可能性を解き放つ: 社会における評判の重要な役割 SASE アーキテクチャ

Secure Web Gateway (SWG) は、 SASE/SSE ソリューションは、インターネット接続のセキュリティを確保することを目的としています。 その主な目的は、オンラインの脅威からユーザーを保護し、組織内で許容可能なアクセス ポリシーを強制することです。 SWG は、ユーザー トラフィックを傍受し、アクセス ポリシーの適用を含むさまざまなセキュリティ エンジンを採用することでこれを実現します。 組織のアクセス ポリシーを満たし、クリーンであるとみなされるトラフィックのみが通過を許可されます。

インターネット トラフィックの 95% が暗号化され、包括的なセキュリティが実現されています。 SASE/SSE ソリューションには、このトラフィックを復号化する機能が必要です。 ほとんどのトラフィックは MITM (Man-In-The-Middle) TLS 復号化を使用して復号化できますが、特に個人識別情報 (PII) を扱う Web サイトや銀行サイトにユーザーがアクセスする場合、ユーザーのプライバシーに関する懸念が生じています。 さらに、特定のアプリケーション ソフトウェア ベンダーは、MITM TLS 復号化を完全に防ぐために証明書ピン留め技術を採用し始めています。

これらの開発により、システムに適用できるセキュリティについて疑問が生じます。 SASE ent に価値を提供しながらレベルを向上erp上昇します。 ここで、レピュテーション セキュリティ エンジンが勢いを増しています。

この記事では、TLS 復号化の有無にかかわらず、普遍的に適用できるセキュリティ エンジンについて説明することで、インターネット接続に対する SWG の価値を強調します。 また、復号化された TLS トラフィック上で動作するセキュリティ エンジンについても調査し、包括的なセキュリティ対策を可能にします。

のすべてのコンポーネントに共通する一般的な機能 SASE

As SASE セキュリティのアクセス制御はアイデンティティを中心としており、認証と認可はすべてのシステムで必要とされる基本的な機能です。 SASE コンポーネント。 に関する記事 アイデンティティを意識する SASE & アイデンティティブローカー さまざまな認証方法と複数の認証サービスとのインターフェイスについての洞察を提供します。

加えて、 プロキシ-イン-SASE この記事では、ユーザーからインターネットに流れるトラフィックをキャプチャするために使用されるテクニックについて詳しく説明しています。 SaaS サービスと参加するユーザーerpアプリケーションを上昇させます。 ただし、この記事では主に SWG コンポーネントのセキュリティ エンジンに焦点を当てます。 この記事では、すべてのユーザーに共通するその他の共通機能についても詳しく説明しないことに注意してください。 SASE 集中構成管理や可観測性機能などのコンポーネント。

セキュリティ エンジンと汎用ポリシーの評価

SASE フレームワークでは、すべてのセキュリティ エンジンは、システムの動作を制御するルールとアクションを提供する管理ポリシーに基づいて動作します。 各セキュリティ エンジンは複数のポリシー テーブルで構成され、各テーブルに複数のポリシーを含めることができます。

ポリシーは、アクションと一連のルールで構成されます。 「アクション」は、システムがトラフィック セッションを処理する方法を決定します。

ポリシー内のルールは、ポリシーが一致するとみなされるために満たさなければならない条件を定義します。 ルールは、一致する属性とそれに対応する値で構成されます。 トラフィック セッションが指定された属性値と一致する場合、ルールは一致するとみなされます。

ルール内でさまざまな一致属性を使用して、セキュリティ ポリシーを効果的に適用できます。 これらの属性の例には、スケジュール (日付/時間の範囲)、送信元 IP、宛先 IP、プロトコル/宛先ポート、送信元ポート、ユーザー電子メール アドレス、ユーザー グループ、ユーザー ロール、発行者などのユーザー クレーム属性、および JWT クレーム レジストリ。 さらに、ドメイン名などの属性、 URL、リクエスト ヘッダーと値、HTTP メソッド、デバイスの状態、UEBA スコア、ユーザーの場所、ドメイン カテゴリ、ドメイン レピュテーション スコア、 URL カテゴリー、 URL レピュテーション スコア、IP セキュリティ カテゴリ、IP レピュテーション スコア、ファイル レピュテーション スコアも利用できます。 すべてのセキュリティ エンジンがポリシー内のすべての一致する属性をサポートしているわけではないことに注意することが重要です。

SASE トラフィック セッションを複数のセキュリティ エンジンに通過させて評価します。 各セキュリティ エンジンは、設定されたポリシーに基づいてトラフィック セッションを許可するかどうかを個別に決定します。 すべてのセキュリティ エンジンがトラフィック セッションの継続を許可している場合、 SASE トラフィックの通過を許可します。

その順序は、 SASE セキュリティ エンジンの実行は通常、事前定義されています。 ただし、確かな SASE 実装によっては、セキュリティ エンジンが実行される順序を選択できる柔軟性が提供される場合があります。 これにより、管理者は特定のセキュリティ エンジンに優先順位を付けたり、要件に基づいて処理シーケンスを調整したりできます。

インライン脅威インテリジェンス収集

SWG (Secure Web Gateway) コンポーネントは、インライン脅威インテリジェンスの収集において重要な役割を果たします。 評判の良いプロバイダーからのデータ フィードに依存して、次のようなさまざまな側面に関する貴重な情報を取得します。

• IPアドレス、ドメイン、 URL、ファイル、および SaaS サービス: SWG は、脅威/データ インテリジェンス フィードを活用して、これらのエンティティの評判を評価します。 この情報は、潜在的に悪意のあるものを特定するのに役立ちます。cio私たちか疑惑cio情報源を提供し、システムが情報に基づいた意思決定を行えるようにします。
• ドメインの分類、 URLsであり、 SaaS サービス: インテリジェンス フィードを利用することで、SWG はドメインが属するカテゴリを決定できます。 URLsであり、 SaaS サービスが属します。 この分類はポリシーの適用に役立ち、組織が特定のカテゴリに基づいて詳細なセキュリティ制御を定義できるようになります。
• コンテンツのマルウェア分類: SWG は、収集した脅威インテリジェンスを利用して、コンテンツ分析に基づいて潜在的なマルウェアを分類します。 コンテンツの特徴を調べることにより、システムはマリファナを特定し、ブロックまたは隔離することができます。cioファイルや Web サイトを利用して、それらが危害を及ぼすのを防ぎます。
• コンテンツのデータ分類: SWG は、Web トラフィックのコンテンツを分類するためにデータ分類インテリジェンス フィードも利用します。 この分類は、送信またはアクセスされる可能性のある機密情報を識別するのに役立ち、組織がデータ保護ポリシーを効果的に適用できるようになります。

すべてインターネットに接続されているため、 SaaS トラフィックは SWG を通過するため、SWG にはトラフィックのさまざまな属性を収集する機能があります。 脅威/データ インテリジェンス フィードを活用することで、SWG は貴重な脅威情報でこれらの属性を充実させることができます。 この情報により、さまざまなセキュリティ エンジンにわたるポリシーの適用が容易になるだけでなく、SWG を通過するトラフィックに存在する脅威を可視化することもできます。 この強化された可視性により、組織は潜在的なセキュリティ リスクをリアルタイムで検出して軽減できるようになり、堅牢なセキュリティ体制が確保されます。

以前のセキュリティ エンジン SSL 検査

これらのセキュリティ エンジンは、TLS/トラフィック セッションが適用される前にトラフィック セッションを処理します。SSL 復号化されました。 これらのセキュリティ エンジンは、インターネットに送信されるすべての HTTP トラフィックに作用します。 これらのセキュリティ エンジンは、潜在的なリスクを特定した場合、トラフィック セッションを停止します。

• IP レピュテーションベースの脅威保護セキュリティ エンジン: SWG の管理者には、特定の IP カテゴリ、IP レピュテーション スコア、およびその他の一般的な属性に基づいてポリシーを作成する機能が与えられ、カスタマイズされたセキュリティ対策を確立できるようになります。 このエンジンは、マルウェアやフィッシング コンテンツをホストすることで知られる Web サイトにアクセスするユーザーに強力な保護を提供します。 このエンジンは、宛先 IP アドレスに関して収集された包括的な脅威インテリジェンスを活用して、潜在的なリスクを効率的に特定して軽減し、ユーザーをマリファナから保護します。cio私たちの活動。 各 IP アドレスのレピュテーションを評価することで、セキュリティ エンジンは、十分な情報に基づいて、一致するポリシーに合わせて実行する適切なアクションを決定し、プロアクティブで動的なセキュリティ体制を確保します。
• ドメイン レピュテーション ベースの脅威保護セキュリティ エンジン: SWG の管理者は、ドメイン カテゴリ、ドメイン レピュテーション スコア、その他の一般的な属性に基づいてポリシーを作成する機能を備えているため、必要なセキュリティ対策を効果的に定義できます。 このエンジンは、マルウェアやフィッシング コンテンツをホストしているとフラグが立てられた Web サイトにアクセスするユーザーに包括的な保護を提供します。 このエンジンは、HTTP CONNECT ホスト ヘッダー、TLS ベースの HTTP トラフィックの TLS SNI、クリア HTTP トラフィックのホスト ヘッダーなど、さまざまなソースから収集されたドメイン脅威インテリジェンスを活用して、ポリシーを評価し、潜在的なリスクを正確に特定して軽減します。 ドメイン レピュテーション データを組み込むことで、セキュリティ エンジンはプロアクティブな防御措置を確保し、全体的なセキュリティ体制を強化し、潜在的な脅威からユーザーを保護します。

レピュテーションベースのセキュリティ エンジンは、精度と適応性の両方を優先します。 これらのセキュリティ エンジンは、包括的なポリシー レベルの柔軟性を提供し、SWG 管理者が例外を作成できるようにします。 これらの例外は、脅威インテリジェンス フィードによって生成される誤検知に対処したり、ローカルの脅威ハンターがさらなる検査を実施できるようにトラフィックを許可するという意図的なニーズに対応したりするなど、さまざまな理由から重要です。

ドメイン レピュテーション セキュリティ エンジンに関しては、インテリジェンスの収集とレピュテーション ポリシーの適用にどのドメイン名を利用するかという重要な問題が生じます。 この疑問は、ドメイン名がトラフィックの複数の層に存在するために生じます。 SWG のフォワード プロキシ メソッドを介してトラフィックが流れる場合、SWG は HTTP CONNECT 要求のホスト ヘッダーおよび TLS Server Name Indication (SNI) フィールドからドメイン名を抽出できます。 通常、ホスト ヘッダーと TLS SNI 値は両方とも一致しますが、異なる場合もあります。 その結果、SWG は本質的に、デフォルトでこのセキュリティ エンジンを介して XNUMX つのパスを実行します。 最初のパスは SWG が HTTP CONNECT リクエストを受信するときに発生し、XNUMX 番目のパスは SWG が TLS トラフィックを受信するときに発生します。 このアプローチにより、SWG はドメイン レピュテーションを正確に評価し、対応するポリシーを適用できるようになります。

ただし、SWG はインテリジェントかつ効率的になるように設計されています。 HTTP CONNECT リクエストから抽出されたドメイン名と TLS SNI フィールドが同一の場合、SWG はこの冗長性を認識し、レピュテーション エンジンを XNUMX 回実行する必要がなくなります。 この最適化により、セキュリティ評価プロセスが合理化され、不必要な計算オーバーヘッドが削減され、SWG が包括的なドメイン レピュテーション ベースの脅威保護を確保しながら、高いパフォーマンス レベルを維持できるようになります。

アクセス制御エンジン

レピュテーション ベースの脅威保護に加えて、SWG は堅牢なアクセス制御機能を提供し、管理者がさまざまなインターネット サイトにアクセスするときにユーザーに差別化されたアクセスを提供できるようにします。 この強力なセキュリティ エンジンを使用すると、管理者は信頼できる脅威インテリジェンス プロバイダーが提供するドメイン カテゴリに基づいてポリシーを作成できます。

ドメイン カテゴリを活用することで、SWG 管理者は膨大な数のインターネット サイトをいくつかの包括的なカテゴリに分類することで管理エクスペリエンスを簡素化できます。 この分類システムにより、ポリシー作成の効率と容易さが向上し、管理者が個々のサイトごとに詳細な構成を必要とせずに、アクセス制御手段を効果的に定義できるようになります。

さらに、アクセス制御エンジンは、ポリシー内で個々のドメイン名を指定する柔軟性も提供します。 これにより、管理者は特定のサイトへのアクセスをきめ細かく制御でき、特定のサイトに独自のアクセス許可や制限が必要な状況に対応できます。

アクセス制御エンジンの柔軟性は、ドメイン分類プロセスで誤検出が発生するシナリオで特に役立ちます。 このような場合、管理者はポリシー内に例外を作成して分類をオーバーライドし、影響を受けるサイトの正確なアクセス制御を確保できます。 この例外処理機能により、管理者は、厳格なセキュリティ対策と、誤って分類される可能性がある正当なサイトへの必要なアクセスの提供との間のバランスを維持できるようになります。

SASE TLS/SSL 検査エンジン

SWG TLS/SSL 検査エンジンは、TLS のコンテンツへのアクセスを必要とする高度なアクセス制御と脅威保護を実現する上で重要な役割を果たします。SSL セッション。 ただし、TLS インスペクションではこれらのセッションを復号化する必要があり、これには秘密キーへのアクセスが必要です。 中間者 (MITM) エンティティとして、SWG は秘密キーに直接アクセスできません。 この制限を克服するために、TLS 検査エンジンは通常、Ent プロトコルを使用してサーバー証明書を模倣する手法を採用しています。erp信頼できる認証局 (CA) の台頭。

クライアントからの新しい TLS セッションごとに TLS 検査エンジンが実行する一般的な手順のフローは次のとおりです。

• 宛先サービス (インターネット サイト) への TLS 接続を確立します。
• 宛先サービスによって提示された証明書を取得します。
• 証明書の有効期間を含む内容を模倣して、模倣証明書を作成します。
• Ent を使用して模倣証明書に署名します。erp信頼できる CA が立ち上がります。
• クライアントとの TLS ハンドシェイク中にこの模倣証明書を提示します。

このプロセスをシームレスに機能させるにはsslブラウザでセキュリティ ポップアップを表示させずに、セキュリティ ポップアップを表示することが重要です。erprise CA 証明書チェーンは、通常はシステム管理ソフトウェアを通じて、信頼できる CA として従業員のマシンに安全に組み込まれます。

鍵の生成と模倣証明書の署名に関連する計算オーバーヘッドを最小限に抑えるために、TLS 検査エンジンは模倣証明書と対応する秘密鍵をキャッシュし、有効期限が切れるまで再利用します。

TLS インスペクションは高度な脅威保護とアクセス制御にとって非常に望ましいものですが、erp暗号化が許可されない特定のケースが発生する場合があります。 これらのケースには、特に銀行、金融、医療サイトにアクセスするときのプライバシーの問題や、証明書の固定が使用されるシナリオが含まれます。 さらに、enterpライズ社は、ブラウザーや Office 365 拡張機能などを介してクライアント側で TLS 暗号化が行われる前に、脅威がすでにチェックされているコンテンツに対して TLS 検査を有効にしないことを選択する場合があります。

TLS 復号化を実行するかどうかを柔軟に決定できるようにするために、SWG TLS/SSL 検査エンジンにより、管理者はポリシーを作成できます。 これらのポリシーにはドメイン カテゴリの分類を含めることができ、管理者は金融サイトやヘルスケア サイトなどの特定のカテゴリや、セキュリティ ポリシーが適用されるその他のサイトの TLS 復号化をバイパスできます。erpライズは復号化に不快感を感じています。

ポリシーベースの制御と分類を提供することで、SWG TLS/SSL 検査エンジンが有効にするerpは、堅牢な脅威保護と高度なアクセス制御を確保しながら、プライバシーとセキュリティの維持の間のバランスをとるために上昇します。

SWG PKI インフラストラクチャ

SASE サービスは本質的にマルチテナントであり、複数のエンティティをサポートしますerp上昇します。 この文脈の中で、いくつかのエントerpライズには独自の公開キー インフラストラクチャ (PKI) インフラストラクチャがある場合もありますが、PKI インフラストラクチャが導入されていない場合もあります。 ent に注意することが重要です。erp堅牢なセキュリティを確保するために、rise CA 証明書 (模倣証明書の署名に使用される) の有効期間は比較的短く、通常は数日である必要があります。 安全な環境を維持するには、CA 証明書の定期的な再発行が必要です。

SWG コンテキスト内で CA 証明書の秘密キーのセキュリティを確保するには、証明書署名要求 (CSR) ベースの証明書生成が推奨されます。 多くの SWG は、SWG データ プレーン インスタンスに中間 CA 証明書 (SWG CA 証明書) を発行するための独自の PKI インフラストラクチャを提供しています。 耳鼻咽喉科の場合erprise には独自の PKI インフラストラクチャがありません。SWG の PKI インフラストラクチャが、個々の Ent に代わって親 CA 証明書とルート CA 証明書を自動的に作成します。erp上昇。

耳鼻咽喉科の状況ではerprise には独自の PKI インフラストラクチャがあり、SWG の PKI インフラストラクチャがエンティティとの通信を確立します。erprise の PKI インフラストラクチャを使用して、署名された親 CA 証明書を取得します。 親 CA 証明書を取得すると、それを使用して SWG CA 証明書に署名し、模倣証明書の署名に使用される証明書の信頼性と整合性が保証されます。

PKI インフラストラクチャは、模倣証明書の署名に使用される秘密キーを保護する上で重要な役割を果たすため、SWG の重要なコンポーネントとみなされます。 CA 証明書の定期的な再発行などの PKI インフラストラクチャを効果的に管理し、確立されたセキュリティ慣行を順守することで、SWG はマルチテナント内で使用される証明書の整合性と信頼性を確保できます。 SASE サービス環境。

後のセキュリティ エンジン SSL 検査

TLS以降/SSL 復号化では、SWG は一連のセキュリティ エンジンを利用してトラフィック セッションを処理し、潜在的なリスクを特定します。 これらのセキュリティ エンジンは、包括的な脅威保護を確保する上で重要な役割を果たします。

URL レピュテーションベースの脅威保護セキュリティ エンジン

SWG 管理者には、以下に基づいてポリシーを作成する機能が備わっています。 URL カテゴリ、 URL レピュテーション スコアやその他の関連属性を利用して、セキュリティ対策を効果的に定義できるようにします。 ドメイン レピュテーション ベースの脅威保護エンジンはドメイン レベルでの保護を提供しますが、ドメイン レピュテーション ベースの脅威保護をドメイン レベルで実行する必要がある場合もあります。 URL レベル。 これは、サブセクションや異なるセクションがある Web サイトにとって特に重要です。 URLサイトの特定のセクションを表します。 ドメイン全体の評判は良いかもしれませんが、サイト内の特定の個々のセクションが侵害されたり、リスクが生じたりする可能性があります。 したがって、 URLベースのレピュテーション セキュリティ エンジンは、マルウェアがホストされた Web サイトやフィッシング Web サイトへのユーザーのアクセスを防止する包括的な保護に不可欠です。 特定の評判を考慮すると、 URLこのエンジンは脅威検出の精度を高め、有害な可能性のあるコンテンツを事前にブロックできるようにします。

「SWG 復号化前セキュリティ エンジン」セクションで前述したように、脅威インテリジェンス フィードから得られたレピュテーション スコアは誤検知を引き起こす可能性があります。 さらに、管理者が wan脅威ハンターによるより詳細な検査のためにトラフィック セッションを続行できるようにします。 さらに、包括的な保護がクライアント レベルですでに適用されている場合、ゲートウェイ レベルで脅威保護を二重化する必要はありません。 これらのシナリオに対処するために、復号化後のレピュテーション脅威保護エンジンもポリシー駆動型であり、管理者が例外ポリシーを作成できるようになります。

高度なアクセス制御エンジン

レピュテーション ベースの脅威保護に加え、SWG は堅牢な高度なアクセス制御機能を提供し、管理者がさまざまなインターネット サイトにアクセスするときにユーザーに差別化されたアクセスを強制できるようにします。 この高度なアクセス コントロール エンジンは、「SWG 復号化前セキュリティ エンジン」セクションで前述した「アクセス コントロール エンジン」と類似点があります。 ただし、TLS 復号化後に動作するため、以下に基づいてさらに高度なアクセス制御オプションを提供します。 URL、HTTP メソッド、および HTTP リクエスト ヘッダー。

高度なアクセス制御エンジンは、 URL カテゴリ。ドメイン カテゴリと比較して、Web サイトをより正確かつ詳細に分類できます。 活用することで URL カテゴリを使用すると、管理者は特定のカテゴリに基づいてアクセスを規制するポリシーを効果的に定義できます。 URLs、きめ細かいアクセス制御が可能になります。

アクセス コントロール エンジンと同様に、高度なアクセス コントロール エンジンも例外を作成する柔軟性を提供し、誤検知が発生するシナリオに対処します。 URL 分類。 これらの例外により、管理者は、誤って分類される可能性がある、または特別なアクセス許可を必要とする特定のサイトまたはコンテンツに対するデフォルトのアクセス制御ポリシーをオーバーライドできます。

コンテンツ検査を備えたセキュリティ エンジン

これまで説明したセキュリティ エンジンは、脅威が検出された場合、またはアクセスが拒否された場合にトラフィック セッションを停止することに重点を置いていました。 これらのエンジンは、初期の HTTP 情報とリクエスト ヘッダーに基づいて動作し、トラフィックが検査されるまでトラフィックを一時停止できます。

ただし、HTTP セッション内のコンテンツをより詳細に検査する必要がある追加のセキュリティ エンジンがあります。 これらのエンジンは、脅威を効果的に検出するために、リクエストとレスポンスの両方でコンテンツにアクセスする必要があります。 以前のエンジンとは異なり、これらのコンテンツ検査エンジンはトラフィック フロー全体を停止するのではなく、脅威が検出された瞬間に特定のトラフィックを停止します。

これらのセキュリティ エンジンの中には、コンテンツ全体へのアクセスが必要なだけでなく、脅威インテリジェンス フィードを利用して潜在的な脅威を特定する前に、コンテンツに対してさらなる処理を実行する必要がある場合もあります。 たとえば、ファイルが圧縮されている場合、分析するには圧縮を解除する必要があります。 さらに、特定の脅威インテリジェンス プロバイダーは、Word ドキュメント、Pow などのさまざまなファイル タイプからのテキスト ストリームの抽出を期待しています。erPoint プレゼンテーション、OpenOffice ファイル、Excel スプレッドシート、PDF など。 これらの抽出と脅威の検出は大量の計算を必要とするため、HTTP トランザクションに遅延が発生する可能性があります。

これに対処するために、これらのセキュリティ エンジンの多くは、脅威検出とインライン強制を伴うインライン キャプチャ、またはオフライン脅威検出を伴うインライン キャプチャの XNUMX つのオプションを提供します。 インライン検出モードでは、トラフィックがキャプチャされ、HTTP セッション内で脅威の検出が行われるため、即時の強制アクションが可能になります。 オフライン検出モードでもトラフィックはキャプチャされますが、テキスト ストリームの抽出と脅威インテリジェンス フィードによる脅威の検出は HTTP セッションの外部で実行されます。 このモードでは、問題のあるトラフィックは直ちに停止されませんが、潜在的な脅威に対する可視性は維持されます。 これら XNUMX つのモードは、エンタープライズに柔軟性を提供します。erpは、インライン脅威保護とユーザー エクスペリエンスのバランスをとり、ニーズに最も適したアプローチを選択できるようにします。

ファイル レピュテーション ベースの脅威保護セキュリティ エンジン

SWG には、HTTP 経由で転送されるファイルのレピュテーションを評価する際に重要な役割を果たすファイル レピュテーション ベースの脅威保護セキュリティ エンジンが組み込まれています。 このエンジンは、SWG の脅威インテリジェンス収集機能を活用し、ゲートウェイを通過するコンテンツを継続的に分析します。 トラフィックが流れると、脅威インテリジェンス エンジンは、ファイルのレピュテーション スコアを決定するために、転送中とファイルの終わりの両方でコンテンツのハッシュを計算します。 必要に応じて、SWG はハッシュを計算する前にコンテンツの解凍を実行します。 管理者は、ファイル レピュテーション スコアを考慮し、この評価に基づいてトラフィック セッションを許可するか拒否するかを決定するポリシーを柔軟に作成できます。 このセキュリティ エンジンはポリシー評価を実行し、脅威が検出されるとそれ以上のトラフィックの転送を停止します。

マルウェア対策セキュリティ エンジン

SWG に統合されたマルウェア対策セキュリティ エンジンには、高度な脅威インテリジェンスとマルウェア対策機能が組み込まれており、ウイルスやマルウェアがトラフィック ストリームに侵入してユーザー デバイスに到達することを効果的に検出して阻止します。 このエンジンは、双方向のトラフィックをアクティブに監視することで、ユーザーが無意識にマルウェアを拡散するのを防ぐ上でも重要な役割を果たします。 前述したように、これらのセキュリティ エンジンはさまざまな手法を使用してローカル ファイル内のコンテンツを分析します。 必要に応じて、エンジンはファイルを解凍してテキスト ストリームを抽出し、脅威インテリジェンスのマルウェア対策機能を使用して徹底的な検査を行います。 テキスト ストリームは、シグネチャ ベースの分析にとって特に重要であり、既知のマルウェア株の検出を可能にします。

SWG ソリューションは管理者に柔軟性を提供し、さまざまな種類のマルウェアを検出し、脅威インテリジェンス プロバイダーが提供する信頼レベルを考慮して実行する適切なアクションを指示するポリシーを作成できます。 これにより、マルウェアへの対応が特定の脅威とリスク レベルに合わせて調整されることが保証されます。 さらに、SWG は、ポリシー内に例外を作成して、パフォーマンス上の懸念や誤検知に対処し、脅威ハンターによるより詳細な脅威の検査を容易にする機能を提供します。 この柔軟性により、管理者はセキュリティ対策を微調整し、保護と運用効率の適切なバランスを取ることができます。

侵入検知および防御 (IDP) セキュリティ エンジン

IDP セキュリティ エンジンは SWG に不可欠な部分であり、トラフィック ストリーム内の潜在的なエクスプロイトを特定するように設計されています。 システムの脆弱性の悪用は、攻撃者が不正アクセスを取得し、ルートキットを導入し、マルウェアを配布するために使用する一般的な方法です。 これらの脆弱性は、バッファ/スタック オーバーフロー、不適切な入力検証、システムやアプリケーションの構成ミスなどの形で発生する可能性があります。 SWG 内の IDPS は、クライアント マシンをターゲットとしたエクスプロイト攻撃を検出し、インターネット上のサードパーティ サービスを悪用しようとする侵害されたクライアントを特定して、セキュリティ侵害を防ぐことができます。erp資産がさらなる攻撃の発射台にならないようにするためです。

SWG 内の IDP エンジンは、次のような理由により、誤検知を減らして正確な検出を実現します。

• クリアデータへのアクセス：IDP エンジンは暗号化が解除されたトラフィック データにアクセスできるため、潜在的な攻撃を効果的に分析して検出できます。
• 再構築および再順序付けされたデータへのアクセス: エンジンは、再構築および並べ替えられたデータ ストリームにアクセスできるため、あらゆる悪意のあるものの包括的な分析と検出が保証されます。cio私たちの活動。
• HTTP プロトコルで抽出およびデコードされたデータへのアクセス: SWG のプロキシ部分からデータを抽出してデコードすることにより、IDP エンジンはコンテンツをより深く可視化し、攻撃パターンをより効果的に検出できるようになります。

IDP エンジンは、プロトコル異常シグネチャ、トラフィック異常シグネチャ、コンテンツ ベースのシグネチャなど、さまざまなタイプのシグネチャを使用して攻撃を検出します。 脅威インテリジェンス プロバイダーは広範なシグネチャ データベースを提供していますが、すべてのシグネチャを読み込むとシステム パフォーマンスに大きな影響を与える可能性があります。 この問題に対処するために、SWG はシグネチャの適用性などの要素に基づいたシグネチャ調整機能を提供します。 たとえば、HTTP ベースのトラフィックに関連しない署名や、HTTP 内の復号化されていないコンテンツを検査する署名を回避できます。 チューニングでは、リスクへの影響や、脅威インテリジェンス プロバイダーが提供するシグネチャの信頼レベルなどの要素も考慮することができます。

SWG ソリューションはポリシーベースのトラフィック選択も提供し、管理者がどのトラフィックに IDP 処理を実行するかを決定できるようにします。 この柔軟性により、クライアント エンドポイント レベルで攻撃がすでにスキャンされているトラフィックに対する冗長な IDP スキャンを回避できます。

データ損失防止セキュリティ エンジン

SWG 内にデータ損失防止 (DLP) セキュリティ エンジンを組み込むことがますます普及しています。 この強力なエンジンは、ユーザーが適切な許可なしに機密の財務、会計、またはビジネス上の機密情報を誤って送受信することを防ぐように設計されています。 DLP セキュリティ エンジンは、ポリシーベースの制御とユーザー属性を活用することで、偶発的または意図的なデータ漏洩のリスクを監視し、軽減します。

DLP セキュリティ エンジンがその役割を効果的に実行するには、データ送信の完全なコンテンツにアクセスする必要があります。 テキスト ストリームを抽出し、機密性に基づいてデータを分析および分類できるようにします。 データ分類インテリジェンス プロバイダーは、テキスト ストリームを利用して分類結果を生成します。分類結果には、コンプライアンス ラベル (個人を特定できる情報または PII など)、一般的な機密文書データ (財務情報など)、カスタム定義の機密データなどのさまざまな属性が含まれます。

機密データの正確な制御を容易にするために、SWG は管理者に、さまざまな分類属性と値を組み込んだポリシーを作成する機能を提供します。 これらのポリシーを一般的な一致属性と組み合わせることで、管理者はきめ細かいアクセス制御を定義し、さまざまな種類の機密データの処理方法を指定できます。

カスタム セキュリティ エンジン (独自のセキュリティ エンジンの導入)

一方、 SASE/SWG プロバイダーは包括的なセキュリティを提供しますが、進化し続ける脅威の状況、特にゼロデイ攻撃には追加の機能強化が必要になる場合があります。 エントerpライズ セキュリティ チームは、多くの場合、脅威ハンティングの取り組みに積極的に取り組み、新しい攻撃パターンを特定します。 他の企業から新たな脅威パターンを受信する可能性もありますerp脅威インテリジェンスの共有を通じてセキュリティ チームを強化します。 どちらの場合でも、これらのチームは、 want SWG は、これらの新たな脅威パターンや攻撃から資産を保護します。

通常、SWG には適切に構成された IDP エンジンやその他のセキュリティ エンジンが搭載されていますが、構成システムに複雑な脅威パターンを検出するためのルールを作成する柔軟性が欠けている場合があります。 これらの保護のための新しいソフトウェア ロジックを追加するために SWG プロバイダーのみに依存すると、時間がかかる可能性があります。 さらに、ent によって観察された脅威パターンerp上昇は環境に固有の場合があり、一般的な使用には適用できません。 このような場合、SWG ベンダーは、これらのカスタム要件に対処するために新しいソフトウェアをタイムリーにリリースすることに躊躇する可能性があります。 したがって、ent が開発した新しいカスタム プログラム セキュリティ エンジンを統合する柔軟性が必要です。erpセキュリティ部門またはマネージド セキュリティ サービス プロバイダー (MSSP) を強化します。

SWG ソリューションは、新しいセキュリティ エンジンを組み込むためのオープン インターフェイスを提供することが期待されています。 一部の SWG は、Lua スクリプトと WebAssembly (WASM) モジュールを追加する機能を提供します。 これらの機能を使用すると、組織は Lua スクリプトや WASM モジュールなどの新しいセキュリティ エンジンを開発し、それらを SWG インフラストラクチャに統合できます。 SWG は、これらのカスタム エンジンが他のセキュリティ エンジンに干渉しないこと、および SWG 管理者が設定した構成制限内でコンピューティング リソースを消費することを保証します。

SWG は、カスタムのプログラムによるセキュリティ エンジンの統合を可能にすることで、セキュリティを強化します。erpセキュリティ体制を強化し、新たな脅威に迅速に対応し、資産を効果的に保護するために立ち上がっています。 この柔軟性により、組織は社内のセキュリティ専門知識を活用したり、MSSP と協力して、独自のセキュリティ要件に対応するカスタマイズされたセキュリティ エンジンを開発したりできます。

まとめ

要約すると、この記事では、安全なインターネット アクセスのためのセキュリティ エンジンの概要を説明しました。 すべてのセキュリティ エンジンが含まれるかどうかは、異なる場合があることに注意することが重要です。 SASE/SWG ソリューションや新しいセキュリティ エンジンは、新しいタイプのインターネット脅威の出現に応じて追加される可能性があります。

SASE/SWG ソリューションは、IP レピュテーション ベースの脅威保護、ドメイン レピュテーション ベースの脅威保護、アクセス コントロール、TLS などのセキュリティ エンジンを活用します/SSL インスペクション、ファイル レピュテーション ベースの脅威保護、マルウェア対策、侵入検知と防御、データ損失防止など。 これらのセキュリティ エンジンは全体的なセキュリティ対策を強化し、インターネットにアクセスする際のさまざまな脅威に対する保護を提供します。

脅威の状況が進化し続ける中、組織はセキュリティのニーズを定期的に評価し、選択したセキュリティを確保する必要があります。 SASE このソリューションには、新たなリスクを効果的に軽減するために必要なセキュリティ エンジンが組み込まれています。

• CTO の洞察ブログ

  　 Aryaka CTO Insights ブログ シリーズでは、ネットワーク、セキュリティ、およびセキュリティに関するソート リーダーシップを提供します。 SASE トピック。 のために Aryaka 製品仕様を参照してください Aryaka データシート。