通过统一的综合 IDPS 阻止安全风险 SASE

在安全访问服务边缘的范围内（SASE），入侵检测和防御系统（IDPS）的集成几乎是普遍的。 它的作用不仅仅是阻止已知的攻击，它还充当 IOC（妥协指标，提供全面的保护层）的警惕哨兵。我什至认为，IDPS 在更多领域中被用于妥协指标和攻击指标。组织最近的过去。

IDPS 的强大之处在于它能够提供对网络流量的丰富洞察； 它不仅提取连接元数据（例如连接的 5 元组），还深入研究各种协议字段的细微差别。 这种深度提取产生了有关网络数据特征的宝贵信息，从而增强了上下文感知。

IDPS 使用多种方法来加强网络安全。 它通过基于签名的检测方法熟练地检测和阻止已知的漏洞和恶意软件。 此外，它还通过采用可以识别不规则数据包或流模式的规则来防范异常数据。 这些规则扩展了它们的范围，以涵盖异常的协议属性大小和意外的协议值行为。

虽然 IDPS 的功能和安全有效性 SASE 框架 服务提供商之间可能表现出细微的差异，但由于使用通常来自第三方威胁情报供应商的签名数据库，核心功能仍然大致相似。 此外，即使面对攻击者采用的多种规避技术，IDPS 技术也已经成熟并开发出类似的功能。 根据我的评估，提供商之间的主要区别在于可观察性领域以及他们为威胁搜寻提供的设施，重点是最大限度地减少误报和漏报。

本文的目的不是深入探讨 IDPS 之间的功能差异 SASE 服务。 相反，它试图探索数据包路径中执行 IDPS 功能的精确点。 SASE 服务以及这些插入点是否有效地检测原始流量中的攻击模式。

一些人认为，在安全访问服务边缘的代理级别合并入侵检测和防御系统 (IDPS) 功能（SASE）服务就够了。 他们的理由源于这样一个事实：许多组织已经使用 OnPrem IDPS 对通用流量进行入侵检测。 OnPrem IDPS 的主要挑战在于它无法检查 TLS 加密的流量。 鉴于 SASE 代理进行中间人 (MITM) TLS 检查，它们可以访问未加密的流量。 因此，我们认为在代理处拥有 IDPS 插入点就足够了。

此外，一些人认为，大量系统已针对网络级（L3/L4）和 TLS 级攻击进行了充分的修补。 作为回应，攻击者已将重点转向在应用程序（L7）和数据级别采用更复杂的策略。 因此，存在一种普遍的观念，即不将 IDPS 功能扩展到网络内的代理级别之外是合理的。 然而，这个论点并不适用于所有情况。 考虑继续在旧的、不经常更新的操作系统上运行的物联网设备。 这些设备可能仍然容易受到更广泛的攻击，因此需要采取全面的安全方法。

许多人也承认 SASE 预计服务将在代理和 L3 级别合并 IDPS，以确保对所有网络流量进行彻底检查。 为了实现全面的攻击检测，IDPS 功能不仅应应用于代理级别（如前所述），还应应用于代理级别。 WAN 接口级别，其中流量进入和退出指定用于进出 Internet 的流量的接口。 虽然这种方法比仅在代理级别部署 IDPS 有所改进，但它确实带来了挑战。 在流量流经代理的情况下，IDPS 可能无法了解会话两个方向上的原始流量。 代理通常会终止连接并建立新连接。 由于他们依赖当地 TCP/IP堆栈，它们重新组装原始数据包，重新排序 TCP 数据，重新创建IP/TCP 选项，并重新生成 TLS 握手消息。 因此，IDPS 在 WAN 接口级别可能缺乏对源自内部网络的原始流量的可见性，可能导致其忽略属于原始流量的攻击模式。

值得注意的是，攻击者并不总是来自外部；攻击者也可能来自外部。 也可能存在内部攻击者。 此外，由于之前的恶意软件感染，攻击可能源自内部系统。 因此，确保 IDPS 始终观察两个方向的原始流量对于有效检测和预防威胁至关重要。

寻找 SASE 具有多个 IDPS 插入点的服务

我们倡导 SASE 服务提供在多个点插入 IDPS 的灵活性，并且所有点同时处于活动状态。 组织应该可以自由选择是否在每个 L3 接口和代理级别部署 IDPS。 这种方法使 IDPS 能够检查来自会话的客户端和服务器端点的原始流量，即使流量经过 TLS 加密并通过代理也是如此。

此外，组织应积极寻找 SASE 避免因多个插入点而生成重复警报和日志的服务。 例如，不通过任何代理但穿越多个 L3 接口（在一个接口上接收并通过另一个接口发送）的流量可能会被两个 IDPS 实例看到，从而可能导致重复的警报和日志。 建议组织确保最大程度地减少日志中的此类冗余，以防止已经在处理安全功能生成的大量日志的管理人员被淹没。 理想情况下， SASE 服务应在每个流量会话的基础上展示智能，并在会话内没有发生流量修改的情况下智能地避免重复的 IDPS 功能执行。 SASE 服务。

此外，组织应寻求能够关联多个安全功能（包括各种 IDPS 实例）针对给定流量会话生成的日志的解决方案。 这种相关性有助于增强可观察性，并通过简化安全事件的映射来简化威胁搜寻者的工作。

认识到 IDPS 的计算密集型性质，组织还应尽可能努力节省资源。 例如，如果组织已经使用主机 IDS (HIDS) 或本地 IDPS，他们可能希望保留对特定实例上某些类型流量的 IDPS 停用的控制。 SASE 提供基于策略的 IDPS 引导的服务可以使组织能够决定哪些流量应接受域内不同 IDPS 实例的检查。 SASE 框架。

总之，IDPS 在 SASE 范式超出了它的特征； 这取决于灵活性 SASE 提供有关 IDPS 插入点及其为组织提供的控制程度，以符合其特定要求。

• CTO 见解博客

  Aryaka CTO 见解博客系列提供网络、安全和技术方面的思想领导力 SASE 主题。 为了 Aryaka 产品规格参考 Aryaka 数据表。