese Sicherheits-Engines verschiedene Techniken, um den Inhalt der lokalen Dateien zu analysieren. Falls erforderlich, dekomprimiert die Engine die Dateien und extrahiert den Textstrom, der dann mit Hilfe der Anti-Malware-Funktionen der Threat Intelligence einer gründlichen Prüfung unterzogen wird. Der Textstrom ist besonders wichtig für die signaturbasierte Analyse, die die Erkennung bekannter Malware-Stämme ermöglicht. SWG-Lösungen bieten Administratoren Flexibilität und ermöglichen es ihnen, Richtlinien zu erstellen, die festlegen, welche Maßnahmen bei der Erkennung verschiedener Arten von Malware und unter Berücksichtigung der vom Threat Intelligence Provider bereitgestellten Vertrauensstufe zu ergreifen sind. Dadurch wird sichergestellt, dass die Reaktionen auf Malware auf die jeweilige Bedrohung und das Risikoniveau zugeschnitten sind. Darüber hinaus bieten SWGs die Möglichkeit, innerhalb der Richtlinien Ausnahmen zu erstellen, um Leistungsprobleme und Fehlalarme zu beheben und den Bedrohungsjägern eine gründlichere Prüfung der Bedrohungen zu ermöglichen. Diese Flexibilität ermöglicht es Administratoren, die Sicherheitsmaßnahmen fein abzustimmen und das richtige Gleichgewicht zwischen Schutz und betrieblicher Effizienz zu finden.

Intrusion Detection & Prevention (IDP) Sicherheits-Engine

Die IDP-Sicherheits-Engine ist ein integraler Bestandteil der SWGs und dient dazu, potenzielle Schwachstellen in den Datenströmen zu erkennen. Das Ausnutzen von Systemschwachstellen ist eine gängige Methode von Angreifern, um sich unbefugten Zugang zu verschaffen, Rootkits einzuschleusen und Malware zu verbreiten. Diese Schwachstellen können in Form von Puffer-/Stapelüberläufen, unzureichender Eingabevalidierung oder Fehlkonfigurationen in Systemen und Anwendungen auftreten. Der IDPS innerhalb der SWGs kann Exploit-Angriffe auf Client-Rechner erkennen und kompromittierte Clients identifizieren, die versuchen, Dienste von Drittanbietern im Internet auszunutzen, um zu verhindern, dass Unternehmensressourcen zu Startrampen für weitere Angriffe werden. Die IDP-Engine in SWGs bietet aus mehreren Gründen eine genaue Erkennung mit weniger Fehlalarmen:

  • Zugriff auf unverschlüsselte Daten: Die IDP-Engine kann auf unverschlüsselte Verkehrsdaten zugreifen und so potenzielle Angriffe effektiv analysieren und erkennen.
  • Zugriff auf neu zusammengesetzte und neu sequenzierte Daten: Die Engine kann auf Datenströme zugreifen, die rekonstruiert und neu geordnet wurden, um eine umfassende Analyse und Erkennung bösartiger Aktivitäten zu gewährleisten.
  • Zugriff auf extrahierte und dekodierte HTTP-Protokolldaten: Da die IDP-Engine über extrahierte und dekodierte Daten aus dem Proxy-Teil der SWGs verfügt, erhält sie einen tieferen Einblick in den Inhalt und kann so Angriffsmuster effektiver erkennen.

Die IDP-Engine setzt verschiedene Arten von Signaturen ein, um Angriffe zu erkennen, darunter Signaturen für Protokollanomalien, Signaturen für Verkehrsanomalien und inhaltsbasierte Signaturen. Anbieter von Bedrohungsdaten bieten umfangreiche Signaturdatenbanken an, aber das Laden jeder einzelnen Signatur kann die Systemleistung erheblich beeinträchtigen. Um diesem Problem zu begegnen, bieten SWGs die Möglichkeit, Signaturen auf der Grundlage von Faktoren wie der Anwendbarkeit der Signatur zu optimieren. So können beispielsweise Signaturen vermieden werden, die für den HTTP-basierten Datenverkehr nicht relevant sind, oder solche, die nicht entschlüsselte Inhalte innerhalb von HTTP untersuchen. Bei der Optimierung können auch Faktoren wie die Auswirkung von Risiken und die Vertrauenswürdigkeit von Signaturen berücksichtigt werden, die von Threat Intelligence-Anbietern bereitgestellt werden. SWG-Lösungen bieten außerdem eine richtlinienbasierte Auswahl des Datenverkehrs, mit der Administratoren festlegen können, welcher Datenverkehr von IDP verarbeitet werden soll. Durch diese Flexibilität können redundante IDP-Scans für Datenverkehr vermieden werden, der bereits auf der Ebene des Client-Endpunkts auf Angriffe untersucht wurde.

Data Loss Prevention Sicherheits-Engine

Die Einbeziehung der Data Loss Prevention (DLP) Security Engine in SWGs hat sich zunehmend durchgesetzt. Diese leistungsstarke Engine wurde entwickelt, um zu verhindern, dass Benutzer versehentlich vertrauliche Finanz-, Buchhaltungs- oder sensible Geschäftsdaten ohne entsprechende Autorisierung übertragen oder empfangen. Durch den Einsatz von richtlinienbasierten Kontrollen und Benutzerattributen überwacht und mindert die DLP Security Engine das Risiko von versehentlichen oder absichtlichen Datenlecks. Um ihre Aufgabe effektiv erfüllen zu können, benötigt die DLP Security Engine Zugriff auf den vollständigen Inhalt der Datenübertragungen. Es extrahiert Textströme und ermöglicht die Analyse und Klassifizierung der Daten auf der Grundlage ihrer Empfindlichkeit. Anbieter von Datenklassifizierungslösungen nutzen den Textstrom, um Klassifizierungsergebnisse zu generieren, die verschiedene Attribute wie Compliance-Kennzeichnungen (z.B. personenbezogene Daten oder PII), allgemeine vertrauliche Dokumentdaten (z.B. Finanzinformationen) und benutzerdefinierte sensible Daten umfassen. Um die genaue Kontrolle über sensible Daten zu erleichtern, bieten SWGs Administratoren die Möglichkeit, Richtlinien zu erstellen, die verschiedene Klassifizierungsattribute und -werte enthalten. Diese Richtlinien in Kombination mit generischen Abgleichsattributen ermöglichen es Administratoren, granulare Zugriffskontrollen zu definieren und festzulegen, wie verschiedene Arten von sensiblen Daten behandelt werden sollen.

Benutzerdefinierte Sicherheits-Engines (Bring Your Own Security Engine)

SASE/SWG-Anbieter bieten zwar eine umfassende Sicherheitsabdeckung, aber die sich ständig weiterentwickelnde Bedrohungslandschaft, insbesondere Zero-Day-Angriffe, erfordern möglicherweise zusätzliche Erweiterungen. Sicherheitsteams in Unternehmen sind oft proaktiv auf der Suche nach Bedrohungen und identifizieren neue Angriffsmuster. Sie können auch neue Bedrohungsmuster von anderen Sicherheitsteams des Unternehmens durch den Austausch von Bedrohungsdaten erhalten. In beiden Fällen möchten diese Teams vielleicht, dass SWGs ihre Ressourcen gegen diese neuen Bedrohungsmuster und Angriffe schützen. Obwohl SWGs in der Regel über gut konfigurierte IDP-Engines und andere Sicherheits-Engines verfügen, gibt es Situationen, in denen die Konfigurationssysteme nicht flexibel genug sind, um Regeln zur Erkennung komplexer Bedrohungsmuster zu erstellen. Sich ausschließlich auf SWG-Anbieter zu verlassen, um neue Software-Logik für diese Schutzmaßnahmen hinzuzufügen, kann zeitaufwändig sein. Darüber hinaus können die von Unternehmen beobachteten Bedrohungsmuster spezifisch für ihre Umgebung sein und nicht für die allgemeine Nutzung gelten. In solchen Fällen zögern die SWG-Anbieter möglicherweise, rechtzeitig neue Software zu veröffentlichen, um diese individuellen Anforderungen zu erfüllen. Daher besteht ein Bedarf an Flexibilität, um neue benutzerdefinierte programmatische Sicherheits-Engines zu integrieren, die von Sicherheitsabteilungen von Unternehmen oder Managed Security Service Providern (MSSPs) entwickelt wurden. Von SWG-Lösungen wird erwartet, dass sie offene Schnittstellen für die Einbindung neuer Sicherheitsmodule bieten. Einige SWGs bieten die Möglichkeit, Lua-Skripte und WebAssembly (WASM) Module hinzuzufügen. Mit diesen Funktionen können Unternehmen neue Sicherheits-Engines wie Lua-Skripte oder WASM-Module entwickeln und sie in die SWG-Infrastruktur integrieren. Die SWGs stellen sicher, dass diese benutzerdefinierten Engines andere Sicherheits-Engines nicht beeinträchtigen und dass sie Rechenressourcen innerhalb der von den SWG-Administratoren festgelegten Grenzen verbrauchen. Durch die Integration benutzerdefinierter programmatischer Sicherheits-Engines ermöglichen SWGs es Unternehmen, ihre Sicherheitslage zu verbessern, umgehend auf neue Bedrohungen zu reagieren und ihre Anlagen wirksam zu schützen. Dank dieser Flexibilität können Unternehmen ihr internes Sicherheits-Know-how nutzen oder mit MSSPs zusammenarbeiten, um maßgeschneiderte Sicherheits-Engines zu entwickeln, die ihre individuellen Sicherheitsanforderungen erfüllen.

Zusammenfassung

Zusammenfassend hat dieser Artikel einen Überblick über die Sicherheits-Engines für einen sicheren Internetzugang gegeben. Es ist wichtig zu beachten, dass die Einbeziehung aller Sicherheits-Engines bei den verschiedenen SASE/SWG-Lösungen variieren kann und dass neue Sicherheits-Engines hinzugefügt werden können, wenn neue Arten von Internet-Bedrohungen auftauchen. SASE/SWG-Lösungen nutzen Sicherheits-Engines wie IP-Reputations-basierten Schutz vor Bedrohungen, Domain-Reputations-basierten Schutz vor Bedrohungen, Zugriffskontrolle, TLS/SSL-Prüfung, Datei-Reputations-basierten Schutz vor Bedrohungen, Anti-Malware, Intrusion Detection & Prevention, Data Loss Prevention und andere. Diese Sicherheits-Engines verbessern die allgemeinen Sicherheitsmaßnahmen und bieten Schutz vor verschiedenen Bedrohungen beim Zugriff auf das Internet. Da sich die Bedrohungslandschaft ständig weiterentwickelt, sollten Unternehmen ihren Sicherheitsbedarf regelmäßig überprüfen und sicherstellen, dass die von ihnen gewählte SASE-Lösung die notwendigen Sicherheitsmechanismen enthält, um aufkommende Risiken wirksam zu entschärfen.

  • CTO Insights Blog

    Die Blogserie Aryaka CTO Insights bietet Vordenkerwissen zu Netzwerk-, Sicherheits- und SASE-Themen. Die Spezifikationen der Aryaka Produkte finden Sie in den Aryaka Datenblättern.