释放潜力：声誉在企业中的关键作用 SASE 建筑

安全 Web 网关 (SWG) 在 SASE/SSE 解决方案，旨在保护互联网绑定的连接。 其主要目标是保护用户免受在线威胁并在组织内实施可接受的访问策略。 SWG 通过拦截用户流量并采用各种安全引擎（包括访问策略实施）来实现这一目标。 只有符合组织访问策略并被认为是干净的流量才允许通过。

目前 95% 的互联网流量已加密，实现了全面的安全保障 SASE/SSE 解决方案需要能够解密此流量。 虽然大多数流量可以使用 MITM（中间人）TLS 解密进行解密，但人们对用户隐私的担忧已经出现，特别是当用户访问处理个人身份信息 (PII) 的网站或银行网站时。 此外，某些应用软件供应商已开始采用证书固定技术来完全防止 MITM TLS 解密。

这些事态发展引发了人们对可应用于的安全性的疑问。 SASE 水平，同时仍为企业提供价值erp上升。 这就是声誉安全引擎正在获得动力的地方。

本文通过描述可普遍应用的安全引擎（无论有或没有 TLS 解密），强调了 SWG 对于互联网绑定连接的价值。 它还探索了在解密的 TLS 流量上运行的安全引擎，从而实现全面的安全措施。

所有组件共有的通用特征 SASE

As SASE 安全的访问控制以身份为中心，身份验证和授权是所有领域所需的基本功能 SASE 成分。 有关的文章 身份感知 SASE 和 身份经纪人 提供对不同身份验证方法以及与多种身份验证服务的接口的见解。

此外，该 代理--SASE 文章深入研究了用于捕获从用户流向互联网、用户流向互联网的流量的技术。 SaaS 服务和用户进入erp上升应用程序。 不过，本文主要关注 SWG 组件的安全引擎。 请注意，本文也不会深入探讨所有人共享的其他常见功能 SASE 组件，例如集中配置管理和可观察性功能。

安全引擎和通用策略评估

在 SASE 在框架中，所有安全引擎都基于管理策略运行，这些策略提供了管理系统行为的规则和操作。 每个安全引擎可以由多个策略表组成，每个表可以包含多个策略。

策略由一个操作和一组规则组成。 “操作”确定系统应如何处理流量会话。

策略中的规则定义了策略必须满足的条件才能被视为匹配。 规则由匹配属性及其相应的值组成。 如果流量会话与指定的属性值一致，则该规则被视为匹配。

可以在规则中使用各种匹配属性来有效地实施安全策略。 这些属性的示例包括计划（日期/时间范围）、源 IP、目标 IP、协议/目标端口、源端口、用户声明属性（例如用户电子邮件地址、用户组、用户角色、颁发者以及在 JWT 索赔登记处。 此外，域名等属性 URL、请求标头和值、HTTP 方法、设备状态、UEBA 分数、用户位置、域类别、域信誉分数、 URL 类别， URL 还可以利用信誉评分、IP安全类别、IP信誉评分和文件信誉评分。 值得注意的是，所有安全引擎可能并不支持其策略中的所有匹配属性。

SASE 通过将流量会话传递给多个安全引擎来评估流量会话。 每个安全引擎根据其配置的策略独立决定是否允许流量会话。 如果所有安全引擎都允许流量会话继续， SASE 允许流量通过。

其中的顺序 SASE 执行安全引擎通常是预定义的。 然而，某些 SASE 实现可以提供选择安全引擎执行顺序的灵活性。 这允许管理员确定特定安全引擎的优先级或根据其要求定制处理顺序。

内联威胁情报收集

SWG（安全 Web 网关）组件在收集内联威胁情报方面发挥着至关重要的作用。 它依靠信誉良好的提供商提供的数据来获取有关不同方面的有价值的信息，包括：

• IP 地址、域的声誉 URLs、文件和 SaaS 服务：SWG 利用威胁/数据情报源来评估这些实体的声誉。 这些信息有助于识别潜在的马里cio我们或怀疑cio我们的来源，使系统能够做出明智的决定。
• 域的分类， URLs，并且 SaaS 服务：通过利用情报源，SWG 可以确定域的类别， URLs，并且 SaaS 服务属于。 这种分类有助于策略执行，并使组织能够根据特定类别定义精细的安全控制。
• 恶意软件内容分类：SWG 利用收集到的威胁情报根据内容分析对潜在恶意软件进行分类。 通过检查内容的特征，系统可以识别并阻止或隔离恶意内容cio我们的文件或网站，防止它们造成伤害。
• 内容数据分类：SWG 还利用数据分类情报源对网络流量的内容进行分类。 此分类有助于识别可能传输或访问的敏感或机密信息，使组织能够有效执行数据保护策略。

由于所有互联网绑定和 SaaS 流量经过SWG，它有能力收集流量的各种属性。 通过利用威胁/数据情报源，SWG 可以利用有价值的威胁信息来丰富这些属性。 此信息不仅有助于跨不同安全引擎执行策略，而且还提供对流经 SWG 的流量中存在的威胁的可见性。 这种增强的可见性使组织能够实时检测和减轻潜在的安全风险，确保稳健的安全态势。

之前的安全引擎 SSL 检查

这些安全引擎在流量会话通过 TLS/SSL 解密。 这些安全引擎作用于所有互联网绑定的 HTTP 流量。 如果这些安全引擎发现任何潜在风险，则会停止流量会话。

• 基于IP信誉的威胁防护安全引擎： SWG 的管理员能够根据特定的 IP 类别、IP 信誉评分和其他通用属性创建策略，从而使他们能够建立量身定制的安全措施。 该引擎为访问因托管恶意软件和网络钓鱼内容而闻名的网站的用户提供强大的保护。 该引擎利用在目标 IP 地址上收集的全面威胁情报，有效识别和减轻潜在风险，保护用户免受恶意攻击cio我们的活动。 通过评估每个 IP 地址的信誉，安全引擎可以根据匹配策略对要采取的适当操作做出明智的决策，从而确保主动且动态的安全态势。
• 基于域信誉的威胁防护安全引擎： SWG 的管理员能够根据域类别、域信誉评分和其他通用属性创建策略，从而使他们能够有效地定义所需的安全措施。 该引擎为访问标记为托管恶意软件和网络钓鱼内容的网站的用户提供全面的保护。 利用从各种来源收集的域威胁情报，包括 HTTP CONNECT 主机标头、基于 TLS 的 HTTP 流量的 TLS SNI 以及清晰 HTTP 流量的主机标头，该引擎评估策略以准确识别和减轻潜在风险。 通过整合域信誉数据，安全引擎可确保采取主动防御措施，加强整体安全态势并保护用户免受潜在威胁。

基于信誉的安全引擎优先考虑准确性和适应性。 这些安全引擎提供全面的策略级灵活性，使 SWG 管理员能够创建例外。 出于各种原因，这些例外情况至关重要，例如解决威胁情报源产生的误报，以及满足允许本地威胁追踪人员进行进一步检查的有意需要。

当涉及域信誉安全引擎时，出现了一个重要问题，即使用哪个域名来收集情报和执行信誉策略。 出现这个问题是因为域名存在于流量的多个层中。 在流量流经 SWG 的转发代理方法的情况下，SWG 可以从 HTTP CONNECT 请求的主机标头和 TLS 服务器名称指示 (SNI) 字段中提取域名。 尽管主机标头和 TLS SNI 值通常是一致的，但在某些情况下它们可能会有所不同。 因此，SWG 本质上默认通过此安全引擎执行两次传递。 当 SWG 接收到 HTTP CONNECT 请求时，会发生第一次传递，而当 SWG 接收到 TLS 流量时，会发生第二次传递。 这种方法确保 SWG 能够准确评估域声誉并执行相应的策略。

然而，SWG 的设计目标是智能且高效。 如果从 HTTP CONNECT 请求中提取的域名与 TLS SNI 字段相同，则 SWG 会识别这种冗余并避免再次运行信誉引擎。 这种优化有助于简化安全评估流程并减少不必要的计算开销，使 SWG 能够保持高性能水平，同时确保全面的基于域信誉的威胁防护。

访问控制引擎

除了基于信誉的威胁防护之外，SWG 还提供强大的访问控制功能，允许管理员在访问各种 Internet 站点时为用户提供差异化​​的访问权限。 这个强大的安全引擎使管理员能够根据域类别创建策略，这些域类别由信誉良好的威胁情报提供商提供。

通过利用域类别，SWG 管理员可以将大量 Internet 站点分为几个总体类别，从而简化其管理体验。 该分类系统提高了策略创建的效率和简易性，确保管理员可以有效地定义访问控制措施，而无需对每个单独站点进行精细配置。

此外，访问控制引擎还提供了在策略中指定各个域名的灵活性。 这允许管理员对特定站点的访问进行细粒度控制，适应特定站点需要唯一访问权限或限制的情况。

事实证明，访问控制引擎的灵活性在域分类过程中出现误报的情况下特别有用。 在这种情况下，管理员可以在策略中创建例外以覆盖分类并确保受影响站点的准确访问控制。 这种处理异常的能力使管理员能够在严格的安全措施和为可能被错误分类的合法站点提供必要的访问权限之间保持平衡。

SASE 传输层安全/SSL 检测引擎

SWG TLS/SSL 检查引擎在实现需要访问 TLS/内容的高级访问控制和威胁防护方面发挥着至关重要的作用SSL 会议。 但是，TLS 检查需要解密这些会话，这需要访问私钥。 作为中间人 (MITM) 实体，SWG 无法直接访问私钥。 为了克服这一限制，TLS 检查引擎通常采用一种技术，使用 Ent 模仿服务器证书erp建立受信任的证书颁发机构 (CA)。

TLS 检查引擎针对来自客户端的每个新 TLS 会话遵循的典型步骤流程如下：

• 建立与目标服务（Internet 站点）的 TLS 连接。
• 检索目标服务提供的证书。
• 模拟证书的内容（包括其生命周期）以创建模拟证书。
• 使用 Ent 签署模拟证书erp上升受信任的CA。
• 在与客户端的 TLS 握手期间提供此模拟证书。

为了让这个过程顺利进行ssly 不会在浏览器中引起安全弹出窗口，因此 Ent 至关重要erpRise CA 证书链通常通过其系统管理软件作为受信任的 CA 安全地安装在员工的计算机中。

为了最大限度地减少与密钥生成和模拟证书签名相关的计算开销，TLS 检查引擎会缓存模拟证书和相应的私钥，并重复使用它们，直到其生命周期到期。

虽然 TLS 检查对于高级威胁防护和访问控制非常有用，但erp上升可能有不允许解密的特定情况。 这些情况包括隐私问题，尤其是在访问银行、金融或医疗保健网站时，以及使用证书固定的场景。 此外，耳鼻喉科erp在客户端进行 TLS 加密之前（例如通过浏览器或 Office 365 扩展），用户可能会选择不对已检查威胁的内容启用 TLS 检查。

为了灵活地决定是否执行 TLS 解密，SWG TLS/SSL 检查引擎使管理员能够创建策略。 这些策略可以包括域类别分类，允许管理员绕过特定类别的 TLS 解密，例如金融和医疗保健网站，以及任何其他需要访问的网站。erprise 对解密感到不舒服。

通过提供基于策略的控制和分类，SWG TLS/SSL 检查引擎使enterp旨在在维护隐私和安全之间取得平衡，同时确保强大的威胁防护和高级访问控制。

SWG PKI 基础设施

SASE 服务本质上是多租户的，支持多个实体erp上升。 在此背景下，一些企业erp崛起的国家可能拥有自己的公钥基础设施 (PKI) 基础设施，而其他国家可能没有任何 PKI 基础设施。 重要的是要注意，enterp上升 CA 证书（用于签署模拟证书）应该具有相对较短的生命周期，通常为几天，以确保强大的安全性。 为了维护安全的环境，需要定期重新颁发 CA 证书。

为了确保 SWG 上下文中 CA 证书的私钥的安全性，首选基于证书签名请求 (CSR) 的证书生成。 许多 SWG 提供自己的 PKI 基础设施，以向其 SWG 数据平面实例颁发中间 CA 证书（SWG CA 证书）。 如果有实体erprise 没有自己的 PKI 基础设施，SWG 的 PKI 基础设施会代表各个 Ent 自动创建父 CA 和根 CA 证书erp上升。

在以下情况下erprise 确实有自己的 PKI 基础设施，SWG 的 PKI 基础设施与实体建立通信erprise的PKI基础设施获得父CA签名的证书。 获取父 CA 证书后，将用于签署 SWG CA 证书，确保用于签署模拟证书的证书的真实性和完整性。

PKI 基础设施被认为是 SWG 的关键组成部分，因为它在保护用于签署模拟证书的私钥方面发挥着至关重要的作用。 通过有效管理 PKI 基础设施（包括定期重新颁发 CA 证书）并遵守既定的安全实践，SWG 可以确保多租户中使用的证书的完整性和可信性 SASE 服务环境。

之后的安全引擎 SSL 检查

TLS/之后SSL 解密时，SWG 利用一组安全引擎来处理流量会话并识别任何潜在风险。 这些安全引擎在确保全面的威胁防护方面发挥着至关重要的作用

URL 基于信誉的威胁防护安全引擎

SWG 管理员能够根据以下内容创建策略： URL 类别， URL 声誉评分和其他相关属性，使他们能够有效地定义安全措施。 虽然基于域信誉的威胁防护引擎在域级别提供保护，但在某些情况下，有必要在域级别执行基于信誉的威胁防护。 URL 等级。 这对于具有子部分或不同部分的网站尤其重要 URLs 代表网站的特定部分。 虽然整体域名声誉可能良好，但网站内的某些个别部分可能会受到损害或构成风险。 因此， URL基于信誉的安全引擎对于全面保护至关重要，可防止用户访问恶意软件托管或网络钓鱼网站。 通过考虑特定的声誉 URLs，该引擎提高了威胁检测的准确性，并能够主动阻止潜在的有害内容。

正如前面“SWG 预解密安全引擎”部分中提到的，从威胁情报源得出的声誉评分有时可能会导致误报。 此外，在某些情况下，管理员可能会 wan允许流量会话继续进行，以便威胁追踪者进行更深入的检查。 此外，如果已经在客户端级别应用了全面的保护，则可能不需要在网关级别重复威胁保护。 为了解决这些场景，解密后声誉威胁保护引擎也是策略驱动的，使管理员能够创建例外策略。

先进的访问控制引擎

除了基于信誉的威胁防护之外，SWG 还提供强大的高级访问控制功能，使管理员能够在用户访问各种 Internet 站点时对用户实施差异化访问。 此高级访问控制引擎与之前在“SWG 预解密安全引擎”部分中描述的“访问控制引擎”有相似之处。 然而，由于它在 TLS 解密后运行，因此它提供了基于以下内容的更复杂的访问控制选项： URLs、HTTP 方法和 HTTP 请求标头。

先进的访问控制引擎利用 URL 类别，与域类别相比，它提供更准确、更精细的网站分类。 通过利用 URL 管理员可以根据特定的类别，有效地制定策略来规范访问 URLs，允许细粒度的访问控制。

与访问控制引擎类似，高级访问控制引擎还提供创建异常的灵活性，解决在以下情况下发生误报的情况： URL 分类。 这些例外使管理员能够覆盖可能被错误分类或需要特殊访问权限的特定站点或内容的默认访问控制策略。

具有内容检查功能的安全引擎

到目前为止，所描述的安全引擎一直专注于在检测到威胁或访问被拒绝时停止流量会话。 这些引擎基于初始 HTTP 信息和请求标头运行，允许暂停流量，直到检查流量为止。

但是，还有其他安全引擎需要对 HTTP 会话中的内容进行更深入的检查。 这些引擎需要访问请求和响应中的内容才能有效检测威胁。 与以前的引擎不同，这些内容检查引擎不会停止整个流量，而是在检测到威胁时停止特定流量。

其中一些安全引擎不仅需要访问整个内容，而且还可能需要在利用威胁情报源识别潜在威胁之前对内容进行进一步处理。 例如，如果文件被压缩，则需要将其解压缩以进行分析。 此外，某些威胁情报提供商希望从不同的文件类型（例如 Word 文档、Pow）中提取文本流erP集成演示文稿、OpenOffice 文件、Excel 电子表格、PDF 等。 由于这些提取和威胁检测可能需要大量计算，因此可能会给 HTTP 事务带来延迟。

为了解决这个问题，许多安全引擎提供了两种选项：带有威胁检测和内联执行的内联捕获，或者带有离线威胁检测的内联捕获。 在内联检测模式下，捕获流量并在 HTTP 会话内进行威胁检测，从而可以立即采取强制措施。 在离线检测模式下，仍会捕获流量，但文本流提取和使用威胁情报源的威胁检测是在 HTTP 会话之外执行的。 在此模式下，违规流量不会立即停止，但会保持对潜在威胁的可见性。 这两种模式为企业提供了灵活性erp平衡内联威胁防护和用户体验，使他们能够选择最适合自己需求的方法。

基于文件信誉的威胁防护安全引擎

SWG 包含基于文件信誉的威胁防护安全引擎，该引擎在评估通过 HTTP 传输的文件的信誉方面发挥着至关重要的作用。 该引擎利用 SWG 的威胁情报收集功能，持续分析通过网关的内容。 随着流量的流动，威胁情报引擎会在内容传输时和文件末尾计算内容的哈希值，以确定文件的信誉评分。 如有必要，SWG 在计算哈希之前对内容执行解压缩。 管理员可以灵活地创建考虑文件信誉评分的策略，并根据此评估决定是否允许或拒绝流量会话。 该安全引擎执行策略评估，并在检测到威胁后停止进一步的流量传输。

反恶意软件安全引擎

SWG 中集成的反恶意软件安全引擎融合了先进的威胁情报和反恶意软件功能，可有效检测和防止病毒和恶意软件渗透流量并到达用户设备。 该引擎还通过主动监控双向流量，在防止用户在不知不觉中传播恶意软件方面发挥着至关重要的作用。 如前所述，这些安全引擎采用各种技术来分析本地文件中的内容。 如有必要，引擎将解压缩文件并提取文本流，然后使用威胁情报反恶意软件功能对其进行彻底检查。 文本流对于基于签名的分析尤其重要，可以检测已知的恶意软件菌株。

SWG 解决方案为管理员提供了灵活性，允许他们创建策略来指示在检测不同类型的恶意软件并考虑威胁情报提供商提供的置信级别时要采取的适当操作。 这可确保针对特定威胁和风险级别定制对恶意软件的响应。 此外，SWG 还能够在策略中创建例外，以解决性能问题、误报，并促进威胁追踪者进行更深入的威胁检查。 这种灵活性使管理员能够微调安全措施，并在保护和运营效率之间取得适当的平衡。

入侵检测和防御 (IDP) 安全引擎

IDP 安全引擎是 SWG 的一个组成部分，旨在识别流量流中的潜在漏洞。 利用系统漏洞是攻击者获取未经授权的访问、引入 Rootkit 和传播恶意软件的常用方法。 这些漏洞可能表现为缓冲区/堆栈溢出、输入验证不足或系统和应用程序配置错误。 SWG 中的 IDPS 可以检测针对客户端计算机的漏洞攻击，并识别试图利用 Internet 上的第三方服务的受感染客户端，从而防止攻击erp使资产不再成为进一步攻击的跳板。

SWG 中的 IDP 引擎可提供准确的检测，并减少误报，原因如下：

• 访问清晰的数据：IDP引擎可以访问已清除加密的流量数据，使其能够有效分析和检测潜在的攻击。
• 访问重新组装和重新排序的数据：引擎可以访问经过重构和重新排序的数据流，确保对任何恶意软件进行全面分析和检测cio我们的活动。
• 访问 HTTP 协议提取和解码的数据：通过从 SWG 的代理部分提取和解码数据，IDP 引擎可以更深入地了解内容，从而可以更有效地检测攻击模式。

IDP引擎采用多种类型的签名来检测攻击，包括协议异常签名、流量异常签名和基于内容的签名。 威胁情报提供商提供广泛的签名数据库，但加载每个签名都会显着影响系统性能。 为了解决这个问题，SWG 提供了基于签名适用性等因素的签名调整功能。 例如，可以避免与基于 HTTP 的流量无关的签名或检查 HTTP 内未解密内容的签名。 调整还可以考虑风险影响、威胁情报提供商提供的签名置信度等因素。

SWG 解决方案还提供基于策略的流量选择，使管理员能够确定哪些流量应接受 IDP 处理。 这种灵活性可以避免对已在客户端端点级别进行攻击扫描的流量进行冗余 IDP 扫描。

数据丢失防护安全引擎

SWG 中包含数据丢失防护 (DLP) 安全引擎已变得越来越普遍。 这个强大的引擎旨在防止用户在未经适当授权的情况下无意中传输或接收机密的财务、会计或商业敏感信息。 通过利用基于策略的控制和用户属性，DLP 安全引擎可以监控并降低意外或故意数据泄露的风险。

为了有效地发挥其作用，DLP 安全引擎需要访问数据传输的完整内容。 它提取文本流，使其能够根据数据的敏感性对数据进行分析和分类。 数据分类情报提供商利用文本流生成分类结果，其中包含各种属性，例如合规标签（例如个人身份信息或 PII）、通用机密文档数据（例如财务信息）和自定义敏感数据。

为了促进对敏感数据的精确控制，SWG 使管理员能够创建包含不同分类属性和值的策略。 这些策略与通用匹配属性相结合，使管理员能够定义精细的访问控制并指定如何处理不同类型的敏感数据。

自定义安全引擎（自带安全引擎）

而 SASE/SWG 提供商提供全面的安全覆盖，不断变化的威胁形势，特别是零日攻击，可能需要额外的增强功能。 耳鼻喉科erp崛起的安全团队通常会积极主动地进行威胁搜寻工作，识别新的攻击模式。 他们还可能收到来自其他实体的新威胁模式erp通过威胁情报共享来增强安全团队。 在这两种情况下，这些团队可能 wanSWG 保护其资产免受这些新兴威胁模式和攻击的影响。

尽管 SWG 通常具有配置良好的 IDP 引擎和其他安全引擎，但在某些情况下，配置系统可能缺乏创建用于检测复杂威胁模式的规则的灵活性。 仅依靠 SWG 提供商为这些保护添加新的软件逻辑可能非常耗时。 此外，ent 观察到的威胁模式erp上升可能特定于其环境，不适用于一般用途。 在这种情况下，SWG 供应商可能会犹豫是否要及时发布新软件来满足这些自定义需求。 因此，需要灵活地集成由 ent 开发的新的自定义编程安全引擎erp增加安全部门或托管安全服务提供商 (MSSP)。

SWG 解决方案预计将提供开放接口以合并新的安全引擎。 一些 SWG 提供添加 Lua 脚本和 WebAssembly (WASM) 模块的功能。 借助这些功能，组织可以开发新的安全引擎，例如 Lua 脚本或 WASM 模块，并将它们集成到 SWG 基础设施中。 SWG 确保这些自定义引擎不会干扰其他安全引擎，并且它们在 SWG 管理员设置的配置限制内消耗计算资源。

通过允许集成自定义编程安全引擎，SWG 使企业能够erp加强其安全态势，及时响应新出现的威胁，并有效保护其资产。 这种灵活性使组织能够利用其内部安全专业知识或与 MSSP 合作开发定制的安全引擎，以满足其独特的安全需求。

总结

总之，本文概述了用于安全 Internet 访问的安全引擎。 重要的是要注意，所有安全引擎的包含可能因不同的情况而有所不同 SASE随着新型互联网威胁的出现，/SWG 解决方案和新的安全引擎可能会被添加。

SASE/SWG 解决方案利用安全引擎，例如基于 IP 信誉的威胁防护、基于域信誉的威胁防护、访问控制、TLS/SSL 检查、基于文件信誉的威胁防护、反恶意软件、入侵检测和预防、数据丢失防护等。 这些安全引擎增强了整体安全措施，并在访问互联网时提供针对各种威胁的保护。

随着威胁形势的不断发展，组织应定期评估其安全需求并确保其选择 SASE 解决方案包含必要的安全引擎，以有效缓解新出现的风险。

• CTO 见解博客

  Aryaka CTO 见解博客系列提供网络、安全和技术方面的思想领导力 SASE 主题。 为了 Aryaka 产品规格参考 Aryaka 数据表。