다양한 프록시의 융합 SASE

통합 인증 SASE 역할 사이버 위협 사냥

프록시가 필요한 이유 SASE?

패킷 수준의 보안이 충분하다고 생각되던 시대는 지났습니다. 공격의 정교함으로 인해 다양한 종류의 보호를 위해 콘텐츠 심층 검사를 수행하는 것이 필수적입니다. ID 인식 액세스는 분산된 인력과 분산된 애플리케이션으로 인해 핵심 요구 사항입니다. 이것 블로그 게시물 ID 인식 액세스와 관련된 요구 사항을 자세히 살펴봅니다. API/애플리케이션 리소스 수준에서 심도 있는 콘텐츠 검사 및 신원 인식 액세스를 위해서는 클라이언트 연결 종료, 위협 감지를 위한 콘텐츠 검사, 액세스 제어, 프록시를 통한 연결 시작이 필요합니다. 따라서 많은 SASE 해결책 프록시를 통해 보안을 구현합니다.

프록시 유형

Forward, Reverse 및 Transparent와 같은 다양한 유형의 프록시에 대해 들어 보셨을 것입니다. 모든 유형의 프록시의 주요 기능은 동일합니다. 높은 수준의 기능은 여기에 나열되어 있습니다.

  • 트래픽 파악
  • 클라이언트 연결을 종료합니다.
  • 클라이언트를 인증합니다.
  • 사용자 ID를 가져옵니다.
  • 서버에 대한 연결을 시작합니다.
  • TLS 복호화 및 암호화
  • IP 및 도메인 평판을 확인하십시오.
  • ID 기반 액세스 제어를 수행합니다.
  • 수행 CASB 기능.
  • 데이터 손실을 확인하고 손실을 방지하십시오.
  • 침입탐지/방지 기능을 수행합니다.
  • 웹 애플리케이션 방화벽 기능을 수행합니다.
  • 트래픽에서 맬웨어 및 익스플로잇 지표를 찾고 조치를 취하십시오.

서로 다른 점은 다음 요소를 기반으로 합니다.

  • 위협 검사 및 액세스 제어를 위한 트래픽 확보
  • 사용자 인증 및 사용자 식별

투명 프록시 유형

이 유형에서 클라이언트와 서버는 프록시의 존재를 알지 못합니다. 이러한 프록시는 트래픽이 통과하는 네트워크 라우터에서 트래픽을 캡처합니다. 사무실 사용자의 트래픽과 WFH 사용자의 트래픽이 ent를 통해 전달되도록 하는 것은 네트워크 관리자의 책임입니다.erp상승 라우팅 엔터티. WFH 사용자의 트래픽이 Ent를 통과하도록 하기 위해erpRise 라우터를 활용하는 것이 일반적입니다. VPN Ent에 연결할 클라이언트erp상승 네트워크. 의 경우 SD-WAN, VPN 터널 종료 시간 VPN 가장 가까운 PoP 위치에 집중 장치.

사용자 인증 및 해당 사용자 식별은 다음을 통해 이루어집니다.

  • 명시적 포털
  • 주문형 포털
  • VPN 터널 구축
  • TLS 클라이언트 인증서

"Explicit Portal"의 경우 사용자가 적극적으로 포털에 로그인합니다. 포털 서비스는 ent의 도움으로 사용자를 인증합니다.erp상승 인증 시스템. 사용자 자격 증명이 성공적으로 확인되면 사용자의 IP 주소(연결의 소스 IP에서)를 기록하고 프록시에 사용자 ID 및 IP 주소 매핑 정보를 알립니다. 프록시가 이러한 매핑을 알게 되면 프록시는 트래픽의 IP 주소에서 사용자를 식별하고 ID 인식 정책 시행을 수행합니다.

사용자가 포털에 사전 인증하지 않고 세션을 시작하면 프록시가 사용자를 포털로 리디렉션할 수 있습니다. 포털 액세스는 주문형이므로 이 인증 방법을 주문형 포털 인증이라고도 합니다. 한 가지 유의할 점은 사용자를 포털로 리디렉션하는 것은 연결이 HTTP/HTTPS 기반인 경우에만 가능하다는 것입니다. HTTPS의 경우 리디렉션은 TLS 복호화 이후에만 가능합니다. 미접속으로 접속하는 경우erprise services/sites, ent로 서버 인증서를 모방해야 합니다.erp상승 소유 CA 인증서. 또한 사용자가 브라우저를 사용하는 실제 사용자가 아닌 경우 리디렉션이 도움이 되지 않습니다. 이러한 경고에도 불구하고 프록시가 사용자를 인증하고 식별하는 데 여전히 강력한 방법입니다.

간단히 논의한 바와 같이, ent의 일부가 되기 위해erpWFH(Work From Home) 사용자는 ent에 연결해야 합니다.erp다음을 통해 네트워크 상승 VPN 터널. VPN 터널 설정은 이미 사용자 인증을 수행합니다. VPN 집중 장치는 각 클라이언트에 고유한 사설 IP 주소를 할당합니다. 사용하도록 클라이언트를 구성할 수 있습니다. VPN 따라서 이 IP 주소는 대부분의 연결(분할 터널링 비활성화 포함)의 소스로 사용됩니다. VPN 집선 장치는 클라이언트에 할당된 IP 주소, 사용자 ID(이니시에이터 ID) 매핑을 외부 당사자에게 알릴 수 있습니다. 프록시는 나중에 클라이언트가 세션을 시작할 때 이 매핑을 사용하여 사용자에 대한 세션을 식별합니다.

TLS 세션이 설정된 클라이언트 프로그램에 TLS 클라이언트 인증서가 있으면 이를 사용하여 사용자를 인증하고 식별할 수 있습니다. 이것은 오늘날 매우 드물게 사용됩니다. SASE, 그러나 사용 가능한 옵션 중 하나입니다.

투명 프록시 유형의 주요 이점 중 하나는 HTTP/HTTPS뿐만 아니라 모든 프로토콜 트래픽을 캡처할 수 있다는 것입니다. 또 다른 주요 이점은 ent에 특별한 구성이 없다는 것입니다.erp클라이언트 시스템 또는 서버 시스템을 상승시킵니다.

이러한 유형의 프록시에는 몇 가지 단점이 있습니다. 트래픽에서 관찰된 IP 주소를 기반으로 사용자를 식별하므로 해당 사용자 시스템의 모든 애플리케이션은 동일한 보안 처리를 받습니다. 다중 사용자 시스템인 경우 해당 시스템의 모든 사용자는 동일한 보안 처리/권한을 얻습니다. 이 IP 주소가 여러 시스템을 NAT하는 경우 해당 NAT IP 주소 뒤의 모든 시스템은 동일한 액세스 및 보안 처리를 받습니다. 사용자 노트북이 악성코드에 감염된 경우를 생각해 보십시오. 맬웨어는 사용자가 포털에 로그인하는 동일한 시스템의 일부이므로 맬웨어는 해당 사용자에 대해 정의된 것과 동일한 액세스 권한을 얻습니다. 이로 인해 적어도 HTTP/HTTPS 세션에 대해서는 투명한 프록시 유형을 주의해서 사용해야 합니다.

또 다른 단점은 이러한 유형의 프록시에 다음이 필요하다는 것입니다. VPN 장치에 클라이언트가 있어야 합니다. 관리되는 장치에서는 문제가 되지 않지만 직원이 설치하도록 설득하는 것은 어려울 수 있습니다. VPN 직원 소유 장치의 클라이언트.

정방향 프록시 유형

정방향 프록시는 외부 서비스/사이트와 통신하는 클라이언트 장치를 위한 것입니다. 클라이언트 애플리케이션은 정방향 프록시를 통해 외부 서비스와 통신하도록 구성됩니다. 클라이언트 응용 프로그램은 프록시가 수신하는 프록시 FQDN/IP 및 포트로 구성됩니다. 투명 프록시의 경우 세션의 소스 및 대상 IP 주소에는 프록시 IP 주소가 없습니다. 정방향 프록시의 경우 클라이언트에서 프록시 IP 주소로 연결하고 서버로 연결하면 프록시 IP 주소에서 연결됩니다.

PAC 파일은 프록시 설정이 있는 브라우저와 같은 클라이언트 응용 프로그램을 구성하는 데 사용됩니다. PAC 파일을 사용하면 대상 서비스 도메인을 기반으로 다양한 프록시로 트래픽 라우팅을 선택할 수 있습니다. PAC 파일은 시스템 관리 솔루션 또는 WPAD(Web Proxy Auto Discovery) 서비스를 통해 클라이언트 브라우저에 배포됩니다.

프록시 설정이 있는 클라이언트 애플리케이션은 항상 프록시와 통신합니다. 이것이 정방향 프록시가 트래픽을 캡처하는 방법입니다. HTTPS와 같은 TLS 연결의 경우 모든 TCP 연결은 “HTTP CONNECT” 트랜잭션으로 시작됩니다. 이 트랜잭션은 클라이언트와 프록시 사이에서만 이루어집니다. 해당 HTTP CONNECT 트랜잭션 후 클라이언트와 서버 간의 데이터는 프록시에 의해 조정됩니다. "HTTP CONNECT" 트랜잭션에는 최종 대상 FQDN 및 포트를 결정하기 위해 프록시에서 값을 사용하는 호스트 헤더 필드가 있습니다. HTTP2.0의 경우 모든 스트림 연결은 “HTTP CONNECT” 트랜잭션으로 시작됩니다. 보시다시피 트래픽이 Ent로 전송될 필요가 없습니다.erp프록시가 트래픽을 캡처하도록 라우터를 상승시킵니다. 즉, 트래픽이 직접 프록시로 이동합니다. 그런 식으로 네트워크에 구애받지 않습니다.

정방향 프록시는 또한 프록시 인증 및 프록시 인증 헤더를 통해 사용자를 인증하고 식별할 수 있습니다. TLS 연결의 경우 이러한 헤더는 HTTP CONNECT 트랜잭션에서 각각 응답 및 요청으로 전송됩니다. 주목해야 할 점은 사용자를 인증하고 식별하기 위해 TLS 연결을 해독할 필요가 없다는 것입니다. 포털 인증이 필요하지 않습니다. 한 가지 추가 이점은 많은 브라우저와 클라이언트 응용 프로그램이 프록시 인증의 일부로 Kerberos를 지원한다는 것입니다. 이를 통해 장치에 로그인하는 모든 사용자는 추가 로그인 팝업(SSO라고도 함) 없이 자동으로 프록시로 자신을 인증할 수 있습니다.

외부 서비스와 통신하는 클라이언트에 정방향 프록시 유형을 사용하면 몇 가지 이점이 있습니다. 그들 중 일부는 아래에 나열되어 있습니다.

  • 사용자 인증 및 식별은 결정적입니다. 투명 프록시 유형의 경우 사용자가 포털에 사전 인증하는 것을 잊은 경우 사용자 인증을 위한 온디맨드 포털 또는 캡티브 포털 리디렉션은 TLS 복호화 후에만 가능합니다. 일부 엔트erprises는 PII를 수집하는 사이트에 대한 TLS 암호 해독을 허용하지 않습니다. 사이트에서 인증서 고정을 채택하는 경우 투명한 프록시가 인증서를 모방할 것으로 예상되지 않으므로 TLS 암호 해독이 불가능합니다. 이러한 경우 사용자는 ID 인식 정책 적용을 제공하도록 결정할 수 없습니다. 순방향 프록시 유형에서는 TLS 교환 전에 프록시 인증 단계가 발생하므로 사용자 인증 및 식별이 결정적입니다.
  • 앞에서 설명한 것처럼 정방향 프록시는 네트워크에 구애받지 않으며 클라이언트 응용 프로그램이 프록시 설정으로 구성된 한 모든 네트워크에서 작동할 수 있습니다. 할 필요가 없다 VPN 사용자가 집에서 작업하는 경우에도 클라이언트가 장치에 있습니다.
  • 많은 클라이언트 응용 프로그램이 Kerberos를 지원하므로 사용자는 SSO 경험을 얻습니다.
  • TLS 1.3+의 ECH(Encrypted Client Hello)가 업계에서 주목을 받고 있습니다. ECH가 채택되면 SNI가 보이지 않으므로 투명 프록시 유형은 기본적인 작업도 수행할 수 없습니다. URL 필터링 및 액세스 제어. 순방향 프록시 유형에서는 HTTP CONNECT 트랜잭션으로 인해 프록시는 ECH가 채택되더라도 대상 FQDN을 알고 있습니다. 즉, 순방향 프록시 유형은 ECH 안전입니다.
  • IP 화이트리스트가 없습니다. 모든 클라이언트 애플리케이션은 프록시와 별도로 인증해야 하므로 매우 안전합니다.

단점도 적습니다. HTTP/HTTPS 트래픽에 대해서만 작동합니다. 대부분의 클라이언트 애플리케이션은 프록시 설정을 지원하지만 일부는 지원하지 않습니다.

리버스 프록시 유형

리버스 프록시는 서버 애플리케이션을 프런트엔드하는 데 사용됩니다. 리버스 프록시는 위협으로부터 서비스를 보호하고, RBAC를 제공하고, TLS 세션을 종료하고, 여러 서비스 인스턴스 간에 트래픽 세션의 부하를 분산하는 데 사용됩니다.

다음을 통한 역방향 프록시 캡처 트래픽 DNS 행동 양식. 각 항목의 FQDNerp직원 또는 공용 사용자에게 노출되는 상승 서비스는 ent에 구성됩니다.erp일어나 다 DNS 리버스 프록시 인스턴스의 IP 주소를 가리키는 서버. 이로 인해 사용자가 엔터티에 연결을 시도할 때마다erp상승 서비스, 해당 트래픽은 리버스 프록시에 도착합니다.

리버스 프록시는 HTTPS/HTTP 세션도 종료합니다. 이 프로세스의 일부로 사용자를 인증한 다음 OIDC, SAMLv2 및 SPENGO/Kerberos 방법을 통해 세션 사용자를 식별합니다. 앱 간 통신의 경우 TLS 인증서에서도 사용자를 식별합니다.

SASE 대리

입문서의 경우 SASE에 대한 블로그 게시물을 읽으십시오. 해독 SASE. 당신이 관찰했을 수도 있듯이, SASE 솔루션은 포괄적인 보안을 제공할 것으로 기대됩니다. – 클라이언트 보안, 보안 SaaS 데이터 및 보안erp상승 응용 프로그램. 에 설명된 바와 같이 신원 인식SASE 블로그 게시물, ID 기반 액세스 제어는 SASE. 비록 많은 엔트erp상승은 HTTP/HTTPS 액세스만으로 살 수 있으며 일부는 다른 프로토콜에 대한 액세스 제어도 필요할 수 있습니다. 이러한 필요로 인해 우리는 SASE 프록시는 HTTP가 아닌 트래픽 및 프록시 설정을 지원하지 않는 클라이언트 응용 프로그램에 대해 투명하게 작동합니다. 그만큼 SASE 프록시는 인터넷에 액세스하는 클라이언트 애플리케이션에 대한 순방향 프록시 역할을 하며 SaaS 결정론적 신원 기반 액세스 제어를 제공하고 ECH가 채택될 때 미래에 대비하기 위한 서비스입니다. 그만큼 SASE 프록시는 또한 엔터티를 보호하기 위해 리버스 프록시 역할을 합니다.erp상승 응용 프로그램. 이러한 여러 프록시 유형의 수렴은 성공을 위해 필요합니다. SASE 솔루션입니다.

  • CTO 인사이트 블로그

      Aryaka CTO Insights 블로그 시리즈는 네트워크, 보안 및 보안에 대한 사고 리더십을 제공합니다. SASE 주제. 을 위한 Aryaka 제품 사양 참조 Aryaka 데이터시트.

저자,

Srini Addepalli
Srini Addepalli 25년 이상의 경력을 가진 보안 및 에지 컴퓨팅 전문가입니다. Srini 네트워킹 및 보안 기술 분야에서 다수의 특허를 보유하고 있습니다. 그는 BITS, Pilani에서 전기 및 전자 공학 학사(우등) 학위를 취득했습니다. India.