فهم تدفق الحزم باستخدام بنية Cato SPACE

تشرح هذه المقالة كيفية تدفق الحزم لمحركات الأمان في PoP بناءً على بنية محرك السحابة الفردية من كاتو (SPACE).

Overview

تقوم بنية Cato's SPACE بفحص ومعالجة تدفقات المرور باستخدام خدمة واحدة. تشمل هذه الخدمة محركات شبكات وأمان متعددة تقوم بتحليل ومعالجة تدفقات المرور بشكل متزامن. تتجنب هذه البنية القيود المرتبطة بدمج حلول النقاط المتعددة مع سلسلة الخدمات. تقليل التأخير الكلي وتحسين أداء الشبكة بشكل عام تمرير الحزمة الفردي لتقليل الكمون. يمكن لكل PoP اتخاذ قرارات الشبكة والأمان باستخدام جميع خدمات ومحركات Cato's SPACE.

محركات الشبكة والأمن لديها وصول كامل للبيانات لتدفق المرور وتقيم وتشارك البيانات مع بعضها البعض بشكل متزامن في سياق مشترك. تعمل المحركات بشكل متوازي، ولا توجد أولوية لمحرك واحد في تقييم حركة المرور على حساب الآخر. تقع المحركات في كل PoP ويمكنها مشاركة البيانات دون انتظار معلومات من محرك في موقع مادي مختلف.

على سبيل المثال، قاعدة جدار ناري تحظر أجهزة macOS، ومع ذلك لا يمكن لمحرك الجدار الناري الحصول على هذه البيانات من الحزمة الأولى وينتظر المزيد من البيانات. عندما يتعرف محرك مختلف على الجهاز باعتباره macOS، فإن الجدار الناري يحظر التدفق وفقًا لعمل القاعدة.

ملخص لخدمات شبكة وأمن SPACE

تسرد هذه القسم خدمات ومحركات الشبكة والأمن في PoP التي تُطبق على المراحل المختلفة لتدفق الحزم.

  • سياسات ومحركات كاتو

    • جدار ناري - سياسة جدار ناري للإنترنت وWAN

    • الشبكة - سياسة قواعد الشبكة لتحديد أولويات التوجيه وجودة الخدمة

    • IPS/SAM - حمايات IPS ومراقبة الأنشطة المشبوهة (SAM)

    • التحكم في التطبيقات - تحديد التطبيقات لسياسة التحكم في التطبيقات

      • التحكم في التطبيقات الجيل الثاني - القواعد للتطبيقات بناءً على الوصول: السماح أو الحظر

      • التحكم في التطبيقات الجيل الثالث - القواعد للتطبيقات بناءً على الإجراءات الدقيقة: التحميل، التنزيل، وهكذا

    • TLSi - فحص TLS لحركة المرور المشفرة وHTTPS

    • DLP - فحص المحتوى لسياسة حماية البيانات من الفقدان (DLP)

    • AM/NGAM - المسح الضوئي ضد البرامج الضارة والجيل التالي من البرامج الضارة للملفات المرفقة

  • بيانات تدفق حركة المرور والبروتوكولات

    • تحديد التطبيقات - يتم استخدام معايير مختلفة لتحديد التطبيق المحدد للسياسات الأمنية أو الشبكية

    • نظام التشغيل - نظام التشغيل للجهاز، على سبيل المثال مع وضع الجهاز أو سياسة اتصال العميل

    • فئة العميل - نوع التطبيقات التي تعمل على نظام التشغيل الذي أنشأ هذا التدفق الشبكي (مثال: Chrome)

    • URLF - تصفية URL لفئات Cato بناءً على عنوان URL لموقع الويب

    • نوع_الملف - لـ CASB وDLP، مرفق الملف في اتجاه التحميل أو التنزيل

تدفق حزم TCP مع SPACE

هذا مثال على تدفق HTTP نموذجي مع العناصر التالية:

  • الجدول الزمني - المراحل المختلفة لتدفق حركة المرور

  • الحقول المتاحة - البيانات المتاحة لمرحلة الجدول الزمني المحددة

  • محرك Cato - محرك SPACE القادر على تحليل التدفق ثم اتخاذ الإجراء المناسب (الحظر أو السماح)

  • بيانات تدفق حركة المرور - لكل مرحلة، البيانات التي تُستخدم لتقييم تدفق حركة المرور

SPACE_Flow.png

يمكنك رؤية قائمة بالتفاصيل أدناه، تفاصيل تدفق TCP النموذجي.

عينة من تحديد التطبيقات من تدفق حركة المرور

هذا مثال على تدفق حركة المرور لقاعدة تتضمن تطبيق Slack، ويوضح المعلومات المتاحة في كل مرحلة.

  1. الحزمة الأولى - TCP

    المصدر - 10.10.2.107
منفذ المصدر - 55477
واجهة IP الوجهة - 3.68.124.168
منفذ الوجهة - 443
البروتوكول - TCP
استجابة DNS - 3.68.124.168 - slack.com (استجابة اختيارية)

    هذه هي معلومات تدفق حركة المرور المتاحة بناءً على هذه العينة من الحزمة الأولى:

    • 5 tuple - لا يمكن التعرف على أن التدفق مرتبط بتطبيق Slack

    • استجابة DNS - بناءً على التدفقات السابقة، المحركات تعرف بالفعل أن الاسم المعلن لهذه الواجهة IP هو slack.com

    • ASN - بناءً على واجهة IP الوجهة، يمكن لمحرك الأمان تحديد ASN

    • يشمل تعريف التطبيق: tcp

    المحرك ينتظر للحصول على معلومات إضافية من مصافحة TLS قبل أن يتمكن من استكمال تعريف تطبيق Slack.

  2. tls_handshake

    "رأس TLS"
"sni_host": "slack.com"
"سبب تجاوز الفحص المعرف مسبقًا": "لا شيء"
"ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"

    هذه هي معلومات تدفق حركة المرور المتاحة بناءً على هذه العينة من tls_handshake:

    • رأس TLS ومنفذ الخادم 443 - يطابق بروتوكول TLS

    • SNI هو slack.com - يطابق تحديد تطبيق Cato Slack

      SNI يُرسل أيضًا إلى URLF، ويطابق الفئات معلومات الأعمال، الحوسبة والتكنولوجيا، الشبكات الاجتماعية

    • فئة العميل هو JA3 - يصنف العميل على أنه متصفح بناءً على بصمة TLS

    • إجراء فحص TLS أو التجاوز - بناءً على فئة العميل وتعريف التطبيق

    • يشمل تعريف التطبيق: tcp, tls, slack

  3. HTTP

    "url": "upload.slack.com:
"اسم_المضيف": "slack.com"
"نوع المحتوى": "application/pdf"
"ترتيب المحتوى": form-data; name="file"; filename="sample-data.pdf"
"طول المحتوى": "52765"

    في هذا تدفق العينة، المعلومات التالية متاحة بناءً على البيانات HTTP:

    • يشمل تعريف التطبيق: tcp, tls, http, slack

    • يفك تشفير تفتيش TLS التدفق ويحدد أن slack.com هي اسم الخادم المضيف لـ Slack

    • رأس HTTP - يطابق بروتوكول HTTP

      هذا مثال شائع حيث يطابق HTTP_host SNI، ولا يوجد تغيير في تعريف التطبيق

    • URL - يقدم البادئة التحميل المزيد من التفاصيل، ويمكنه أن يطابق إجراء التحميل في سياسة التحكم في التطبيقات

    • نوع المحتوى، ترتيب المحتوى، طول المحتوى - يقدم معلومات حول اسم الملف، الحجم، والنوع

    • إجراءات سياسة التحكم في التطبيقات:

      • فرض سياسة تستخدم فقط صاحب العمل Slack

      • التحكم في الملفات بناءً على نوع الملف

        تفحص المضادات للبرمجيات الضارة ومضادات البرمجيات الضارة الجيل القادم الملفات فقط في اتجاه التنزيل.

  4. جسم HTTP

    "الحمولة لين جسم HTTP" : "الملف نفسه"

    على سبيل المثال، تطبق سياسة DLP عدم استخدام بيانات بطاقات الائتمان في رسائل Slack.

    • اكتمل تعريف التطبيق لتطبيق Slack. يتعرف عليه كتدفق ينتمي لفئة الاجتماعي.

    • عندما يكون محتوى الملف جاهزًا، تقوم هذه المحركات بتحليل محتوى الملف:

      • يفحص محرك DLP المحتوى بناءً على سياسة التحكم في البيانات

      • تفحص المضادات للبرمجيات الضارة ومضادات البرمجيات الضارة الجيل القادم الملفات في اتجاه التنزيل

سياسات ومحركات كاتو

تشرح هذه القسم سياسة الأمان والمحركات في كاتو التي تقوم بتحليل وتفعيل تدفق حركة المرور.

سياسات قواعد جدار الناري والشبكة

غالبًا ما تكون سياسات جدار ناري WAN، الجدار الناري للإنترنت، وقواعد الشبكة قادرة على تقييم تدفق حركة المرور للحزمة الأولى. على سبيل المثال، القواعد التي تعتمد على بيانات من 5-tuple. ومع ذلك، بالنسبة للقواعد التي تطابق تطبيقات معينة، مثل Azure أو Slack، فإن البيانات الإضافية من تدفق حركة المرور مطلوبة لكي يقوم المحرك بتقييم التدفق. هذا يعني أن المرحلة التي يقوم فيها المحرك بتقييم التدفق تعتمد على الإعدادات للقاعدة المحددة.

لمزيد من المعلومات حول أنواع قواعد الجدار الناري، انظر سياسات جدار ناري الإنترنت وWAN – أفضل الممارسات.

مثال على الحزمة الأولى للقواعد الشبكية البسيطة والقاعدة المعقدة للجدار الناري

يوضح هذا المثال كيف تقوم محركات PoP بتقييم تدفق حركة المرور بشكل مختلف للقواعد الشبكية البسيطة التي تستخدم عناوين IP والمنافذ، والقاعدة المعقدة للجدار الناري لتطبيقات Azure. المحرك الشبكي قادر على تقييم التدفق بناءً على الحزمة الأولى، لكن PoP ينتظر الحصول على البيانات الإضافية لكي ينهي المحرك للجدار الناري تحليله.

قاعدة الشبكة النموذجية

القاعدة الشبكية التالية تتعلق بحركة المرور لـ المصدر كمدى IP مع مدى منافذ 8000 - 8010، وتخرج حركة المرور عبر موقع PoP في لندن.

Simple_network.png

المحرك الشبكي قادر على تقييم قرار التوجيه لتدفق حركة المرور بناءً على 5-tuple.

قاعدة الجدار الناري في WAN النموذجية

قاعدة الجدار الناري التالية في WAN تسمح لحركة المرور التي لها نفس المصدر كمدى IP لقاعدة الشبكة أعلاه، وللأعضاء المجموعة المستخدمين RnD. بالإضافة إلى ذلك، القاعدة تتعلق بتطبيقات Azure لخدمات HTTP(S)، TLS، FTP، و TFTP.

Azure_FW.png

لا يمكن لمحرك الجدار الناري تقييم حركة المرور على الحزمة الأولى، لأنه يحتاج لتأكيد هوية المستخدم، تطبيقات Azure، والخدمات للتدفق. بعد أن ينهي المحرك التقييم ويلبي التدفق جميع المعايير، يسمح المحرك للتدفق. يطبق PoP أيضًا قرار التوجيه بناءً على الحزمة الأولى.

تصفية URL وفئات Cato

تعمل خدمة تصفية URL بتحليل عنوان URL لموقع الويب ومقارنته بقاعدة بيانات للمواقع المشبوهة أو الضارة المعروفة أو المتوقع. قد تقوم هذه الخدمة أيضًا بتحليل محتوى موقع الويب نفسه لتحديد فئاته، مثل المحتوى للكبار، المقامرة، الشبكات الاجتماعية، أو البث الإعلامي.

لمعرفة المزيد حول الفئات، راجع العمل مع الفئات.

تفيش TLS

يشارك محرك تفتيش TLS خلال مرحلة tls_handshake لتدفق الحزمة. القرار سواء تفتيش التدفق أم لا لا رجعة فيه ويحدث على مرحلتين:

  1. المرحلة 1 - تعطي الحمولة الأولى لحزمة client_hello مؤشرًا أوليًا إذا كان محرك تفتيش TLS سيفتش هذا تدفق الحزمة

  2. المرحلة 2 - يتم تحليل client_hello بالكامل، ويتم تطبيق إجراء تفتيش TLS (التفتيش أو تجاوز التدفق)

بالنسبة لتدفقات HTTPS، من الممكن أن يكون هناك قرار لحظر الحزمة بناءً على المرحلة 1. ومع ذلك، يستمر المحرك بالتواصل وتأسيس اتصال TLS لتقديم صفحة الحظر الصحيحة للجدار الناري أو IPS للمستخدم النهائي.

IPS

يستمر محرك IPS بالعمل خلال عمر تدفق حركة المرور. يقوم بفحص عناصر محددة متاحة في مراحل مختلفة، ويتخذ إجراءات بشأن المحتوى الذي يتطابق بإيجابية مع حماية IPS. يمكنك التفكير في IPS على أنه يعمل مثل عدسة مكبرة، في انتظار التحديثات من حركة المرور باستمرار وتوفير المعلومات للمحرك الذي تم رؤيته في التدفق.

يوضح المثال التالي معلومات مختلفة متوفرة في مراحل مختلفة من التدفق:

  • البروتوكول للتدفق هو HTTP

  • استنادًا إلى الحمولة، يوجد TLS

  • يوجد client_hello يستخدم مجموعة تشفير TLS 1.3 TLS_AES_256_GCM_SHA384

يمكن لحمايات IPS مختلفة أن تتطابق مع أي من العناصر المذكورة أعلاه ثم تتخذ إجراءً بشأن تدفق الحركة في تلك المرحلة.

DNS Protection

تشكل DNS Protection جزءًا من محرك IPS وتعمل على تدفق DNS للطلب والاستجابة (دون أي اتصال بالنقل، على سبيل المثال TCP أو UDP).

أثناء طلب DNS، يتم تحليل اسم النطاق وتقييمه من حيث سمعة النطاق والموجزات الثابتة. ثم أثناء استجابة DNS، يتم تحليل الـIP المحلولة والمحتوى لاحتمال وجود محتوى ضار. يتم تطبيق سياسة حماية DNS على أي محتوى مطابق (لمنع أو السماح بتدفق الحركة).

App Control

يقوم محرك App Control بفحص الحركة وتطبيق الإجراءات لسياسة التحكم في التطبيقات، ويتم تقييمه في كل معاملة HTTP جديدة (طلب واستجابة).

بالنسبة لتطبيقات gen2، يلزم وجود TLS وHTTP proxy لإكمال تحديد هوية التطبيق.

بالنسبة للقواعد التي تتضمن متطلبات الأمان والامتثال:

  • استنادًا إلى البيانات السياقية من محركات الشبكات والأمن الأخرى، يمكن لمحرك App Control تقييم هذه المتطلبات خلال مرحلة tls_inspection

  • من الممكن أيضًا أن يحصل المحرك على هذه المعلومات من SNI، ولا يتطلب TLS أو تحديد هوية التطبيق بالكامل (DPI الطبقة السابعة) لتقييم التطبيق

DLP

يقوم محرك DLP بفحص محتوى تدفق الحركة ويعد امتدادًا لمحرك التحكم في التطبيقات. عندما تحدد السياسة نوع الملف أو حجم الملف، فإن المحرك يحتاج إلى فحص ميتاداتا التطبيق والحمولة لهذه خصائص الملف:

  1. يقوم المحرك بتقييم نوع الملف والتحقق لمعرفة ما إذا كان يتوافق مع قائمة الملفات المدعومة لفحص المحتوى.

  2. ثم يتم إنهاء تحديد هوية تطبيق gen3 لتحديد تواقيع المحتوى المحددة للمجالات التي تخزن المحتوى والبيانات التي يتم فحصها.

  3. يتم فحص المحتوى والتحقق لمعرفة ما إذا كان يتوافق مع ملف تعريف المحتوى المحدد.

مكافحة البرمجيات الضارة وNG مكافحة البرمجيات الضارة

محركات مكافحة البرمجيات الضارة وSentinelOne NG تفحص مرفقات الملفات في حركة المرور الواردة (تنزيل الملفات) لبرمجيات ضارة معروفة وغير معروفة. يعتمد نوع الملف على استجابة HTTP، أو طلب لحركة مرور FTP.

يتم فحص فقط تطبيقات وخدمات HTTP، HTTPS وFTP.

  1. يتحقق المحرك لمعرفة ما إذا كان التطبيق يتوافق مع قاعدة في سياسة مكافحة البرمجيات الضارة.

  2. يتم مطابقة الملف مع قوائم هذه الملفات:

    1. القائمة البيضاء تم تكوينها في تطبيق إدارة Cato - مسموح بتنزيل هذه الملفات.

    2. القائمة السوداء التي يديرها فريق أمان Cato - هذه الملفات محظورة.

  3. يتم فحص الملفات بواسطة محركات مكافحة البرمجيات الضارة وNG مكافحة البرمجيات الضارة، ويتم إرجاع الحكم: خبيث، مشبوه أو حميد.

  4. يتم تطبيق الإجراء المناسب لسياسة مكافحة البرمجيات الضارة على الملف.

الأسئلة الشائعة لسياسات ومحركات Cato

هل ينطبق تصفية URL على حركة مرور WAN؟

لا، تصفية URL مخصصة لحركة مرور الإنترنت ولا تطبق على حركة مرور الحسابات عبر WAN.

ما الفرق بين إعدادات تقييد الجغرافيا لسياسات الجدار الناري وIPS؟

تتيح لك إعداد الجهاز في جدران حماية WAN والإنترنت تحديد البلد المصدر للقواعد الدقيقة. ومع ذلك، لا يوجد تحكم على بلد الوجهة.

تعرف علامة تقييد الجغرافيا في سياسة IPS حركة المرور المقيدة التي تكون إما المصدر أو الوجهة. ومع ذلك، IPS هي سياسة عالمية للحساب بأكمله، ولا يمكنك تطبيق إعدادات تقييد الجغرافيا على مواقع معينة أو كائنات.

تفاصيل تدفق TCP مثالي

  1. الجدول الزمني - الحزمة الأولى

    1. الحقول المتاحة - 5-تعريف، اسم المضيف (dname)

    2. محرك Cato - جدار النار، الشبكة، IPS/SAM

    3. بيانات تدفق الحركة - تحديد التطبيق، فئة العميل، نظام التشغيل

  2. الجدول الزمني - tls_handshake

    1. الحقول المتاحة - مجموعة التشفير، اسم المضيف (SNI)

    2. محرك Cato - IPS/SAM، App Control gen2، TLSi، جدار النار، الشبكة

    3. بيانات تدفق الحركة - تحديد التطبيق، فئة العميل، URLF

  3. الجدول الزمني - HTTP_headers

    1. الحقول المتاحة - الرؤوس، URL، اسم المضيف (عنوان المضيف)

    2. محرك Cato - App Control gen3، IPS/SAM

    3. بيانات تدفق الحركة - نوع الملف (تحميل)، نظام التشغيل

  4. الجدول الزمني - HTTP_body

    1. الحقول المتاحة - HTTP_request، HTTP_body

    2. محرك Cato - App Control gen3، DLP، IPS/SAM

    3. بيانات تدفق الحركة - نوع الملف (تحميل)، تحديد التطبيق

  5. الجدول الزمني - HTTP_response

    1. الحقول المتاحة - HTTP_response_headers، HTTP_response_body

    2. محرك Cato - مكافحة البرمجيات الضارة/NGAM، App Control gen3، DLP، IPS/SAM

    3. بيانات تدفق الحركة - نوع الملف (تحميل)، تحديد التطبيق

هل كان هذا المقال مفيداً؟

11 من 12 وجدوا هذا مفيداً

لا توجد تعليقات