不同类型的 SASE 代理

统一 SASE 角色网络威胁猎杀

为什么要在 SASE 中使用代理？

以前认为数据包级别的安全就足够了，这种时代已经一去不复返了。由于攻击的复杂性，进行深层内容检查以提供各种保护变得势在必行。由于分布式员工和分布式应用程序，身份感知访问是一项关键要求。本博文将详细介绍与身份感知访问相关的要求。要在应用程序接口/应用程序资源层面进行深度内容检查和身份感知访问，就必须终止客户端连接，进行内容检查以检测威胁和访问控制，并通过代理建立连接。因此，许多SASE 解决方案通过代理实现安全。

代理类型

您可能听说过各种类型的代理–正向代理、反向代理和透明代理。所有类型代理的主要功能都是一样的。这里列出了高级功能。

掌握交通情况
终止客户端连接。
验证客户身份。
获取用户身份。
向服务器发送连接。
TLS 解密和加密
检查 IP 和域名声誉。
执行基于身份的访问控制。
执行 CASB 功能。
检查数据丢失并防止丢失。
执行入侵检测/预防功能。
执行网络应用程序防火墙功能。
查找流量中的恶意软件和漏洞指标并采取行动。

它们之间的区别主要基于以下因素：

为威胁检测和访问控制获取流量
验证用户和识别用户

透明代理类型

在这种类型中，客户端和服务器都不知道代理的存在。这些代理服务器会捕获来自网络路由器的流量，流量会在这些路由器上通过。网络管理员有责任确保来自办公室用户的流量和来自全时家庭用户的流量通过企业路由实体定向。为确保来自 WFH 用户的流量通过企业路由器，通常的做法是利用 VPN 客户端连接到企业网络。就 SD-WAN 而言，VPN 隧道的终点是最近 PoP 位置的 VPN 集中器。用户验证和相应的用户识别通过

明确门户
按需门户网站
建立 VPN 隧道
TLS 客户端证书

如果是 “显式门户”，用户会主动登录门户。门户服务借助企业身份验证系统对用户进行身份验证。用户凭据验证成功后，它会记录下用户的 IP 地址（来自连接的源 IP），并将用户 ID 和 IP 地址映射信息通知代理服务器。代理知道这些映射后，就能根据流量的 IP 地址识别用户，并执行身份感知策略。如果用户启动会话时没有主动与门户网站进行身份验证，那么代理可以将用户重定向到门户网站。由于门户访问是按需进行的，因此这种身份验证方法也称为按需门户身份验证。需要注意的是，只有基于 HTTP/HTTPS 的连接才能将用户重定向到门户网站。对于 HTTPS，只有在 TLS 解密后才能进行重定向。在访问非企业服务/网站时，需要用企业拥有的 CA 证书模仿服务器证书。此外，如果用户不是使用浏览器的人类用户，那么重定向也无济于事。即使有这样的注意事项，它仍然是代理验证和识别用户的有力方法。如前所述，要成为企业网络的一部分，WFH（在家办公）用户需要通过 VPN 通道连接到企业网络。 VPN 隧道的建立已经执行了用户身份验证。 VPN 集中器为每个客户端分配唯一的专用 IP 地址。可将客户端配置为使用 VPN 隧道，从而将此 IP 地址作为大多数连接的源地址（包括已禁用的分路隧道）。 VPN 集中器能够向外部公布分配给客户端的 IP 地址、用户 ID（发起者 ID）映射。当客户端启动会话时，代理会使用此映射来识别用户的会话。如果建立的 TLS 会话客户端程序拥有 TLS 客户端证书，则可用于验证和识别用户。如今，这种方法在SASE 中很少使用，但它是可用的选项之一。透明代理类型的一个主要优点是，它可以捕获所有协议流量，而不仅仅是 HTTP/HTTPS。另一个主要优点是，企业客户机或服务器无需特殊配置。这种代理的缺点很少。由于它是根据流量中观察到的 IP 地址来识别用户的，因此该用户机器中的所有应用程序都会得到相同的安全处理。如果是多用户机器，则该机器的所有用户都会获得相同的安全待遇/权限。如果该 IP 地址对多台机器进行了 NAT，那么该 NAT IP 地址后面的所有机器都将获得相同的访问和安全待遇。想一想用户笔记本电脑感染恶意软件的情况。由于恶意软件是用户登录门户网站的同一台机器的一部分，因此恶意软件获得的访问权限与为该用户定义的访问权限相同。因此，至少在 HTTP/HTTPS 会话中，应谨慎使用透明代理类型。另一个缺点是，这类代理需要在设备中安装 VPN 客户端。虽然这对受管理的设备来说不是问题，但要说服员工在员工自己的设备上安装 VPN 客户端却是一个挑战。

前向代理类型

前向代理适用于与外部服务/网站通信的客户端设备。客户端应用程序被配置为通过前向代理与外部服务通信。客户端应用程序配置了代理 FQDN/IP 和代理监听的端口。在透明代理的情况下，会话的源 IP 地址和目标 IP 地址永远不会有代理 IP 地址。在前向代理的情况下，客户端连接到代理 IP 地址，服务器连接到代理 IP 地址。 PAC 文件用于配置客户端应用程序，如带有代理设置的浏览器。 PAC 文件允许根据目的地服务域选择将流量路由到不同代理。 PAC 文件通过系统管理解决方案或 WPAD（网络代理自动发现）服务分发到客户端浏览器。使用代理设置的客户端应用程序始终与代理进行通信。这就是前向代理捕获流量的方式。对于 HTTPS 等 TLS 连接，每个 TCP 连接都以 “HTTP CONNECT “事务开始。该交易只在客户和代理之间进行。在 HTTP CONNECT 交易之后，客户端和服务器之间的数据由代理进行调解。 “HTTP CONNECT “事务有主机标头字段，代理使用其值来确定最终目标 FQDN 和端口。在 HTTP2.0 中，每个流连接都以 “HTTP CONNECT “事务开始。您可能已经注意到，代理无需向企业路由器发送流量就能捕获流量。也就是说，流量直接进入代理。因此，它与网络无关。前向代理还可以通过 proxy-authenticate 和 proxy-authorization 标头对用户进行身份验证和识别。在 TLS 连接中，这些标头分别在 HTTP CONNECT 事务的响应和请求中发送。需要注意的一点是，没有必要为验证和识别用户身份而对 TLS 连接进行解密。无需进行门户验证。还有一个好处是，许多浏览器和客户端应用程序都支持 Kerberos 作为代理身份验证的一部分。这样，任何登录到自己设备的用户都可以自动通过代理进行身份验证，无需额外弹出登录窗口（也称为 SSO）。对于与外部服务通信的客户端来说，使用前向代理类型有几个优点。下面列出了其中一些。

用户认证和识别是确定性的。在透明代理类型中，如果用户忘记主动向门户网站进行身份验证，则只有在 TLS 解密后才能按需门户网站或圈养门户网站重定向进行用户身份验证。有些企业不允许收集 PII 的网站使用 TLS 解密。如果网站采用证书固定，透明代理就不会模仿证书，从而无法进行 TLS 解密。在这些情况下，无法确定用户以提供身份感知策略执行。在前向代理类型中，由于代理身份验证阶段发生在任何 TLS 交换之前，因此用户身份验证和识别是确定的。
如前所述，前向代理与网络无关，只要客户端应用程序配置了代理设置，就可以在任何网络中使用。即使用户在家工作，也无需在设备中安装 VPN 客户端。
由于许多客户端应用程序都支持 Kerberos，因此用户可以获得 SSO 体验。
TLS 1.3+ 中的加密客户机你好（ECH）在业界越来越受欢迎。采用 ECH 后，SNI 将不可见，因此透明代理类型甚至无法进行基本的 URL 过滤和访问控制。在前向代理类型中，由于 HTTP CONNECT 事务，即使采用了 ECH，代理也知道目的地 FQDN。也就是说，前向代理类型是 ECH 安全的。
没有 IP 白名单。每个客户端应用程序都需要分别与代理进行身份验证，因此非常安全。

缺点也不多。它只适用于 HTTP/HTTPS 流量。虽然大多数客户端应用程序都支持代理设置，但也有一些不支持。

反向代理类型

反向代理用于前端服务器应用程序。反向代理用于保护服务免受威胁、提供 RBAC、终止 TLS 会话以及在多个服务实例之间平衡流量会话。反向代理通过 DNS 方法捕获流量。在企业 DNS 服务器中配置面向员工或公众用户的每个企业服务的 FQDN，使其指向反向代理实例的 IP 地址。因此，每次用户尝试连接企业服务时，相应的流量都会进入反向代理。反向代理也会终止 HTTPS/HTTP 会话。作为该流程的一部分，它们还通过 OIDC、SAMLv2 和 SPENGO/Kerberos 方法对用户进行身份验证，然后识别会话用户。在应用程序之间的通信中，用户也是通过 TLS 证书识别的。

SASE 代理

有关 SASE 的入门知识，请阅读博文 “解密 SASE“。正如您可能已经注意到的那样，SASE 解决方案有望提供全面的安全性–确保客户安全、确保 SaaS 数据安全和确保企业应用程序安全。如身份感知 SASE博文所述，基于身份的访问控制是 SASE 的主要功能。虽然许多企业可以只使用 HTTP/HTTPS 访问，但有些企业可能还需要对其他协议进行访问控制。基于这些需求，我们认为 SASE 代理应在非HTTP 流量和不支持代理设置的客户端应用程序中发挥透明作用。 SASE 代理应充当访问互联网和 SaaS 服务的客户端应用程序的前向代理，以提供基于身份的确定性访问控制，并在采用 ECH 时为未来做好准备。 SASE 代理还应作反向代理，以保护企业应用程序。成功的 SASE 解决方案需要多种代理类型的融合。

CTO Insights 博客

Aryaka CTO Insights博客系列提供有关网络、安全和SASE主题的思想领导。
有关Aryaka产品规格，请参阅Aryaka数据表。

各类 SASE 代用指标的趋同性