安全网关(SWG)在 SASE/SSE 解决方案中发挥着至关重要的作用,该解决方案旨在确保互联网连接的安全。 其主要目的是保护用户免受在线威胁,并在组织内执行可接受的访问政策。 SWG 通过拦截用户流量和采用各种安全引擎(包括执行访问策略)来实现这一目标。 只有符合组织访问策略并被认为是干净的流量才允许通过。 目前 95% 的互联网流量都已加密,要实现 SASE/SSE 解决方案的全面安全,就必须具备解密这些流量的能力。 虽然大部分流量都可以通过 MITM(中间人)TLS 解密技术解密,但用户隐私问题也随之出现,尤其是当用户访问处理个人身份信息(PII)的网站或银行网站时。 此外,某些应用软件供应商已开始采用证书锁定技术,以完全防止 MITM TLS 解密。 这些发展提出了一些问题,即在 SASE 层面应用的安全性如何,同时还能为企业提供价值。 这就是声誉安全引擎的发展势头所在。 本文介绍了可普遍应用的安全引擎(无论是否使用 TLS 解密),从而强调了 SWG 对于互联网连接的价值。 它还探索了在解密 TLS 流量上运行的安全引擎,从而实现全面的安全措施。
SASE 所有组件共有的通用功能
由于 SASE 安全系统的访问控制以身份为中心,因此认证和授权是所有 SASE 组件所需的基本功能。 关于身份感知 SASE和身份代理的文章介绍了不同的身份验证方法和多种身份验证服务接口。此外,《SASE 中的代理》一文深入探讨了用于捕获从用户流向互联网、用户流向 SaaS 服务以及用户流向企业应用的流量的技术。 不过,本文主要关注 SWG 组件的安全引擎。 请注意,本文也没有深入探讨所有 SASE 组件共享的其他共同功能,如集中配置管理和可观察性功能。
安全引擎和通用政策评估
在 SASE 框架中,所有安全引擎都是根据管理策略运行的,这些策略提供了规范系统行为的规则和行动。 每个安全引擎可由多个策略表组成,每个表可包含多个策略。 政策由一项行动和一套规则组成。 操作 “决定系统应如何处理流量会话。 策略中的规则定义了策略被视为匹配所必须满足的条件。 规则由匹配属性及其相应值组成。 如果流量会话与指定的属性值一致,则认为规则匹配。 可在规则中使用各种匹配属性来有效执行安全策略。 这些属性的例子包括时间表(日期/时间范围)、源 IP、目的地 IP、协议/目的地端口、源端口、用户声明属性(如用户电子邮件地址、用户组、用户角色、签发人)以及JWT 声明注册表中指定的其他属性。 此外,还可以利用域名、URL、请求头和值、HTTP 方法、设备状态、UEBA 分数、用户位置、域名类别、域名信誉分数、URL 类别、URL 信誉分数、IP 安全类别、IP 信誉分数和文件信誉分数等属性。 需要注意的是,并非所有安全引擎都支持其策略中的所有匹配属性。 SASE 通过多个安全引擎对流量会话进行评估。 每个安全引擎根据其配置的策略独立决定是否允许流量会话。 如果所有安全引擎都允许流量会话继续,则 SASE 允许流量通过。 SASE 执行安全引擎的顺序通常是预定义的。 不过,某些 SASE 实现可以灵活选择安全引擎的执行顺序。 这样,管理员就可以根据自己的要求,优先处理特定的安全引擎或调整处理顺序。
在线威胁情报收集
SWG(安全网关)组件在收集在线威胁情报方面发挥着至关重要的作用。 它依靠信誉良好的供应商提供的数据源,获取各方面有价值的信息,包括
- IP 地址、域名、URL、文件和 SaaS 服务的信誉:SWG 利用威胁/数据情报馈送来评估这些实体的信誉。 这些信息有助于识别潜在的恶意或可疑来源,使系统能够做出明智的决定。
- 域名、URL 和 SaaS 服务的分类:通过利用情报源,SWG 可以确定域、URL 和 SaaS 服务所属的类别。 这种分类有助于政策执行,使组织能够根据特定类别定义细粒度的安全控制。
- 恶意软件内容分类:SWG 利用收集到的威胁情报,根据内容分析对潜在恶意软件进行分类。 通过检查内容的特征,系统可以识别并阻止或隔离恶意文件或网站,防止它们造成危害。
- 内容数据分类:SWG 还利用数据分类情报源对网络流量内容进行分类。 这种分类有助于识别可能被传输或访问的敏感或机密信息,使组织能够有效执行数据保护政策。
由于所有互联网流量和 SaaS 流量都要通过 SWG,因此它有能力收集流量的各种属性。 通过利用威胁/数据情报馈送,SWG 可以用有价值的威胁信息丰富这些属性。 这些信息不仅有助于在不同的安全引擎之间执行策略,而且还能让人看到流经 SWG 的流量中存在的威胁。 这种增强的可视性使企业能够实时检测和缓解潜在的安全风险,确保稳健的安全态势。
SSL 检查前的安全引擎
这些安全引擎会在 TLS/SSL 解密前处理流量会话。 这些安全引擎作用于所有与互联网绑定的 HTTP 流量。 这些安全引擎一旦发现任何潜在风险,就会停止流量会话。
- 基于 IP 信誉的威胁保护安全引擎:SWG 的管理员有能力根据特定的 IP 类别、IP 信誉分数和其他通用属性创建策略,从而制定量身定制的安全措施。 该引擎可为访问恶意软件和网络钓鱼内容网站的用户提供强大的保护。 该引擎利用在目标 IP 地址上收集到的全面威胁情报,有效识别并降低潜在风险,保护用户免受恶意活动的侵害。 通过评估每个 IP 地址的声誉,安全引擎可根据匹配策略,就应采取的适当行动做出明智的决策,从而确保主动和动态的安全态势。
- 基于域声誉的威胁防护安全引擎:SWG 的管理员有能力根据域类别、域声誉分数和其他通用属性创建策略,从而有效地定义所需的安全措施。 该引擎可为访问被标记为托管恶意软件和网络钓鱼内容的网站的用户提供全面保护。 该引擎利用从 HTTP CONNECT 主机标头、基于 TLS 的 HTTP 流量的 TLS SNI 和清晰 HTTP 流量的主机标头等各种来源收集的域威胁情报,对策略进行评估,以准确识别和降低潜在风险。 通过整合域名声誉数据,安全引擎可确保采取主动防御措施,加强整体安全态势,保护用户免受潜在威胁。
基于信誉的安全引擎优先考虑准确性和适应性。 这些安全引擎提供全面的策略级灵活性,使 SWG 管理员能够创建例外情况。 出于各种原因,这些例外情况至关重要,例如处理威胁情报反馈产生的误报,以及满足允许本地威胁猎手进行进一步检查的流量故意需求。 说到域名声誉安全引擎,一个重要的问题是利用哪个域名来收集情报和执行声誉策略。 出现这个问题的原因是,域名存在于多层流量中。 在流量通过 SWG 的前向代理方式流动的情况下,SWG 可从 HTTP CONNECT 请求的主机头和 TLS 服务器名称指示(SNI)字段中提取域名。 虽然主机标头和 TLS SNI 值通常是一致的,但在某些情况下也会出现差异。 因此,SWG 默认情况下会对该安全引擎进行两次检查。 当 SWG 接收到 HTTP CONNECT 请求时会进行第一次传递,而当 SWG 接收到 TLS 流量时会进行第二次传递。 这种方法可确保 SWG 能够准确评估域声誉并执行相应的策略。 然而,全部门工作组的设计是智能和高效的。 如果从 HTTP CONNECT 请求和 TLS SNI 字段中提取的域名相同,SWG 就会识别出这一冗余,从而避免再次运行信誉引擎。 这种优化有助于简化安全评估流程,减少不必要的计算开销,使 SWG 在确保全面的基于域信誉的威胁防护的同时,保持高性能水平。
访问控制引擎
除了基于信誉的威胁防护外,SWG 还提供强大的访问控制功能,允许管理员在用户访问各种互联网网站时为其提供不同的访问权限。 这一强大的安全引擎使管理员能够根据域类别创建策略,这些类别由著名的威胁情报提供商提供。 通过利用域类别,SWG 管理员可将大量互联网网站归入几个总体类别,从而简化管理体验。 这种分类系统提高了创建策略的效率和便捷性,确保管理员能够有效地定义访问控制措施,而无需对每个站点进行细化配置。 此外,访问控制引擎还提供了在策略中指定单个域名的灵活性。 这样,管理员就可以对特定站点的访问权限进行精细控制,以适应特定站点需要独特访问权限或限制的情况。 事实证明,在域分类过程中出现误报的情况下,访问控制引擎的灵活性尤其有用。 在这种情况下,管理员可以在策略中创建例外情况,以覆盖分类,确保对受影响网站进行准确的访问控制。 这种处理例外情况的能力使管理员能够在严格的安全措施和为可能被错误分类的合法网站提供必要的访问权限之间保持平衡。
SASE TLS/SSL 检测引擎
SWG TLS/SSL 检测引擎在实现需要访问 TLS/SSL 会话内容的高级访问控制和威胁防护方面发挥着至关重要的作用。 但是,TLS 检查需要对这些会话进行解密,这就需要获取私钥。 作为一个中间人(MITM)实体,SWG 无法直接访问私钥。 为了克服这一限制,TLS 检查引擎通常会采用一种技术,即使用企业信任的证书颁发机构 (CA) 模拟服务器证书。 对于来自客户端的每个新 TLS 会话,TLS 检查引擎的典型步骤流程如下:
- 与目的地服务(互联网站)建立 TLS 连接。
- 读取目的地服务提供的证书。
- 模仿证书的内容,包括证书的有效期,创建模仿证书。
- 使用企业可信 CA 签署模拟证书。
- 在与客户端的 TLS 握手过程中出示该模拟证书。
要使这一过程无缝运行,而不会导致浏览器出现安全弹出窗口,企业 CA 证书链必须作为受信任 CA 安全接入员工的机器,通常是通过他们的系统管理软件。 为尽量减少与密钥生成和签署模仿证书相关的计算开销,TLS 检查引擎会缓存模仿证书和相应的私钥,并重复使用它们,直到其使用期限到期。 虽然 TLS 检查对于高级威胁防护和访问控制来说非常理想,但企业可能会遇到不允许解密的特殊情况。 这些情况包括隐私问题,特别是在访问银行、金融或医疗保健网站时,以及使用证书钉钉的情况。 此外,对于通过浏览器或 Office 365 扩展等方式在客户端进行 TLS 加密之前已经检查过威胁的内容,企业可以选择不启用 TLS 检查。 为了灵活决定是否执行 TLS 解密,SWG TLS/SSL 检测引擎允许管理员创建策略。 这些策略可包括域类别分类,允许管理员绕过特定类别的 TLS 解密,如金融和医疗保健网站,以及企业不喜欢解密的任何其他网站。 通过提供基于策略的控制和分类,SWG TLS/SSL 检测引擎使企业能够在维护隐私和安全之间取得平衡,同时确保强大的威胁防护和先进的访问控制。
SWG PKI 基础设施
SASE 服务本质上是多租户服务,可支持多个企业。 在这种情况下,一些企业可能拥有自己的公钥基础设施(PKI),而另一些企业则可能没有任何公钥基础设施。 值得注意的是,企业 CA 证书(用于签署模拟证书)的有效期应相对较短,一般为几天,以确保稳健的安全性。 为维护安全环境,有必要定期重新签发 CA 证书。 为确保在 SWG 范围内 CA 证书私钥的安全,最好采用基于证书签名请求(CSR)的证书生成方式。 许多 SWG 提供自己的 PKI 基础设施,以便向其 SWG 数据平面实例签发中间 CA 证书(SWG CA 证书)。 如果企业没有自己的 PKI 基础设施,则 SWG 的 PKI 基础设施会自动代表企业创建父 CA 和根 CA 证书。 如果企业确实有自己的 PKI 基础设施,则 SWG 的 PKI 基础设施会与企业的 PKI 基础设施建立联系,以获得已签署的上级 CA 证书。 获得父 CA 证书后,它将用于签署 SWG CA 证书,确保用于签署模拟证书的证书的真实性和完整性。 PKI 基础设施被认为是 SWG 的关键组成部分,因为它在确保用于签署模拟证书的私人密钥的安全方面起着至关重要的作用。 通过有效管理 PKI 基础设施(包括定期重新签发 CA 证书)和遵守既定的安全惯例,SWG 可以确保在多租户 SASE 服务环境中使用的证书的完整性和可信性。
SSL 检查后的安全引擎
TLS/SSL 解密后,SWG 利用一套安全引擎来处理流量会话,并识别任何潜在风险。 这些安全引擎在确保全面保护威胁方面发挥着至关重要的作用
基于 URL 信誉的威胁防护安全引擎
SWG 管理员能够根据 URL 类别、URL 信誉分数和其他相关属性创建策略,从而有效地定义安全措施。 虽然基于域信誉的威胁防护引擎可在域级别提供防护,但在某些情况下,有必要在 URL 级别执行基于信誉的威胁防护。 对于有子栏目或不同 URL 代表网站特定部分的网站来说,这一点尤为重要。 虽然域名的整体声誉可能很好,但网站内的某些个别部分可能会受到损害或构成风险。 因此,基于 URL 的信誉安全引擎对于提供全面保护、防止用户访问恶意软件托管网站或钓鱼网站至关重要。 通过考虑特定 URL 的声誉,该引擎提高了威胁检测的准确性,并能主动拦截潜在的有害内容。 正如前面在 “SWG 预解密安全引擎 “一节中提到的,从威胁情报中获得的信誉分数有时会导致误报。 此外,在某些情况下,管理员可能希望允许流量会话继续进行,以便威胁猎手进行更深入的检查。 此外,如果在客户端层面已经采用了全面的保护措施,那么在网关层面重复威胁保护可能就没有必要了。 为了解决这些问题,解密后信誉威胁保护引擎也是由策略驱动的,使管理员能够创建例外策略。
高级访问控制引擎
除了基于信誉的威胁防护外,SWG 还提供强大的高级访问控制功能,使管理员能够在用户访问各种互联网网站时对其实施有区别的访问。 这种高级访问控制引擎与之前在 “SWG 预解密安全引擎 “部分介绍的 “访问控制引擎 “有相似之处。 不过,由于它是在 TLS 解密后运行的,因此可以根据 URL、HTTP 方法和 HTTP 请求标头提供更复杂的访问控制选项。 先进的访问控制引擎利用 URL 类别,与域名类别相比,URL 类别提供了更准确、更细化的网站分类。 通过利用 URL 类别,管理员可以有效地定义策略,根据特定 URL 进行访问管理,从而实现精细的访问控制。 与访问控制引擎类似,高级访问控制引擎也能灵活地创建例外情况,解决 URL 分类中出现误报的问题。 对于可能被错误分类或需要特殊访问权限的特定网站或内容,这些例外允许管理员覆盖默认的访问控制策略。
具有内容检查功能的安全引擎
迄今为止,所述的安全引擎一直侧重于在检测到威胁或拒绝访问时停止流量会话。 这些引擎根据最初的 HTTP 信息和请求标头运行,允许在对流量进行检查之前暂停流量。 不过,还有一些安全引擎需要对 HTTP 会话中的内容进行更深入的检查。 这些引擎需要访问请求和响应中的内容,才能有效检测威胁。 与之前的引擎不同,这些内容检测引擎不会停止整个流量,而是在检测到威胁时停止特定流量。 其中一些安全引擎不仅需要访问全部内容,还可能需要对内容进行进一步处理,然后才能利用威胁情报信息识别潜在威胁。 例如,如果文件是压缩的,就需要解压缩后才能进行分析。 此外,某些威胁情报提供商希望从 Word 文档、PowerPoint 演示文稿、OpenOffice 文件、Excel 电子表格、PDF 等不同文件类型中提取文本流。 由于这些提取和威胁检测可能需要大量计算,因此可能会给 HTTP 事务带来延迟。 为了解决这个问题,许多安全引擎都提供了两种选择:带有威胁检测和在线执行功能的在线捕获,或者带有离线威胁检测功能的在线捕获。 在在线检测模式下,流量会被捕获,威胁检测会在 HTTP 会话中进行,以便立即采取强制措施。 在离线检测模式下,流量仍会被捕获,但文本流提取和威胁检测与威胁情报反馈是在 HTTP 会话之外进行的。 在这种模式下,违规流量不会立即被拦截,但潜在威胁的可视性得以保持。 这两种模式为企业提供了兼顾在线威胁防护和用户体验的灵活性,使企业能够选择最适合自身需求的方法。
基于文件信誉的威胁防护安全引擎
SWG 集成了基于文件信誉的威胁保护安全引擎,在评估通过 HTTP 传输的文件信誉方面发挥着重要作用。 该引擎利用 SWG 的威胁情报收集功能,持续分析通过网关的内容。 随着流量的流动,威胁情报引擎会在传输过程中和文件结束时计算内容的哈希值,以确定文件的信誉分数。 如有必要,SWG 会在计算哈希值之前对内容进行解压缩。 管理员可以灵活地创建考虑文件信誉分数的策略,并根据评估结果决定是允许还是拒绝流量会话。 一旦检测到威胁,该安全引擎就会执行策略评估并停止流量的进一步传输。
反恶意软件安全引擎
集成到 SWGs 中的反恶意软件安全引擎集成了先进的威胁情报和反恶意软件功能,可有效检测和防止病毒和恶意软件渗入流量流并到达用户设备。 该引擎还通过主动监测双向流量,在防止用户在不知情的情况下传播恶意软件方面发挥着至关重要的作用。 如前所述,这些安全引擎采用各种技术来分析本地文件中的内容。 如有必要,该引擎会解压缩文件并提取文本流,然后使用威胁情报反恶意软件功能对文本流进行彻底检查。 文本流对于基于特征的分析尤为重要,它可以检测已知的恶意软件菌株。 SWG 解决方案为管理员提供了灵活性,允许他们创建策略,在检测到不同类型的恶意软件并考虑到威胁情报提供商提供的置信度时,决定要采取的适当行动。 这可确保针对恶意软件的应对措施符合特定的威胁和风险水平。 此外,SWG 还能在策略中创建例外情况,以解决性能问题、误报问题,并方便威胁猎手进行更深入的威胁检查。 这种灵活性使管理员能够对安全措施进行微调,并在保护和运行效率之间取得适当的平衡。
入侵检测与防御 (IDP) 安全引擎
IDP 安全引擎是 SWGs 不可分割的一部分,旨在识别流量流中的潜在漏洞。 利用系统漏洞是攻击者获取未授权访问、引入 rootkit 和分发恶意软件的常用方法。 这些漏洞的形式可能是缓冲区/堆栈溢出、输入验证不足或系统和应用程序配置不当。 SWG 中的 IDPS 可以检测针对客户端机器的漏洞攻击,并识别试图利用互联网上第三方服务的受损客户端,防止企业资产成为进一步攻击的发射台。 SWGs 中的 IDP 引擎可提供准确的检测,误报率较低,原因有以下几点:
- 访问清除数据:IDP 引擎可以访问已清除加密的流量数据,从而有效地分析和检测潜在的攻击。
- 访问重新组合和重新排序的数据:该引擎可访问经过重建和重新排序的数据流,确保对任何恶意活动进行全面分析和检测。
- 访问 HTTP 协议提取和解码数据:通过从 SWGs 的代理部分提取和解码数据,IDP 引擎可以更深入地了解内容,从而更有效地检测攻击模式。
IDP 引擎采用各种类型的签名来检测攻击,包括协议异常签名、流量异常签名和基于内容的签名。 威胁情报提供商提供广泛的签名数据库,但加载每个签名都会严重影响系统性能。 为解决这一问题,SWG 根据签名适用性等因素提供签名调整功能。 例如,可以避免使用与基于 HTTP 的流量无关的签名或检查 HTTP 中非解密内容的签名。 调整还可以考虑风险影响、威胁情报提供商提供的签名置信度等因素。 SWG 解决方案还提供基于策略的流量选择,使管理员能够确定哪些流量应进行 IDP 处理。 这种灵活性可避免对已在客户端端点扫描过攻击的流量进行多余的 IDP 扫描。
数据丢失防护安全引擎
将数据丢失防护(DLP)安全引擎纳入 SWG 已变得越来越普遍。 这一功能强大的引擎旨在防止用户在未经适当授权的情况下无意中传输或接收机密的财务、会计或业务敏感信息。 通过利用基于策略的控制和用户属性,DLP 安全引擎可监控和降低意外或故意数据泄漏的风险。 为了有效履行职责,DLP 安全引擎需要访问数据传输的完整内容。 它可以提取文本流,并根据数据的敏感度对其进行分析和分类。 数据分类智能提供商利用文本流生成分类结果,其中包含各种属性,如合规标签(如个人身份信息或 PII)、通用机密文档数据(如财务信息)和自定义敏感数据。 为了便于精确控制敏感数据,SWG 为管理员提供了创建包含不同分类属性和值的策略的能力。 这些策略与通用匹配属性相结合,使管理员能够定义细粒度的访问控制,并指定如何处理不同类型的敏感数据。
定制安全引擎(自带安全引擎)
虽然 SASE/SWG 提供商提供全面的安全保障,但不断变化的威胁环境,特别是零日攻击,可能需要额外的增强。 企业安全团队通常会积极主动地捕捉威胁,识别新的攻击模式。 他们还可以通过威胁情报共享,从其他企业安全团队那里获得新的威胁模式。 在这两种情况下,这些团队都可能希望 SWG 保护其资产免受这些新出现的威胁模式和攻击。 虽然 SWG 通常拥有配置完善的 IDP 引擎和其他安全引擎,但在某些情况下,配置系统可能缺乏灵活性,无法创建用于检测复杂威胁模式的规则。 仅依靠 SWG 提供商为这些保护添加新的软件逻辑可能会耗费大量时间。 此外,企业观察到的威胁模式可能是针对其环境的,并不适用于一般用途。 在这种情况下,SWG 供应商可能会犹豫是否及时发布新软件来满足这些定制要求。 因此,需要灵活地集成企业安全部门或托管安全服务提供商(MSSP)开发的新定制程序化安全引擎。 SWG 解决方案预计将提供开放式接口,用于集成新的安全引擎。 有些 SWG 提供添加 Lua 脚本和 WebAssembly (WASM) 模块的功能。 利用这些功能,企业可以开发新的安全引擎,如 Lua 脚本或 WASM 模块,并将其集成到 SWG 基础设施中。 SWG 确保这些自定义引擎不会干扰其他安全引擎,并在 SWG 管理员设定的配置限制内消耗计算资源。 通过集成定制的程序化安全引擎,SWGs 使企业能够增强其安全态势,及时应对新出现的威胁,并有效保护其资产。 这种灵活性使企业能够利用其内部的安全专业知识,或与 MSSP 合作开发定制的安全引擎,以满足其独特的安全要求。
摘要
总之,本文概述了安全上网的安全引擎。 值得注意的是,不同的 SASE/SWG 解决方案所包含的所有安全引擎可能会有所不同,而且随着新型互联网威胁的出现,可能会添加新的安全引擎。 SASE/SWG 解决方案利用安全引擎,如基于 IP 信誉的威胁保护、基于域信誉的威胁保护、访问控制、TLS/SSL 检测、基于文件信誉的威胁保护、反恶意软件、入侵检测与防御、数据丢失防护等。 这些安全引擎可加强整体安全措施,并在访问互联网时提供保护,防止各种威胁。 随着威胁形势的不断变化,企业应定期评估其安全需求,并确保其所选择的 SASE 解决方案包含必要的安全引擎,以有效缓解新出现的风险。
-
CTO Insights 博客
Aryaka CTO Insights 博客系列为网络、安全和 SASE 主题提供思想领导力。 有关 Aryaka 产品规格,请参阅 Aryaka 数据表。