Aryaka Ergänzt das Führungsteam mit Branchenführern in den Bereichen Personal, Partnerschaften und Marketing

Pressemitteilung lesen > X
aryaka aryaka
«Zurück zum Blog

Das Potenzial freisetzen: Die entscheidende Rolle der Reputation in a SASE Architektur

By Srini Addepalli | 13. Juni 2023

Das Secure Web Gateway (SWG) spielt dabei eine entscheidende Rolle SASE/SSE-Lösung, die darauf abzielt, internetgebundene Verbindungen zu sichern. Sein Hauptziel besteht darin, Benutzer vor Online-Bedrohungen zu schützen und akzeptable Zugriffsrichtlinien innerhalb einer Organisation durchzusetzen. Dies erreicht die SWG durch das Abfangen des Benutzerverkehrs und den Einsatz verschiedener Sicherheitsmechanismen, einschließlich der Durchsetzung von Zugriffsrichtlinien. Nur Datenverkehr, der den Zugriffsrichtlinien der Organisation entspricht und als sauber gilt, wird durchgelassen.

Da 95 % des Internetverkehrs jetzt verschlüsselt sind, wird umfassende Sicherheit erreicht SASE/SSE-Lösungen erfordern die Möglichkeit, diesen Datenverkehr zu entschlüsseln. Während der Großteil des Datenverkehrs mithilfe der MITM-TLS-Entschlüsselung (Man-In-The-Middle) entschlüsselt werden kann, sind Bedenken hinsichtlich der Privatsphäre der Benutzer aufgetaucht, insbesondere wenn Benutzer Websites besuchen, die personenbezogene Daten (PII) verarbeiten, oder Bankseiten. Darüber hinaus haben bestimmte Anbieter von Anwendungssoftware damit begonnen, Techniken zum Anheften von Zertifikaten einzuführen, um die MITM-TLS-Entschlüsselung insgesamt zu verhindern.

Diese Entwicklungen werfen Fragen hinsichtlich der Sicherheit auf, die dabei angewendet werden kann SASE Niveau und bietet dennoch einen Mehrwert für Enterperhebt sich. Hier gewinnen Reputationssicherheits-Engines an Bedeutung.

Dieser Artikel unterstreicht den Wert von SWG für internetgebundene Verbindungen, indem er Sicherheits-Engines beschreibt, die universell einsetzbar sind, mit oder ohne TLS-Entschlüsselung. Außerdem werden Sicherheits-Engines untersucht, die mit entschlüsseltem TLS-Verkehr arbeiten und so umfassende Sicherheitsmaßnahmen ermöglichen.

Allgemeine Funktionen, die allen Komponenten von gemeinsam sind SASE

As SASE Die Zugriffskontrolle der Sicherheit konzentriert sich auf Identität, Authentifizierung und Autorisierung sind grundlegende Funktionen, die in allen Bereichen erforderlich sind SASE Komponenten. Die Artikel über Identitätsbewusst SASE machen Identitätsvermittler Geben Sie Einblicke in verschiedene Authentifizierungsmethoden und Schnittstellen mit mehreren Authentifizierungsdiensten.

Darüber hinaus ist die Proxy-in-SASE Der Artikel befasst sich mit den Techniken, die zum Erfassen des Datenverkehrs verwendet werden, der von Benutzern zum Internet und von Benutzern zu diesem fließt SaaS Dienste und Benutzer zu enterpAufstiegsanwendungen. Dieser Artikel konzentriert sich jedoch hauptsächlich auf die Sicherheits-Engines der SWG-Komponente. Beachten Sie, dass dieser Artikel auch nicht auf andere gemeinsame Funktionen eingeht, die allen gemeinsam sind SASE Komponenten wie zentralisiertes Konfigurationsmanagement und Observability-Funktionen.

Bewertung von Sicherheits-Engines und generischen Richtlinien

Im SASE Framework arbeiten alle Sicherheits-Engines auf der Grundlage verwalteter Richtlinien, die die Regeln und Aktionen zur Steuerung des Systemverhaltens bereitstellen. Jede Sicherheits-Engine kann aus mehreren Richtlinientabellen bestehen und jede Tabelle kann mehrere Richtlinien enthalten.

Eine Richtlinie besteht aus einer Aktion und einem Regelwerk. „Aktion“ legt fest, wie das System mit der Verkehrssitzung umgehen soll.

Regeln innerhalb einer Richtlinie definieren die Bedingungen, die erfüllt sein müssen, damit die Richtlinie als Übereinstimmung gilt. Regeln bestehen aus übereinstimmenden Attributen und ihren entsprechenden Werten. Wenn die Verkehrssitzung mit den angegebenen Attributwerten übereinstimmt, wird die Regel als Übereinstimmung betrachtet.

Innerhalb von Regeln können verschiedene übereinstimmende Attribute verwendet werden, um Sicherheitsrichtlinien effektiv durchzusetzen. Beispiele für diese Attribute sind Zeitplan (Datums-/Uhrzeitbereich), Quell-IP, Ziel-IP, Protokoll/Zielport, Quellport, Benutzeranspruchsattribute wie Benutzer-E-Mail-Adresse, Benutzergruppe, Benutzerrolle, Aussteller und andere, wie im angegeben JWT-Schadensregister. Darüber hinaus können Attribute wie Domänenname, URL, Anforderungsheader und -werte, HTTP-Methode, Gerätestatus, UEBA-Score, Standort des Benutzers, Domänenkategorie, Domänen-Reputationsbewertung, URL Kategorie, URL Reputationsbewertung, IP-Sicherheitskategorie, IP-Reputationsbewertung und Datei-Reputationsbewertung können ebenfalls verwendet werden. Es ist wichtig zu beachten, dass möglicherweise nicht alle Sicherheits-Engines alle übereinstimmenden Attribute in ihren Richtlinien unterstützen.

SASE wertet Verkehrssitzungen aus, indem es sie durch mehrere Sicherheits-Engines leitet. Jede Sicherheits-Engine entscheidet unabhängig, ob die Verkehrssitzung basierend auf ihren konfigurierten Richtlinien zugelassen wird. Wenn alle Sicherheits-Engines die Fortsetzung der Datenverkehrssitzung zulassen, SASE lässt den Verkehr passieren.

Die Reihenfolge, in der SASE Die Ausführung der Sicherheits-Engines ist normalerweise vordefiniert. Allerdings sicher SASE Implementierungen bieten möglicherweise die Flexibilität, die Reihenfolge auszuwählen, in der die Sicherheits-Engines ausgeführt werden. Dadurch können Administratoren bestimmte Sicherheits-Engines priorisieren oder die Verarbeitungssequenz entsprechend ihren Anforderungen anpassen.

Inline-Bedrohungsdatenerfassung

Die SWG-Komponente (Secure Web Gateway) spielt eine entscheidende Rolle bei der Erfassung von Inline-Bedrohungsinformationen. Es stützt sich auf Datenfeeds von seriösen Anbietern, um wertvolle Informationen zu verschiedenen Aspekten zu erhalten, darunter:

  • Reputation von IP-Adressen, Domänen, URLs, Dateien und SaaS DIENSTLEISTUNGEN: Die SWG nutzt Bedrohungs-/Datenintelligenz-Feeds, um die Reputation dieser Unternehmen zu bewerten. Diese Informationen helfen bei der Identifizierung potenzieller Maliciouns oder verdächtigciouns Quellen, die es dem System ermöglichen, fundierte Entscheidungen zu treffen.
  • Kategorisierung von Domains, URLs, und SaaS DIENSTLEISTUNGEN: Durch die Nutzung der Intelligence-Feeds kann die SWG die Kategorien bestimmen, zu denen Domänen gehören. URLs, und SaaS Dienstleistungen gehören. Diese Kategorisierung hilft bei der Durchsetzung von Richtlinien und ermöglicht es Unternehmen, detaillierte Sicherheitskontrollen basierend auf bestimmten Kategorien zu definieren.
  • Malware-Klassifizierung von Inhalten: Die SWG nutzt die gesammelten Bedrohungsinformationen, um potenzielle Malware auf der Grundlage einer Inhaltsanalyse zu klassifizieren. Durch die Untersuchung der Eigenschaften des Inhalts kann das System Mali identifizieren und blockieren oder unter Quarantäne stellencioWir schützen Dateien oder Websites und verhindern so, dass sie Schaden anrichten.
  • Datenklassifizierung von Inhalten: Die SWG nutzt auch Intelligenz-Feeds zur Datenklassifizierung, um den Inhalt des Webverkehrs zu klassifizieren. Diese Klassifizierung hilft bei der Identifizierung sensibler oder vertraulicher Informationen, die möglicherweise übertragen oder abgerufen werden, und ermöglicht es Unternehmen, Datenschutzrichtlinien wirksam durchzusetzen.

Wie alle internetgebundenen und SaaS Da der Datenverkehr das SWG durchläuft, kann es verschiedene Attribute des Datenverkehrs erfassen. Durch die Nutzung von Bedrohungs-/Datenintelligenz-Feeds kann die SWG diese Attribute mit wertvollen Bedrohungsinformationen anreichern. Diese Informationen erleichtern nicht nur die Durchsetzung von Richtlinien über verschiedene Sicherheits-Engines hinweg, sondern bieten auch Einblick in die Bedrohungen, die im Datenverkehr durch die SWG vorhanden sind. Diese verbesserte Transparenz ermöglicht es Unternehmen, potenzielle Sicherheitsrisiken in Echtzeit zu erkennen und zu mindern und so eine stabile Sicherheitslage zu gewährleisten.

Sicherheits-Engines vor SSL Inspektion

Diese Sicherheits-Engines verarbeiten Verkehrssitzungen, bevor sie TLS/SSL entschlüsselt. Diese Sicherheits-Engines wirken auf den gesamten Internet-gebundenen HTTP-Verkehr. Diese Sicherheits-Engines stoppen die Verkehrssitzung, wenn sie ein potenzielles Risiko erkennen.

  • IP-Reputationsbasierte Bedrohungsschutz-Sicherheits-Engine: Die Administratoren der SWG sind in der Lage, Richtlinien basierend auf bestimmten IP-Kategorien, IP-Reputationswerten und anderen allgemeinen Attributen zu erstellen und so maßgeschneiderte Sicherheitsmaßnahmen festzulegen. Diese Engine bietet robusten Schutz für Benutzer, die auf Websites zugreifen, die dafür bekannt sind, Malware und Phishing-Inhalte zu hosten. Durch die Nutzung umfassender Bedrohungsinformationen, die über Ziel-IP-Adressen gesammelt wurden, identifiziert und mindert die Engine potenzielle Risiken effizient und schützt so Benutzer vor Angriffenciouns Aktivitäten. Durch die Bewertung der Reputation jeder IP-Adresse trifft die Sicherheits-Engine fundierte Entscheidungen über die geeigneten Maßnahmen, die im Einklang mit der entsprechenden Richtlinie ergriffen werden müssen, und sorgt so für eine proaktive und dynamische Sicherheitslage.
  • Sicherheits-Engine für den domänenreputationsbasierten Bedrohungsschutz: Die Administratoren von SWG verfügen über die Möglichkeit, Richtlinien basierend auf Domänenkategorien, Domänen-Reputationswerten und anderen allgemeinen Attributen zu erstellen und so gewünschte Sicherheitsmaßnahmen effektiv zu definieren. Diese Engine bietet umfassenden Schutz für Benutzer, die auf Websites zugreifen, die als Host für Malware und Phishing-Inhalte gekennzeichnet sind. Die Engine nutzt Domänen-Bedrohungsinformationen aus verschiedenen Quellen, einschließlich HTTP CONNECT-Host-Header, TLS-SNI für TLS-basierten HTTP-Verkehr und Host-Header von klarem HTTP-Verkehr, und wertet Richtlinien aus, um potenzielle Risiken genau zu identifizieren und zu mindern. Durch die Einbindung von Domain-Reputationsdaten gewährleistet die Sicherheits-Engine proaktive Abwehrmaßnahmen, stärkt die allgemeine Sicherheitslage und schützt Benutzer vor potenziellen Bedrohungen.

Die auf Reputation basierenden Sicherheits-Engines legen sowohl Wert auf Genauigkeit als auch auf Anpassungsfähigkeit. Diese Sicherheits-Engines bieten umfassende Flexibilität auf Richtlinienebene, um SWG-Administratoren die Möglichkeit zu geben, Ausnahmen zu erstellen. Diese Ausnahmen sind aus verschiedenen Gründen von entscheidender Bedeutung, beispielsweise um Fehlalarme zu bekämpfen, die durch Threat-Intelligence-Feeds generiert werden, und um der bewussten Notwendigkeit Rechnung zu tragen, den Datenverkehr für lokale Bedrohungsjäger zur Durchführung weiterer Inspektionen zuzulassen.

Wenn es um die Domain-Reputationssicherheits-Engine geht, stellt sich die wichtige Frage, welcher Domainname zum Sammeln von Informationen und zur Durchsetzung von Reputationsrichtlinien verwendet werden soll. Diese Frage stellt sich, weil der Domänenname auf mehreren Ebenen des Datenverkehrs vorhanden ist. Wenn Datenverkehr über die Forward-Proxy-Methode der SWG fließt, kann die SWG den Domänennamen aus dem Host-Header der HTTP-CONNECT-Anfrage und aus dem TLS-Feld „Server Name Indication“ (SNI) extrahieren. Obwohl sowohl der Host-Header als auch die TLS-SNI-Werte normalerweise übereinstimmen, gibt es Fälle, in denen sie unterschiedlich sein können. Daher führen SWGs standardmäßig zwei Durchgänge durch diese Sicherheits-Engine durch. Der erste Durchgang erfolgt, wenn die SWG die HTTP-CONNECT-Anfrage empfängt, während der zweite Durchgang erfolgt, wenn die SWG den TLS-Verkehr empfängt. Dieser Ansatz stellt sicher, dass die SWG die Domain-Reputation genau bewerten und die entsprechenden Richtlinien durchsetzen kann.

SWGs sind jedoch darauf ausgelegt, intelligent und effizient zu sein. Wenn die aus der HTTP-CONNECT-Anfrage und dem TLS-SNI-Feld extrahierten Domänennamen identisch sind, erkennt die SWG diese Redundanz und vermeidet die Notwendigkeit eines zweiten Laufs der Reputations-Engine. Diese Optimierung trägt dazu bei, den Sicherheitsbewertungsprozess zu rationalisieren und unnötigen Rechenaufwand zu reduzieren, sodass die SWG ein hohes Leistungsniveau aufrechterhalten und gleichzeitig einen umfassenden, auf der Domain-Reputation basierenden Bedrohungsschutz gewährleisten kann.

Zugriffskontroll-Engine

Zusätzlich zum reputationsbasierten Bedrohungsschutz bieten SWGs robuste Zugriffskontrollfunktionen, die es Administratoren ermöglichen, Benutzern beim Zugriff auf verschiedene Internetseiten differenzierten Zugriff zu gewähren. Mit dieser leistungsstarken Sicherheits-Engine können Administratoren Richtlinien erstellen, die auf Domänenkategorien basieren, die von seriösen Anbietern von Bedrohungsinformationen bereitgestellt werden.

Durch die Nutzung von Domänenkategorien können SWG-Administratoren ihre Verwaltungserfahrung vereinfachen, indem sie eine große Anzahl von Internetseiten in einige übergreifende Kategorien klassifizieren. Dieses Klassifizierungssystem erhöht die Effizienz und erleichtert die Richtlinienerstellung und stellt sicher, dass Administratoren Zugriffskontrollmaßnahmen effektiv definieren können, ohne dass eine detaillierte Konfiguration für jeden einzelnen Standort erforderlich ist.

Darüber hinaus bietet die Zugriffskontroll-Engine auch die Flexibilität, einzelne Domänennamen innerhalb der Richtlinien anzugeben. Dies ermöglicht Administratoren eine differenzierte Kontrolle über den Zugriff auf bestimmte Sites und berücksichtigt Situationen, in denen bestimmte Sites eindeutige Zugriffsberechtigungen oder -beschränkungen erfordern.

Die Flexibilität der Zugriffskontroll-Engine erweist sich insbesondere in Szenarien als nützlich, in denen es bei der Domänenkategorisierung zu Fehlalarmen kommt. In solchen Fällen können Administratoren innerhalb der Richtlinien Ausnahmen erstellen, um die Kategorisierung außer Kraft zu setzen und eine genaue Zugriffskontrolle für betroffene Websites sicherzustellen. Diese Fähigkeit, Ausnahmen zu handhaben, ermöglicht es Administratoren, ein Gleichgewicht zwischen strengen Sicherheitsmaßnahmen und der Bereitstellung des erforderlichen Zugriffs für legitime Websites, die möglicherweise falsch klassifiziert wurden, aufrechtzuerhalten.

SASE TLS/SSL Inspektionsmaschine

Das SWG TLS/SSL Die Inspektions-Engine spielt eine entscheidende Rolle bei der Ermöglichung erweiterter Zugriffskontrollen und des Bedrohungsschutzes, die Zugriff auf den Inhalt von TLS/ erfordern.SSL Sitzungen. Die TLS-Inspektion erfordert jedoch die Entschlüsselung dieser Sitzungen, was den Zugriff auf die privaten Schlüssel erfordert. Als Man-In-The-Middle (MITM)-Entität hat die SWG keinen direkten Zugriff auf die privaten Schlüssel. Um diese Einschränkung zu überwinden, verwenden TLS-Inspektions-Engines normalerweise eine Technik, bei der sie das Serverzertifikat mithilfe von Ent nachahmenerpErrichten Sie eine vertrauenswürdige Zertifizierungsstelle (CA).

Der typische Ablauf der Schritte, die von der TLS-Inspektions-Engine für jede neue TLS-Sitzung vom Client befolgt werden, ist wie folgt:

  • Stellen Sie eine TLS-Verbindung zum Zieldienst (Internetseite) her.
  • Rufen Sie das vom Zieldienst vorgelegte Zertifikat ab.
  • Imitieren Sie den Inhalt des Zertifikats, einschließlich seiner Lebensdauer, um ein Nachahmungszertifikat zu erstellen.
  • Signieren Sie das Nachahmungszertifikat mit dem EnterpRise vertrauenswürdige CA.
  • Präsentieren Sie dieses Nachahmungszertifikat beim TLS-Handshake mit dem Client.

Damit dieser Prozess reibungslos funktioniert, ohne Sicherheits-Popups in Browsern zu verursachen, ist es wichtig, dass die Zertifikatskette der Unternehmenszertifizierungsstelle sicher als vertrauenswürdige Zertifizierungsstelle in die Computer der Mitarbeiter integriert ist, typischerweise über deren Systemverwaltungssoftware.

Um den mit der Schlüsselgenerierung und dem Signieren von Nachahmungszertifikaten verbundenen Rechenaufwand zu minimieren, speichert die TLS-Inspektions-Engine die Nachahmungszertifikate und die entsprechenden privaten Schlüssel zwischen und verwendet sie bis zum Ablauf ihrer Lebensdauer wieder.

Während die TLS-Inspektion für den erweiterten Bedrohungsschutz und die Zugriffskontrolle äußerst wünschenswert ist, ist enterpEs kann vorkommen, dass es bestimmte Fälle gibt, in denen eine Entschlüsselung nicht zulässig ist. Zu diesen Fällen gehören Datenschutzbedenken, insbesondere beim Zugriff auf Bank-, Finanz- oder Gesundheitsseiten, sowie Szenarien, in denen Zertifikat-Pinning zum Einsatz kommt. Darüber hinaus enterpRises entscheiden sich möglicherweise dafür, die TLS-Prüfung für Inhalte nicht zu aktivieren, die bereits auf Bedrohungen überprüft wurden, bevor die TLS-Verschlüsselung auf der Clientseite erfolgt, beispielsweise über Browser oder Office 365-Erweiterungen.

Um Flexibilität bei der Entscheidung zu bieten, ob eine TLS-Entschlüsselung durchgeführt werden soll oder nicht, bietet die SWG TLS/SSL Mit der Inspektions-Engine können Administratoren Richtlinien erstellen. Diese Richtlinien können Domänenkategorieklassifizierungen umfassen, die es Administratoren ermöglichen, die TLS-Entschlüsselung für bestimmte Kategorien wie Finanz- und Gesundheitsseiten sowie alle anderen Seiten, für die die Entschlüsselung erfolgt, zu umgehenerpDer Aufstieg ist mit der Entschlüsselung unangenehm.

Durch die Bereitstellung richtlinienbasierter Kontrolle und Kategorisierung bietet die SWG TLS/SSL Inspektionsmaschine ermöglicht enterpsteigt, um ein Gleichgewicht zwischen der Wahrung von Privatsphäre und Sicherheit bei gleichzeitiger Gewährleistung eines robusten Bedrohungsschutzes und erweiterter Zugriffskontrollen zu finden.

SWG PKI-Infrastruktur

SASE Dienste sind von Natur aus mandantenfähig und unterstützen mehrere Entitätenerperhebt sich. In diesem Zusammenhang sind einige enterpEinige Unternehmen verfügen möglicherweise über eine eigene PKI-Infrastruktur (Public Key Infrastructure), während andere möglicherweise über keine PKI-Infrastruktur verfügen. Es ist wichtig zu beachten, dass die enterpDas Rise-CA-Zertifikat (das zum Signieren der Nachahmungszertifikate verwendet wird) sollte eine relativ kurze Lebensdauer haben, in der Regel einige Tage, um eine robuste Sicherheit zu gewährleisten. Zur Aufrechterhaltung einer sicheren Umgebung ist eine regelmäßige Neuausstellung des CA-Zertifikats erforderlich.

Um die Sicherheit des privaten Schlüssels des CA-Zertifikats im SWG-Kontext zu gewährleisten, wird die auf Certificate Signing Request (CSR) basierende Zertifikatsgenerierung bevorzugt. Viele SWGs stellen ihre eigene PKI-Infrastruktur bereit, um Zwischen-CA-Zertifikate (SWG CA-Zertifikate) für ihre SWG-Datenebeneninstanzen auszustellen. In Fällen, in denen ein enterpRise verfügt nicht über eine eigene PKI-Infrastruktur. Die PKI-Infrastruktur der SWG erstellt automatisch die übergeordneten CA- und Root-CA-Zertifikate im Namen einzelner Enterpsteigen.

In Situationen, in denen ein EnterpRise verfügt zwar über eine eigene PKI-Infrastruktur, die PKI-Infrastruktur der SWG stellt die Kommunikation mit dem Unternehmen hererpRufen Sie die PKI-Infrastruktur von Rise auf, um das übergeordnete CA-Zertifikat zu signieren. Sobald das übergeordnete CA-Zertifikat erhalten wurde, wird es zum Signieren der SWG-CA-Zertifikate verwendet und stellt so die Authentizität und Integrität der zum Signieren von Nachahmungszertifikaten verwendeten Zertifikate sicher.

Die PKI-Infrastruktur gilt als kritische Komponente der SWG, da sie eine entscheidende Rolle bei der Sicherung der privaten Schlüssel spielt, die zum Signieren der Nachahmungszertifikate verwendet werden. Durch die effektive Verwaltung der PKI-Infrastruktur, einschließlich der regelmäßigen Neuausstellung von CA-Zertifikaten, und die Einhaltung etablierter Sicherheitspraktiken können SWGs die Integrität und Vertrauenswürdigkeit der im Multi-Tenant verwendeten Zertifikate sicherstellen SASE Serviceumgebung.

Sicherheits-Engines danach SSL Inspektion

Nach TLS/SSL Bei der Entschlüsselung nutzt die SWG eine Reihe von Sicherheits-Engines, um die Verkehrssitzungen zu verarbeiten und mögliche Risiken zu identifizieren. Diese Sicherheits-Engines spielen eine entscheidende Rolle bei der Gewährleistung eines umfassenden Bedrohungsschutzes

URL Reputationsbasierte Bedrohungsschutz-Sicherheits-Engine

SWG-Administratoren verfügen über die Möglichkeit, darauf basierende Richtlinien zu erstellen URL Kategorien, URL Reputationswerte und andere relevante Attribute, die es ihnen ermöglichen, Sicherheitsmaßnahmen effektiv zu definieren. Während die auf der Domänenreputation basierende Bedrohungsschutz-Engine Schutz auf Domänenebene bietet, gibt es Fälle, in denen es erforderlich ist, auf der Domänenebene einen auf der Reputation basierenden Bedrohungsschutz durchzuführen URL eben. Dies ist besonders wichtig für Websites, die Unterabschnitte oder unterschiedliche Abschnitte haben URLs repräsentieren bestimmte Abschnitte der Website. Während die Reputation der Domain insgesamt gut sein mag, könnten bestimmte einzelne Abschnitte innerhalb der Website gefährdet sein oder ein Risiko darstellen. deshalb, die URL-basierte Reputationssicherheits-Engine ist für einen umfassenden Schutz unerlässlich und verhindert, dass Benutzer auf von Malware gehostete Websites oder Phishing-Websites zugreifen. Unter Berücksichtigung des Rufs bestimmter URLs verbessert diese Engine die Genauigkeit der Bedrohungserkennung und ermöglicht die proaktive Blockierung potenziell schädlicher Inhalte.

Wie bereits im Abschnitt „SWG-Pre-Decryption-Sicherheits-Engines“ erwähnt, können aus Threat-Intelligence-Feeds abgeleitete Reputationswerte manchmal zu Fehlalarmen führen. Darüber hinaus gibt es Fälle, in denen Administratoren dies tun können want, um den Fortgang einer Datenverkehrssitzung für eine eingehendere Prüfung durch Bedrohungsjäger zu ermöglichen. Wenn darüber hinaus bereits ein umfassender Schutz auf Client-Ebene angewendet wurde, ist eine Duplizierung des Bedrohungsschutzes auf Gateway-Ebene möglicherweise nicht erforderlich. Um diese Szenarien zu bewältigen, sind die Engines zum Schutz vor Reputationsbedrohungen nach der Entschlüsselung ebenfalls richtliniengesteuert, sodass Administratoren Ausnahmerichtlinien erstellen können.

Erweiterte Zugriffskontroll-Engine

Zusätzlich zum reputationsbasierten Bedrohungsschutz bieten SWGs robuste erweiterte Zugriffskontrollfunktionen, die es Administratoren ermöglichen, beim Zugriff auf verschiedene Internetseiten differenzierten Zugriff auf Benutzer zu erzwingen. Diese fortschrittliche Zugriffskontroll-Engine weist Ähnlichkeiten mit der zuvor im Abschnitt „SWG Pre Decryption Security Engines“ beschriebenen „Zugriffskontroll-Engine“ auf. Da es jedoch nach der TLS-Entschlüsselung arbeitet, bietet es basierend auf noch ausgefeiltere Zugriffskontrolloptionen URLs, HTTP-Methoden und HTTP-Anforderungsheader.

Die fortschrittliche Zugriffskontroll-Engine nutzt die Vorteile URL Kategorien, die im Vergleich zu Domänenkategorien eine genauere und detailliertere Klassifizierung von Websites ermöglichen. Durch die Nutzung URL Kategorien können Administratoren effektiv Richtlinien definieren, um den Zugriff basierend auf bestimmten Kategorien zu regulieren URLs, die eine differenzierte Zugriffskontrolle ermöglichen.

Ähnlich wie die Access Control Engine bietet die erweiterte Zugriffskontroll-Engine auch die Flexibilität, Ausnahmen zu erstellen und Szenarien zu berücksichtigen, in denen Fehlalarme auftreten URL Kategorisierung. Diese Ausnahmen ermöglichen es Administratoren, standardmäßige Zugriffskontrollrichtlinien für bestimmte Websites oder Inhalte außer Kraft zu setzen, die möglicherweise falsch klassifiziert sind oder spezielle Zugriffsberechtigungen erfordern.

Sicherheits-Engines mit Inhaltsprüfung

Bisher konzentrierten sich die beschriebenen Sicherheits-Engines darauf, Verkehrssitzungen zu stoppen, wenn Bedrohungen erkannt oder der Zugriff verweigert wurde. Diese Engines basieren auf anfänglichen HTTP-Informationen und Anforderungsheadern und ermöglichen die Unterbrechung des Datenverkehrs, bis der Datenverkehr überprüft wurde.

Es gibt jedoch zusätzliche Sicherheits-Engines, die eine tiefergehende Prüfung des Inhalts innerhalb von HTTP-Sitzungen erfordern. Diese Engines benötigen Zugriff auf den Inhalt von Anfragen und Antworten, um Bedrohungen effektiv erkennen zu können. Im Gegensatz zu den vorherigen Engines stoppen diese Content-Inspektions-Engines nicht den gesamten Datenverkehr, sondern stoppen den spezifischen Datenverkehr, sobald eine Bedrohung erkannt wird.

Einige dieser Sicherheits-Engines benötigen nicht nur Zugriff auf den gesamten Inhalt, sondern müssen möglicherweise auch eine weitere Verarbeitung des Inhalts durchführen, bevor sie Threat-Intelligence-Feeds verwenden, um potenzielle Bedrohungen zu identifizieren. Wenn beispielsweise eine Datei komprimiert ist, muss sie zur Analyse dekomprimiert werden. Darüber hinaus erwarten bestimmte Anbieter von Bedrohungsinformationen die Extraktion von Textströmen aus verschiedenen Dateitypen wie Word-Dokumenten und PowerPGemeinsame Präsentationen, OpenOffice-Dateien, Excel-Tabellen, PDFs und mehr. Da diese Extraktionen und Bedrohungserkennungen rechenintensiv sein können, können sie zu Latenz bei den HTTP-Transaktionen führen.

Um diesem Problem zu begegnen, bieten viele dieser Sicherheits-Engines zwei Optionen: Inline-Erfassung mit Bedrohungserkennung und Inline-Durchsetzung oder Inline-Erfassung mit Offline-Bedrohungserkennung. Im Inline-Erkennungsmodus wird der Datenverkehr erfasst und die Bedrohungserkennung erfolgt innerhalb der HTTP-Sitzung, sodass sofortige Durchsetzungsmaßnahmen möglich sind. Im Offline-Erkennungsmodus wird der Datenverkehr weiterhin erfasst, die Extraktion des Textstroms und die Bedrohungserkennung mit Threat-Intelligence-Feeds werden jedoch außerhalb der HTTP-Sitzung durchgeführt. In diesem Modus wird störender Datenverkehr nicht sofort gestoppt, die Sichtbarkeit potenzieller Bedrohungen bleibt jedoch erhalten. Diese beiden Modi bieten Flexibilität für Enterpsteigt, um Inline-Bedrohungsschutz und Benutzererfahrung in Einklang zu bringen, sodass sie den Ansatz wählen können, der ihren Anforderungen am besten entspricht.

File-Reputation-basierter Bedrohungsschutz-Sicherheitsmotor

Die SWG enthält eine auf File Reputation basierende Threat Protection Security Engine, die eine wichtige Rolle bei der Bewertung der Reputation von über HTTP übertragenen Dateien spielt. Diese Engine nutzt die Threat-Intelligence-Erfassungsfunktion der SWG, die kontinuierlich den Inhalt analysiert, der das Gateway passiert. Während der Datenverkehr fließt, berechnet die Threat-Intelligence-Engine den Hash des Inhalts, sowohl während der Übertragung als auch am Ende der Datei, um den Reputationswert der Datei zu bestimmen. Bei Bedarf führt die SWG eine Dekomprimierung des Inhalts durch, bevor der Hash berechnet wird. Administratoren haben die Flexibilität, Richtlinien zu erstellen, die den Datei-Reputations-Score berücksichtigen und auf der Grundlage dieser Bewertung bestimmen, ob die Datenverkehrssitzung zugelassen oder abgelehnt werden soll. Diese Sicherheits-Engine führt die Richtlinienbewertung durch und stoppt die weitere Übertragung des Datenverkehrs, sobald die Bedrohung erkannt wird.

Anti-Malware-Sicherheits-Engine

Die in SWGs integrierte Anti-Malware-Sicherheits-Engine umfasst fortschrittliche Bedrohungsinformationen und Anti-Malware-Funktionen, um Viren und Malware effektiv zu erkennen und zu verhindern, dass sie in den Datenverkehrsstrom eindringen und Benutzergeräte erreichen. Diese Engine spielt auch eine entscheidende Rolle dabei, Benutzer daran zu hindern, unwissentlich Malware zu verbreiten, indem sie den Datenverkehr in beide Richtungen aktiv überwacht. Wie bereits erwähnt, verwenden diese Sicherheits-Engines verschiedene Techniken, um den Inhalt lokaler Dateien zu analysieren. Bei Bedarf dekomprimiert die Engine Dateien und extrahiert den Textstrom, der dann mithilfe von Threat-Intelligence-Anti-Malware-Funktionen einer gründlichen Prüfung unterzogen wird. Der Textstrom ist besonders wichtig für die signaturbasierte Analyse und ermöglicht die Erkennung bekannter Malware-Stämme.

SWG-Lösungen bieten Administratoren Flexibilität und ermöglichen es ihnen, Richtlinien zu erstellen, die die entsprechenden Maßnahmen vorschreiben, die bei der Erkennung verschiedener Arten von Malware und unter Berücksichtigung des vom Threat-Intelligence-Anbieter bereitgestellten Vertrauensniveaus ergriffen werden müssen. Dadurch wird sichergestellt, dass die Reaktionen auf Malware auf die jeweilige Bedrohungs- und Risikostufe zugeschnitten sind. Darüber hinaus bieten SWGs die Möglichkeit, innerhalb der Richtlinien Ausnahmen zu erstellen, um Leistungsbedenken und Fehlalarmen zu begegnen und tiefergehende Bedrohungsprüfungen durch Bedrohungsjäger zu ermöglichen. Diese Flexibilität ermöglicht es Administratoren, die Sicherheitsmaßnahmen genau abzustimmen und das richtige Gleichgewicht zwischen Schutz und betrieblicher Effizienz zu finden.

Intrusion Detection & Prevention (IDP)-Sicherheits-Engine

Die IDP-Sicherheits-Engine ist ein integraler Bestandteil von SWGs und dient dazu, potenzielle Exploits innerhalb von Verkehrsströmen zu identifizieren. Das Ausnutzen von Systemschwachstellen ist eine gängige Methode von Angreifern, um sich unbefugten Zugriff zu verschaffen, Rootkits einzuschleusen und Malware zu verbreiten. Diese Schwachstellen können in Form von Puffer-/Stack-Überläufen, unzureichender Eingabevalidierung oder Fehlkonfigurationen in Systemen und Anwendungen auftreten. Der IDPS innerhalb der SWGs kann Exploit-Angriffe auf Client-Rechner erkennen und kompromittierte Clients identifizieren, die versuchen, Dienste Dritter im Internet auszunutzen, und so Angriffe verhindernerpDadurch werden Vermögenswerte nicht mehr zur Startrampe für weitere Angriffe.

Die IDP-Engine in SWGs liefert aus mehreren Gründen eine genaue Erkennung mit weniger Fehlalarmen:

  • Zugriff auf klare Daten: Die IDP-Engine kann auf Verkehrsdaten zugreifen, die von der Verschlüsselung befreit wurden, und so potenzielle Angriffe effektiv analysieren und erkennen.
  • Zugriff auf neu zusammengesetzte und neu sequenzierte Daten: Die Engine kann auf rekonstruierte und neu geordnete Datenströme zugreifen und gewährleistet so eine umfassende Analyse und Erkennung von Fehlernciouns Aktivitäten.
  • Zugriff auf extrahierte und dekodierte Daten des HTTP-Protokolls: Durch das Extrahieren und Dekodieren von Daten aus dem Proxy-Teil von SWGs erhält die IDP-Engine einen tieferen Einblick in den Inhalt und ermöglicht so eine effektivere Erkennung von Angriffsmustern.

Die IDP-Engine verwendet verschiedene Arten von Signaturen, um Angriffe zu erkennen, darunter Protokollanomaliesignaturen, Verkehrsanomaliesignaturen und inhaltsbasierte Signaturen. Threat-Intelligence-Anbieter bieten umfangreiche Signaturdatenbanken an, aber das Laden jeder Signatur kann die Systemleistung erheblich beeinträchtigen. Um dieses Problem auszuräumen, bieten SWGs Funktionen zur Signaturoptimierung basierend auf Faktoren wie der Anwendbarkeit der Signatur. So können beispielsweise Signaturen vermieden werden, die für den HTTP-basierten Datenverkehr nicht relevant sind oder die nicht entschlüsselte Inhalte innerhalb von HTTP prüfen. Bei der Optimierung können auch Faktoren wie Risikoauswirkungen und Vertrauensniveaus der von Threat-Intelligence-Anbietern bereitgestellten Signaturen berücksichtigt werden.

SWG-Lösungen bieten außerdem eine richtlinienbasierte Datenverkehrsauswahl, sodass Administratoren bestimmen können, welcher Datenverkehr einer IDP-Verarbeitung unterzogen werden soll. Diese Flexibilität ermöglicht die Vermeidung redundanter IDP-Scans für Datenverkehr, der bereits auf Client-Endpunktebene auf Angriffe gescannt wurde.

Sicherheits-Engine zur Verhinderung von Datenverlust

Die Einbeziehung der Data Loss Prevention (DLP)-Sicherheits-Engine in SWGs wird immer häufiger eingesetzt. Diese leistungsstarke Engine soll verhindern, dass Benutzer unbeabsichtigt vertrauliche Finanz-, Buchhaltungs- oder geschäftsrelevante Informationen ohne entsprechende Genehmigung übertragen oder empfangen. Durch die Nutzung richtlinienbasierter Kontrollen und Benutzerattribute überwacht und verringert die DLP Security Engine das Risiko versehentlicher oder absichtlicher Datenlecks.

Um ihre Aufgabe effektiv erfüllen zu können, benötigt die DLP Security Engine Zugriff auf den gesamten Inhalt der Datenübertragungen. Es extrahiert Textströme und ermöglicht so die Analyse und Klassifizierung der Daten basierend auf ihrer Sensibilität. Anbieter von Datenklassifizierungsinformationen nutzen den Textstrom, um Klassifizierungsergebnisse zu generieren, die verschiedene Attribute wie Compliance-Kennzeichnungen (z. B. personenbezogene Daten oder PII), generische vertrauliche Dokumentdaten (z. B. Finanzinformationen) und benutzerdefinierte sensible Daten umfassen.

Um die präzise Kontrolle sensibler Daten zu erleichtern, bieten SWGs Administratoren die Möglichkeit, Richtlinien zu erstellen, die verschiedene Klassifizierungsattribute und -werte umfassen. Diese Richtlinien ermöglichen es Administratoren in Kombination mit generischen Matching-Attributen, detaillierte Zugriffskontrollen zu definieren und festzulegen, wie mit verschiedenen Arten sensibler Daten umgegangen werden soll.

Benutzerdefinierte Sicherheits-Engines (bringen Sie Ihre eigene Sicherheits-Engine mit)

Während SASE/SWG-Anbieter bieten eine umfassende Sicherheitsabdeckung. Die sich ständig weiterentwickelnde Bedrohungslandschaft, insbesondere Zero-Day-Angriffe, erfordert möglicherweise zusätzliche Verbesserungen. EnterpRise-Sicherheitsteams gehen bei der Bedrohungssuche häufig proaktiv vor und identifizieren neue Angriffsmuster. Möglicherweise erhalten sie auch neue Bedrohungsmuster von anderen EnthusiastenerpStärken Sie Sicherheitsteams durch den Austausch von Bedrohungsinformationen. In beiden Fällen können diese Teams want SWGs, um ihre Vermögenswerte vor diesen neuen Bedrohungsmustern und Angriffen zu schützen.

Obwohl SWGs in der Regel über gut konfigurierte IDP-Engines und andere Sicherheits-Engines verfügen, gibt es Situationen, in denen den Konfigurationssystemen möglicherweise die Flexibilität fehlt, Regeln zur Erkennung komplexer Bedrohungsmuster zu erstellen. Es kann zeitaufwändig sein, sich ausschließlich auf SWG-Anbieter zu verlassen, um neue Softwarelogik für diese Schutzmaßnahmen hinzuzufügen. Darüber hinaus sind die von ent beobachteten BedrohungsmustererpAnstiege können umgebungsspezifisch sein und nicht für den allgemeinen Gebrauch gelten. In solchen Fällen zögern SWG-Anbieter möglicherweise, rechtzeitig neue Software herauszubringen, um diese individuellen Anforderungen zu erfüllen. Daher besteht ein Bedarf an Flexibilität zur Integration neuer benutzerdefinierter programmatischer Sicherheits-Engines, die von ent entwickelt wurdenerpEs entstehen Sicherheitsabteilungen oder Managed Security Service Provider (MSSPs).

Von SWG-Lösungen wird erwartet, dass sie offene Schnittstellen für die Einbindung neuer Sicherheits-Engines bereitstellen. Einige SWGs bieten die Möglichkeit, Lua-Skripte und WebAssembly-Module (WASM) hinzuzufügen. Mit diesen Funktionen können Unternehmen neue Sicherheits-Engines wie Lua-Skripte oder WASM-Module entwickeln und diese in die SWG-Infrastruktur integrieren. SWGs stellen sicher, dass diese benutzerdefinierten Engines andere Sicherheits-Engines nicht beeinträchtigen und dass sie Rechenressourcen innerhalb der von den SWG-Administratoren festgelegten konfigurierten Grenzen verbrauchen.

Durch die Integration benutzerdefinierter programmatischer Sicherheits-Engines ermöglichen SWGs Enterpsteigt, um ihre Sicherheitslage zu verbessern, umgehend auf neue Bedrohungen zu reagieren und ihre Vermögenswerte wirksam zu schützen. Diese Flexibilität ermöglicht es Unternehmen, ihre interne Sicherheitsexpertise zu nutzen oder mit MSSPs zusammenzuarbeiten, um maßgeschneiderte Sicherheits-Engines zu entwickeln, die ihren individuellen Sicherheitsanforderungen gerecht werden.

Zusammenfassung

Zusammenfassend bietet dieser Artikel einen Überblick über die Sicherheits-Engines für einen sicheren Internetzugang. Es ist wichtig zu beachten, dass die Einbeziehung aller Sicherheits-Engines von Land zu Land unterschiedlich sein kann SASE/SWG-Lösungen und neue Sicherheits-Engines können hinzugefügt werden, wenn neue Arten von Internetbedrohungen auftauchen.

SASE/SWG-Lösungen nutzen Sicherheits-Engines wie IP-Reputation-basierten Bedrohungsschutz, Domain-Reputation-basierten Bedrohungsschutz, Zugriffskontrolle, TLS/SSL Inspektion, File-Reputation-basierter Bedrohungsschutz, Anti-Malware, Intrusion Detection & Prevention, Data Loss Prevention und andere. Diese Sicherheits-Engines verbessern die allgemeinen Sicherheitsmaßnahmen und bieten Schutz vor verschiedenen Bedrohungen beim Zugriff auf das Internet.

Da sich die Bedrohungslandschaft ständig weiterentwickelt, sollten Unternehmen ihre Sicherheitsanforderungen regelmäßig bewerten und sicherstellen, dass sie ausgewählt werden SASE Die Lösung umfasst die notwendigen Sicherheitsmechanismen, um aufkommende Risiken effektiv zu mindern.

  • CTO Insights-Blog

    Die Aryaka-CTO-Insights-Blogserie bietet Vordenker für Netzwerk, Sicherheit und SASE-Themen. Aryaka Produktspezifikationen beziehen sich auf Aryaka Datenblätter.

Über den Autor

Srini Addepalli
Srini Addepalli ist ein Sicherheits- und Edge-Computing-Experte mit mehr als 25 Jahren Erfahrung. Srini verfügt über mehrere Patente in Netzwerk- und Sicherheitstechnologien. Er hat einen BE (Hons)-Abschluss in Elektrotechnik und Elektronik von BITS, Pilani in Indien.

2024 Aryaka Bericht zur sicheren Netzwerktransformation

Bericht herunterladen >>

Aryaka Einheitlicher SASE als Service

Lösungsübersicht herunterladen >>

Strategische Roadmap für EnterpAufstieg Networking

Bericht herunterladen >>

Verwandte Artikel

Netzwerksicherheit im Jahr 2024: Künstliche Intelligenz, Beobachtbarkeit, Einfachheit und mehr
Netzwerksicherheit im Jahr 2024: Künstliche Intelligenz, Beobachtbarkeit, ...
Maximierung der SASE Leistung: Die entscheidende Rolle der verteilten Durchsetzung im großen Maßstab
Maximierung der SASE Leistung: Die entscheidende Rolle von „At Scale...“
Navigieren in der komplexen Welt der globalen Konnektivität mit Aryaka SmartConnect
Navigieren in der komplexen Welt der globalen Konnektivität mit Aryaka ...
Verhindern Sie Sicherheitsrisiken mit umfassenden IDPS in Unified SASE
Verhindern Sie Sicherheitsrisiken mit umfassenden IDPS in Unified SASE
Die Forrester Total Economic ImpactTM-Studie weist einen ROI von 113 % zu Aryaka SD-WAN & SASE Dienstleistungen
Die Total Economic ImpactTM-Studie von Forrester weist einen ROI von 113 % für ... zu.
SASE Adoption: Was Sie wissen müssen
SASE Adoption: Was Sie wissen müssen