SASE安全架构包括以下几个组件:PoP实例、边缘、安全即服务、威胁检测与响应管理(MDR)。
一.PoP实例-流量处理引擎
1.PoP结构
核心云网络, 由地理上分布的PoPs(Points of Presence)组成,每个PoP运行多个处理服务器。每个PoP运行一个专门构建的软件栈,在所有流量上应用路由、加密、优化和高级安全服务。PoP由运行相同软件栈的多个功能强大的现有服务器(commodity off the shelf servers,COTS)组成。
2.PoP的可扩展性和灵活性
PoPs的设计是为了处理大量的流量。通过将服务器实例添加到相同的PoP(垂直扩展)或在新位置添加PoP(水平扩展),可以扩展处理能力。因为云平台来维护基础设施,所以客户不必调整他们的网络安全环境。所有许可的内容,即使被加密,也保证被所有受许可的安全服务的PoP处理。
如果PoP服务器实例失效,受影响边缘自动重新连接到同一个PoP的可用服务器。如果一个PoP完全失效,受影响的边缘将连接到最近的可用PoP。无论企业资源连接到哪个PoP, 云始终维护一个一致的逻辑企业网络,创建相应程度的可用性和弹性。
3.PoP内置抗DDoS
PoPs的设计用以处理大流量的同时。弹性能力使云能够适应客户增长和抵御各种类型的泛洪攻击。为了减少攻击面,只有授权站点和移动用户可以连接并发送流量到主干。PoP外部IP地址受特定的抗DDoS措施保护,如SYN cookie机制和速率控制机制。云平台拥有一组IP,部分用于自动将目标站点和移动用户重新分配到未受影响的地址。
4.PoP全连接加密
所有PoP都是通过完全加密的隧道互相连接。加密算法是AES-256,并使用受限制的对称密钥(每个PoP实例)。密钥每60分钟变化一次,以减少暴露。
5.深度包检测
PoP软件包括一个深度包检测(Deep Packet Inspection, DPI)引擎,该引擎以网速处理大量流量,包括报头或有效载荷。DPI引擎用于多种安全服务,包括NGFW反恶意软件、IDS/IPS和网络控制(SD-WAN)。
DPI引擎自动识别第一数据包中成千上万的应用程序和数以百万计的域名。这个健壮的库由第三方网址分类引擎和机器学习算法不断丰富,挖掘大量数据仓库建立元数据的所有流量贯穿整个云。客户还可以通过云平台工程师为他们配置自定义应用程序或策略。
6.TLS检测
PoP可以在针对高级威胁保护服务(如反恶意软件和IDPS)的TLS加密通信流上执行DPI。TLS检查必不可少,因为现在所有互联网流量大部分是加密的,恶意软件使用加密来逃避检测。启用TLS检查后,将对加密通信进行解密和检查。所有操作都是在PoP中完成的,因此没有性能限制。要解密,客户必须在其网络上安装云平台证书。客户可以创建规则来选择性地应用TLS检验流量的一个子集,如过滤数据包的应用程序中、服务领域、类别、不包括数据包从受信任的应用程序、出于合规性即使解密不是应用或配置、所有NGFW流量、URL过滤、和IPS规则涉及的元数据(如IP地址和URL)。
二.云上边缘
1.Socket和设备连接
客户通过加密的通道连接到云。隧道可以通过多种方式建立。socket是部署在物理位置的零接触设备。为了获得最佳的安全性和效率,socket通过DTLS隧道动态连接到最近的PoP。如果隧道由于PoP故障而断开连接,socket会重新将隧道连接到最近的可用PoP。或者,客户可以使用支持IPsec或GRE的设备(如UTMs或防火墙)连接到最近的PoP。
socket具备的保护措施:
- 阻断外部通信流量,只允许经过身份验证的流量
- 通过HTTPS或SSH连接内部接口的管理访问
- 管理员首次登陆强制重置密码
- 不存储数据包中的数据
- 对所有通信加密
- 通过加密通信、加密身份验证(数字签名软件包)安全分发更新
2.笔记本和移动设备客户端
云平台客户端运行在移动设备上,包括个人电脑、平板电脑和智能手机,包括Windows、Mac、iOS和Android。客户端使用设备VPN功能通过隧道连接到云。其他的VPN客户端也可以获得支持。
可以通过与Active Directory集成,或通过管理应用程序中的用户配置来启动移动用户的登陆面板。用户受邀请通过电子邮件注册到云。用户利用专用门户通过几个步骤为自己提供服务。
用户身份验证可以通过几种方式进行:
- 用户名和密码
- 多因素认证(MFA)
- 单点登录(SSO)
三.安全即服务
安全即服务是一组企业级、敏捷的网络安全功能,作为紧密集成的软件堆栈的一部分直接构建到云网络中。目前的服务包括下一代防火墙(NGFW)、安全Web网关(SWG)、高级威胁预防、安全分析和管理威胁检测和响应(MDR)服务。因为云平台控制代码,所以可以快速引入新的服务,而不会对客户环境造成影响。客户可以有选择地启用服务,配置它们来执行公司策略。
1.下一代防火墙
1)应用感知
NGFW提供完整的应用程序感知,无论端口、协议、规避技术或SSL加密。DPI引擎分类相关的上下文,如应用程序或服务,早在第一个包且没有SSL检查时。相关的信息是提取自网络元数据。Cato研究实验室不断丰富应用程序库,以扩大覆盖面。
对于网络和安全监控,整个Cato都可以使用DPI分类的上下文;对“影子IT”识别和其他趋势的网络可视化;或者用于像强制执行阻塞/允许/监视/提示规则这类的强制执行。
平台提供了一个签名和解析器的完整列表,用于识别常见的应用程序。此外,自定义应用程序定义根据端口、IP地址或域标识特定于帐户的应用程序,这两类应用程序定义可供运行在云中的安全规则使用。
2)用户感知
平台使管理员能够创建上下文安全策略,方法是基于单个用户、组或角色定义和启用对资源的访问控制。此外,平台的内置分析可以被网站、用户、组或应用程序查看,以分析用户活动、安全事件和网络使用情况。
Lan划分
VLANs
Routed Range(通过路由器连接到套接口)
Direct Range(直接到套接口的LAN段,不通过路由器)
根据定义,不同的段之间不允许流量通信,允许这样的连接需要创建局部划分规则,由平台socket执行,或者创建WAN。防火墙规则,由云在完全检查流量的情况下执行。
3)WAN流量保护
利用WAN防火墙,安全管理员可以允许或阻止组织实体(如站点、用户、主机、子网等)之间的通信。默认情况下,平台的广域网络防火墙遵循一种白名单方法,有一个隐式的任意块规则。管理员可以采用这种方法,也可以切换到黑名单方式。
4)Internet流量保护
通过使用Internet防火墙,安全管理员可以为各种应用程序、服务和网站设置允许或阻止网络实体(如站点、个人用户、子网等)之间的规则。默认情况下,平台的Internet防火墙遵循黑名单方法,有一个隐式的any-any permit规则。因此,要阻止访问,必须定义显式阻止一个或多个网络实体到应用程序的连接规则。管理员可以在必要时切换到白名单方式。
2.安全Web网关
SWG允许客户根据预定义和/或自定义的类别监视、控制和阻止对网站的访问。云在对特定可配置类别的每个访问上创建安全事件的审计跟踪。管理员可以根据URL类别配置访问规则。
3.URL分类与过滤规则
即来即用,平台提供了一个预定义策略的几十种不同的URL类别,包括安全类别、疑似垃圾邮件和恶意软件。作为默认策略的一部分,每个类别设置一个可定制的默认行为。使管理员能够创建自己的类别和使用自定义规则,提高网络访问控制的细粒度。
4.URL过滤操作
每一类URL过滤规则都可进行以下操作:
- 允许
- 阻断
- 监控
- 提示
5.反恶意软件
作为先进的威胁防护的一部分,平台提供了一系列优质服务。其中之一是反恶意软件保护。客户可以使用这项服务来检查广域网和互联网流量中的恶意软件。反恶意软件的处理包括:
1)深度包检测
对流量有效载荷的深度包检查,用于普通和加密的流量(如果启用)。文件对象从流量流中提取,检查,并在适当的时候阻塞。
2)真实文件类型检测
用于识别通过网络传输的文件的真实类型,而不考虑它的文件扩展名或内容类型头(在HTTP/S传输的情况下)。平台使用此功能来检测所有潜在的高风险文件类型,预防了由攻击者或错误配置导致的Web应用程序技术被绕过。IPS也使用这个引擎,它在流分析期间提供了更多的上下文,并且是检测恶意网络行为的关键因素。
3)恶意软件检测与预测
首先,基于签名和启发式的检查引擎,根据全球最新威胁情报数据库随时保持更新,扫描传输中的文件,以确保对已知的恶意软件的有效保护。
其次,与行业领导者SentinalOne合作,利用机器学习和人工智能来识别和阻止未知的恶意软件。未知的恶意软件包括0day,或更为常见的目的是逃避基于签名检查引擎的已知威胁的多态变种。有了签名和基于机器学习的保护,客户数据具备隐私保护,因为平台不与基于云的存储库共享任何东西。
此外,客户有能力配置反恶意软件服务,或者监测或者阻止,为特定的文件在一段时间的设置例外,也可以实现。
6.IPS
入侵防御系统(IPS)检查入站和出站、广域网和互联网流量,包括SSL流量。IPS可以在监视模式(IDS)下运行,而不执行阻塞操作。在IDS模式下,将评估所有流量并生成安全事件。IPS有多层保护组成。
1)IPS保护引擎组件
行为特征
IPS会寻找偏离正常或预期行为的系统或用户。通过在多个网络使用大数据分析和深度流量可视化来确定正常行为。例如,发出到一个包含可疑TLD的未知URL的HTTP连接。经过研究室分析后,这类流量可能是恶意流量。
名誉反馈(Reputaion Feeds)
利用内部和外部的情报反馈,IPS可以检测或防止受威胁或恶意资源的入站或出站通信。Cato研究室分析许多不同的反馈,针对云中的流量进行验证,并在将它们应用于客户生产流量之前对它们进行过滤以减少误报。反馈每小时更新一次,不需要用户担心。
协议批准
验证包与协议的一致性,减少使用异常流量的攻击面。
已知漏洞
IPS可以防止已知的CVE,并可以快速适应,将新的漏洞合并到IPS的DPI引擎中。这种能力的一个例子是IPS能够阻止利用永恒之蓝漏洞在组织内广泛传播勒索软件。
恶意软件通讯
基于名誉反馈和网络行为分析,可以阻止C&C服务器的出站流量。
定位
IPS执行客户特定的地理保护政策,根据源和/或目的地国家选择性地停止通信。
网络行为分析
能检测并防止南北向网络扫描。
平台中IPS的一个独有特点是,它是作为一种服务提供的,不需要客户的参与。研究室负责更新、优化和维护内部开发的IPS签名(基于对客户流量的大数据收集和分析),以及来自外部的安全反馈。平台支持签名流程,因此客户不必平衡防护和性能,以避免在处理负载超过可用容量时进行意外升级。
7.安全事件API
平台持续收集网络和安全事件数据,用于故障排除和事件分析。一年的数据被默认保存,管理员可以通过Cato管理应用程序访问和查看这些数据。允许客户导出事件日志文件(JSON或CEF格式),以便与SIEM系统集成或存储在远程位置。日志文件存储在安全的位置,每个帐户与其他帐户相互独立。
四.威胁检测与响应管理
MDR使企业能够将检测受危害端点的资源集中度和技术依赖性过程交给平台SOC团队。平台无缝地将完整的MDR服务应用于客户网络。自动收集和分析所有的网络流量,验证可疑活动,并向客户通知被破坏的端点。这就是网络和安全聚合的力量,简化了各种规模企业的网络保护。
MDR服务能力
1)零痕迹网络可视化
为每个Internet和WAN流量初始化收集完整的元数据,包括原始客户端、时间轴和目的地址。所有这些都不需要部署网络探测器。
2)自动化威胁狩猎
高级算法寻找流数据仓库中的异常,并将它们与威胁情报来源相关联。这个机器学习驱动的过程会产生少量可疑事件,以供进一步分析。
3)专家级威胁验证
随着时间的推移,Cato安全研究员检查标记的端点和流量,并评估风险。SOC只对实际威胁发出警报。
4)威胁容器
通过配置客户网络策略来阻止C&C域名和IP地址,或断开受威胁的计算机或用户与网络的连接,可以自动包含已验证的实时威胁。
5)整改协助
SOC将建议风险的威胁级别、补救措施和威胁跟踪,直到威胁消除为止。
6)报告与溯源
每个月,SOC将发布一份自定义报告,总结所有检测到的威胁、它们的描述和风险级别,以及受影响的端点。
平台的安全即服务使各种规模的组织都可以在任意地方应用企业级通信流量。数据中心、分支机构、移动用户和云资源可以在统一的策略下以相同的防御设置进行保护。作为一种云服务,无缝地优化和调整安全控制,以应对新出现的威胁,而不需要客户的参与。与基于应用程序的安全性相关的传统工作,例如容量规划、规模调整、升级和补丁,不再需要,从而将这种责任从安全团队中剥离出来。
