Konvergenz verschiedener Arten von Proxys für SASE

Einheitlicher SASE Rolle Cyber ​​Threat Hunting

Warum Proxys in SASE?

Vorbei sind die Zeiten, in denen die Sicherheit auf Paketebene als ausreichend angesehen wurde. Aufgrund der Komplexität von Angriffen wird es immer wichtiger, eine gründliche Inhaltsprüfung für verschiedene Arten von Schutzmaßnahmen durchzuführen. Aufgrund verteilter Arbeitskräfte und verteilter Anwendungen ist der identitätsbewusste Zugriff eine wichtige Anforderung. Das Blog-Post geht detailliert auf die Anforderungen im Zusammenhang mit dem identitätsbewussten Zugriff ein. Eine umfassende Inhaltsprüfung und identitätsbewusster Zugriff auf der API-/Anwendungsressourcenebene erfordern die Beendigung von Client-Verbindungen, die Inhaltsprüfung zur Bedrohungserkennung und Zugriffskontrolle sowie den Aufbau von Verbindungen über Proxys. Daher viele SASE Lösung Implementieren Sie Sicherheit durch Proxys.

Proxy-Typen

Sie haben vielleicht schon von verschiedenen Arten von Proxys gehört – Forward, Reverse und Transparent. Die Hauptfunktionalität aller Arten von Proxys ist gleich. Hier ist die Funktionalität auf höchstem Niveau aufgeführt.

  • Halten Sie den Verkehr in den Griff
  • Beenden Sie Clientverbindungen.
  • Authentifizieren Sie Clients.
  • Benutzeridentität abrufen.
  • Stellen Sie Verbindungen zu Servern her.
  • TLS-Entschlüsselung und -Verschlüsselung
  • Überprüfen Sie die IP- und Domänenreputation.
  • Führen Sie identitätsbasierte Zugriffskontrollen durch.
  • Ausführen CASB Funktionen.
  • Überprüfen Sie, ob Daten verloren gegangen sind, und verhindern Sie Datenverluste.
  • Führen Sie die Funktion zur Erkennung/Verhinderung von Einbrüchen aus.
  • Führen Sie die Webanwendungs-Firewall-Funktion aus.
  • Suchen Sie nach Malware- und Exploit-Indikatoren im Datenverkehr und handeln Sie.

Wie sie sich voneinander unterscheiden, basiert auf folgenden Faktoren:

  • Erhalten von Datenverkehr zur Bedrohungsprüfung und Zugriffskontrolle
  • Authentifizieren von Benutzern und Identifizieren der Benutzer

Transparenter Proxy-Typ

Bei diesem Typ wissen Clients und Server nichts von der Anwesenheit von Proxys. Diese Proxys erfassen den Datenverkehr von den Netzwerkroutern, über die der Datenverkehr weitergeleitet wird. Es liegt in der Verantwortung der Netzwerkadministratoren, sicherzustellen, dass der Datenverkehr von Bürobenutzern und von WFH-Benutzern über ent geleitet wirderpRise-Routing-Entitäten. Um sicherzustellen, dass der Datenverkehr von WFH-Benutzern über Ent geleitet wirderpSteigende Router, es ist gängige Praxis, sie auszunutzen VPN Clients zur Verbindung mit EnterpAufstiegsnetzwerke. Im Fall von SD-WAN, VPN Tunnel enden bei VPN Konzentratoren am nächstgelegenen PoP-Standort.

Die Benutzerauthentifizierung und entsprechende Benutzeridentifizierung erfolgt über

  • Explizites Portal
  • On-Demand-Portal
  • VPN Tunnelbau
  • TLS-Client-Zertifikat

Beim „Explicit Portal“ melden sich Benutzer proaktiv am Portal an. Der Portaldienst authentifiziert den Benutzer mithilfe von enterpAufstieg Authentifizierungssysteme. Nach erfolgreicher Validierung der Benutzeranmeldeinformationen notiert es die IP-Adresse des Benutzers (von der Quell-IP der Verbindung) und informiert die Proxys über Benutzer-ID und IP-Adresszuordnungsinformationen. Sobald der Proxy diese Zuordnungen kennt, identifiziert er den Benutzer anhand der IP-Adresse des Datenverkehrs und führt eine identitätsbewusste Richtliniendurchsetzung durch.

Wenn der Benutzer eine Sitzung initiiert, ohne sich proaktiv beim Portal zu authentifizieren, kann der Proxy den Benutzer zum Portal umleiten. Da der Portalzugriff bedarfsorientiert erfolgt, wird diese Authentifizierungsmethode auch als bedarfsorientierte Portalauthentifizierung bezeichnet. Zu beachten ist, dass die Umleitung des Benutzers zum Portal nur möglich ist, wenn die Verbindung HTTP/HTTPS-basiert ist. Bei HTTPS ist eine Umleitung erst nach TLS-Entschlüsselung möglich. Im Falle des Zugriffs auf nicht-enterpWenn Sie Dienste/Sites aufrufen, ist es erforderlich, das Serverzertifikat mit ent nachzuahmenerpRise besitzt ein CA-Zertifikat. Darüber hinaus hilft die Umleitung nicht, wenn es sich bei dem Benutzer nicht um einen menschlichen Benutzer handelt, der den Browser verwendet. Trotz dieser Einschränkungen ist es für den Proxy immer noch eine leistungsstarke Möglichkeit, den Benutzer zu authentifizieren und zu identifizieren.

Wie kurz besprochen, Teil der Ent zu seinerpAufstiegsnetzwerke, WFH-Benutzer (Work From Home) müssen eine Verbindung zum Ent herstellenerpAufstiegsnetzwerke über VPN Tunnel. VPN Beim Tunnelaufbau wird bereits eine Benutzerauthentifizierung durchgeführt. VPN Konzentratoren weisen jedem Client die eindeutige private IP-Adresse zu. Clients können für die Verwendung konfiguriert werden VPN Tunnel und damit diese IP-Adresse als Quelle für die meisten Verbindungen (einschließlich deaktiviertem Split-Tunneling). VPN Konzentratoren haben die Möglichkeit, die dem Client zugewiesene IP-Adresse und die Zuordnung der Benutzer-ID (Initiator-ID) externen Parteien bekannt zu geben. Proxys verwenden diese Zuordnung, um die Sitzungen für einen Benutzer zu einem späteren Zeitpunkt zu identifizieren, wenn die Clients Sitzungen initiieren.

Wenn die in der TLS-Sitzung eingerichteten Clientprogramme über ein TLS-Clientzertifikat verfügen, kann es zur Authentifizierung und Identifizierung des Benutzers verwendet werden. Dies wird heute nur noch sehr selten verwendet SASE, aber es ist eine der verfügbaren Optionen.

Ein großer Vorteil des transparenten Proxy-Typs besteht darin, dass er den gesamten Protokollverkehr erfassen kann, nicht nur HTTP/HTTPS. Ein weiterer großer Vorteil besteht darin, dass am Ent keine spezielle Konfiguration erforderlich isterpAufstieg Client-Maschinen oder Server-Maschinen.

Diese Art von Proxys weist nur wenige Nachteile auf. Da der Benutzer anhand der im Datenverkehr beobachteten IP-Adresse identifiziert wird, erhalten alle Anwendungen auf diesem Benutzercomputer die gleiche Sicherheitsbehandlung. Wenn es sich um einen Mehrbenutzercomputer handelt, erhalten alle Benutzer dieses Computers die gleiche Sicherheitsbehandlung/dieselben Privilegien. Wenn diese IP-Adresse mehrere Computer per NAT aktiviert, erhalten alle Computer hinter dieser NAT-IP-Adresse die gleiche Zugriffs- und Sicherheitsbehandlung. Stellen Sie sich einen Fall vor, in dem der Laptop eines Benutzers mit Malware infiziert ist. Malware erhält denselben Zugriff, der für diesen Benutzer definiert wurde, da Malware Teil desselben Computers ist, von dem aus sich der Benutzer beim Portal anmeldet. Aus diesem Grund sollten transparente Proxy-Typen zumindest für HTTP/HTTPS-Sitzungen mit Vorsicht verwendet werden.

Ein weiterer Nachteil besteht darin, dass diese Art von Proxys erforderlich ist VPN Client muss in den Geräten vorhanden sein. Obwohl dies bei verwalteten Geräten kein Problem darstellt, kann es eine Herausforderung sein, Mitarbeiter von der Installation zu überzeugen VPN Client auf mitarbeitereigenen Geräten.

Forward-Proxy-Typ

Forward-Proxys sind für Client-Geräte gedacht, die mit externen Diensten/Sites kommunizieren. Clientanwendungen sind so konfiguriert, dass sie über einen Forward-Proxy mit externen Diensten kommunizieren. Clientanwendungen werden mit Proxy-FQDN/IP und Port konfiguriert, auf dem Proxys lauschen. Im Falle eines transparenten Proxys haben die Quell- und Ziel-IP-Adresse der Sitzung niemals eine Proxy-IP-Adresse. Im Falle eines Forward-Proxys erfolgen Verbindungen vom Client zur Proxy-IP-Adresse und die Verbindung zum Server erfolgt über die Proxy-IP-Adresse.

PAC-Dateien werden verwendet, um die Client-Anwendungen wie Browser mit Proxy-Einstellungen zu konfigurieren. Die PAC-Datei ermöglicht die Auswahl der Weiterleitung des Datenverkehrs an verschiedene Proxys basierend auf den Zieldienstdomänen. PAC-Dateien werden über Systemverwaltungslösungen oder über den WPAD-Dienst (Web Proxy Auto Discovery) an die Client-Browser verteilt.

Clientanwendungen mit den Proxy-Einstellungen kommunizieren immer mit dem Proxy. Auf diese Weise erfassen Forward-Proxys den Datenverkehr. Bei TLS-Verbindungen wie HTTPS alle TCP Die Verbindung beginnt mit der Transaktion „HTTP CONNECT“. Diese Transaktion findet nur zwischen dem Client und dem Proxy statt. Nach dieser HTTP CONNECT-Transaktion werden die Daten zwischen Client und Server durch den Proxy vermittelt. Die Transaktion „HTTP CONNECT“ verfügt über ein Host-Header-Feld, dessen Wert vom Proxy verwendet wird, um den endgültigen Ziel-FQDN und -Port zu bestimmen. Im Fall von HTTP2.0 beginnt jede Stream-Verbindung mit der Transaktion „HTTP CONNECT“. Wie Sie vielleicht bemerkt haben, besteht keine Notwendigkeit, Datenverkehr an Ent zu sendenerpRise-Router für den Proxy, um den Datenverkehr zu erfassen. Das heißt, der Datenverkehr geht direkt an den Proxy. Auf diese Weise ist es netzwerkunabhängig.

Forward-Proxys können die Benutzer auch über Proxy-Authenticate- und Proxy-Authorization-Header authentifizieren und identifizieren. Bei TLS-Verbindungen werden diese Header als Antwort bzw. Anfrage in HTTP CONNECT-Transaktionen gesendet. Zu beachten ist, dass zur Authentifizierung und Identifizierung des Benutzers keine Entschlüsselung von TLS-Verbindungen erforderlich ist. Es ist keine Portalauthentifizierung erforderlich. Ein zusätzlicher Vorteil besteht darin, dass viele Browser und Clientanwendungen Kerberos als Teil der Proxy-Authentifizierung unterstützen. Dadurch kann sich jeder Benutzer, der sich an seinem Gerät anmeldet, automatisch beim Proxy authentifizieren, ohne dass zusätzliche Anmelde-Popups erforderlich sind (auch als SSO bezeichnet).

Die Verwendung des Forward-Proxy-Typs für Clients, die mit externen Diensten kommunizieren, bietet mehrere Vorteile. Einige davon sind unten aufgeführt.

  • Die Benutzerauthentifizierung und -identifizierung ist deterministisch. Wenn der Benutzer beim Typ „Transparenter Proxy“ vergisst, sich proaktiv beim Portal zu authentifizieren, ist eine On-Demand-Portal- oder Captive-Portal-Umleitung zur Benutzerauthentifizierung nur nach TLS-Entschlüsselung möglich. Einige enterpUnternehmen lassen keine TLS-Entschlüsselung für Websites zu, die personenbezogene Daten sammeln. Wenn Websites das Zertifikats-Pinning einführen, wird von transparenten Proxys nicht erwartet, dass sie das Zertifikat imitieren, so dass eine TLS-Entschlüsselung nicht möglich ist. In diesen Fällen kann der Benutzer nicht ermittelt werden, um eine identitätsbewusste Richtliniendurchsetzung zu ermöglichen. Beim Forward-Proxy-Typ ist die Benutzerauthentifizierung und -identifizierung deterministisch, da die Authentifizierungsphase des Proxys vor dem TLS-Austausch stattfindet.
  • Wie bereits erwähnt, ist der Forward-Proxy netzwerkunabhängig und kann mit jedem Netzwerk funktionieren, solange Clientanwendungen mit Proxy-Einstellungen konfiguriert sind. Es besteht keine Notwendigkeit VPN Der Client bleibt in den Geräten präsent, auch wenn die Benutzer von zu Hause aus arbeiten.
  • Da viele Clientanwendungen Kerberos unterstützen, erhält der Benutzer SSO-Erfahrung.
  • Encrypted Client Hello (ECH) in TLS 1.3+ erfreut sich in der Branche zunehmender Beliebtheit. Wenn ECH eingeführt wird, ist SNI nicht sichtbar und daher kann der transparente Proxy-Typ nicht einmal grundlegende Funktionen ausführen URL Filterung und Zugriffskontrolle. Beim Forward-Proxy-Typ kennt der Proxy aufgrund der HTTP-CONNECT-Transaktion den Ziel-FQDN, auch wenn ECH übernommen wird. Das heißt, der Forward-Proxy-Typ ist ECH-sicher.
  • Es gibt kein IP-Whitelisting. Jede Clientanwendung muss sich separat beim Proxy authentifizieren und ist daher sehr sicher.

Es gibt auch einige Nachteile. Es funktioniert nur für HTTP/HTTPS-Verkehr. Obwohl die meisten Clientanwendungen Proxy-Einstellungen unterstützen, ist dies bei einigen nicht der Fall.

Reverse-Proxy-Typ

Reverse-Proxys werden zum Frontend von Serveranwendungen verwendet. Reverse-Proxys werden verwendet, um Dienste vor Bedrohungen zu schützen, RBAC bereitzustellen, TLS-Sitzungen zu beenden und auch für den Lastausgleich der Verkehrssitzungen zwischen mehreren Dienstinstanzen.

Reverse-Proxy erfasst den Datenverkehr über DNS Methoden. FQDN jedes EintragserpDer Rise-Dienst, der Mitarbeitern oder öffentlichen Benutzern zugänglich gemacht wird, wird in ent konfigurierterperhebt euch DNS Server, die auf die IP-Adressen von Reverse-Proxy-Instanzen verweisen. Aus diesem Grund kann jedes Mal, wenn ein Benutzer versucht, eine Verbindung zum ent herzustellenerpBei steigenden Diensten landet der entsprechende Datenverkehr in den Reverse-Proxys.

Reverse-Proxys beenden auch HTTPS/HTTP-Sitzungen. Als Teil dieses Prozesses authentifizieren sie auch Benutzer und identifizieren dann Benutzer der Sitzungen über OIDC-, SAMLv2- und SPENGO/Kerberos-Methoden. Bei der App-to-App-Kommunikation werden Benutzer auch anhand von TLS-Zertifikaten identifiziert.

SASE Proxy

Für eine Grundierung SASE, lesen Sie bitte den Blogbeitrag auf SASE entschlüsseln. Wie Sie vielleicht bemerkt haben, SASE Von Lösungen wird erwartet, dass sie umfassende Sicherheit bieten – Kunden sichern, sichern SaaS Daten und Sicherung enterpAufstiegsanwendungen. Wie beschrieben in Identitätsbewusst-SASE In einem Blogbeitrag sind identitätsbasierte Zugriffskontrollen das Hauptmerkmal von SASE. Obwohl viele enterpAnstiege können allein mit dem HTTP/HTTPS-Zugriff auskommen, einige erfordern möglicherweise auch Zugriffskontrollen für andere Protokolle. Aufgrund dieser Bedürfnisse glauben wir das SASE Der Proxy fungiert als transparent für Nicht-HTTP-Verkehr und für Clientanwendungen, die keine Proxy-Einstellungen unterstützen. Der SASE Proxy fungiert als Forward-Proxy für Client-Anwendungen, die auf das Internet zugreifen und SaaS Dienste zur Bereitstellung einer deterministischen identitätsbasierten Zugriffskontrolle und auch zur Zukunftssicherheit bei der Einführung von ECH. Der SASE Der Proxy fungiert auch als Reverse-Proxy, um ent zu schützenerpAufstiegsanwendungen. Diese Konvergenz mehrerer Proxy-Typen ist für den Erfolg erforderlich SASE Lösung.

  • CTO Insights-Blog

    Die Aryaka Die CTO Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE Themen. Für Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.

Über den Autor

Srini Addepalli
Srini Addepalli ist ein Sicherheits- und Edge-Computing-Experte mit mehr als 25 Jahren Erfahrung. Srini verfügt über mehrere Patente in Netzwerk- und Sicherheitstechnologien. Er hat einen BE (Hons)-Abschluss in Elektrotechnik und Elektronik von BITS, Pilani in India.
CTO-Einblicke

2023 EnterpRise Network Transformation Report

Bericht herunterladen >>

Einheitlicher SASE Whitepaper

Herunterladen Whitepaper >>

Strategische Roadmap für EnterpAufstieg Networking

Bericht herunterladen >>