यह लेख Cato के सिंगल पास क्लाउड इंजन आर्किटेक्चर (SPACE) पर आधारित PoP में सुरक्षा इंजनों के लिए पैकेट फ्लो की व्याख्या करता है।
Cato का SPACE आर्किटेक्चर ट्रैफ़िक प्रवाहों की जाँच और प्रक्रिया एकल सेवा के साथ करता है। यह सेवा कई नेटवर्किंग और सुरक्षा इंजन शामिल करती है जो एकसाथ ट्रैफ़िक प्रवाहों का विश्लेषण और प्रक्रिया कर सकते हैं। यह आर्किटेक्चर बहु-बिंदु समाधानों को सेवा श्रृंखला के साथ एकजुट करने की सीमाओं से बचता है। किसी प्रवाह के लिए सिंगल पास विलंबता को कम करता है और सम्पूर्ण नेटवर्क प्रदर्शन को सुधारता है। प्रत्येक PoP इन नेटवर्किंग और सुरक्षा निर्णयों को Cato की SPACE सेवाओं और इंजनों का उपयोग करके कर सकता है।
सुरक्षा और नेटवर्किंग इंजन ट्रैफिक फ्लो के लिए डेटा की पूरी पहुँच रखते हैं और एक साझा संदर्भ के साथ एकसाथ डेटा का मूल्यांकन और साझा करते हैं। इंजन समानांतर में संचालित होते हैं, एक इंजन को दूसरे के ऊपर ट्रैफ़िक का मूल्यांकन करने की कोई प्राथमिकता नहीं होती। इंजन प्रत्येक PoP में स्थित होते हैं और भिन्न भौतिक स्थान पर इंजन से जानकारी की प्रतीक्षा किए बिना डेटा साझा कर सकते हैं।
उदाहरण के लिए, एक फ़ायरवॉल नियम MacOS उपकरणों को अवरुद्ध करता है, हालांकि फ़ायरवॉल इंजन पहले पैकेट से यह डेटा प्राप्त नहीं कर सकता और अधिक डेटा की प्रतीक्षा करता है। जब एक भिन्न इंजन डिवाइस को MacOS के रूप में पहचानता है, तब फ़ायरवॉल नियम क्रिया के अनुसार प्रवाह को अवरुद्ध करता है।
इस खंड में PoP में नेटवर्क और सुरक्षा सेवाओं और इंजनों को सूचीबद्ध किया गया है, जो पैकेट प्रवाह के विभिन्न चरणों पर लागू होते हैं।
-
Cato नीतियाँ और इंजन
-
फ़ायरवॉल - इंटरनेट और WAN फ़ायरवॉल के लिए फ़ायरवॉल नीति
-
नेटवर्क - रूटिंग और QoS प्राथमिकता के लिए नेटवर्क नियम नीति
-
IPS/SAM - IPS सुरक्षा और संदिग्ध गतिविधि निगरानी (SAM)
-
ऐप नियंत्रण - एप्लिकेशन नियंत्रण नीति के लिए ऐप पहचान
-
ऐप नियंत्रण gen2 - एक्सेस के आधार पर ऐप्स के लिए नियम: अनुमति दें या अवरुद्ध करें
-
ऐप नियंत्रण gen3 - विस्तार से क्रियाओं के आधार पर ऐप्स के लिए नियम: अपलोड, डाउनलोड, और आगे
-
-
TLSi - HTTPS और एन्क्रिप्टेड ट्रैफिक के लिए TLS निरीक्षण
-
DLP - डेटा लीक प्रतिरोध (DLP) नीति के लिए सामग्री निरीक्षण
-
AM/NGAM - एंटी-मैलवेयर और अगली पीढ़ी के एंटी-मैलवेयर संलग्न फाइलें मैलवेयर के लिए स्कैनिंग
-
-
ट्रैफ़िक फ्लो डेटा और प्रोटोकॉल
-
ऐप पहचान - सुरक्षा या नेटवर्किंग नीतियों के लिए विशिष्ट ऐप्लिकेशन की पहचान के लिए विभिन्न मानदंड का उपयोग किया जाता है
-
OS - डिवाइस के लिए ऑपरेटिंग सिस्टम (OS), जैसे कि डिवाइस स्थिति या क्लाइंट कनेक्टिविटी नीति के साथ
-
क्लाइंट क्लास - उस ऑपरेटिंग सिस्टम पर चलने वाले क्लाइंट एप्लिकेशन के प्रकार जो इस नेटवर्क फ्लो को बनाता है (उदाहरण के लिए, क्रोम)
-
URLF - वेबसाइट URL के आधार पर Cato श्रेणियाँ के लिए URL फ़िल्टरिंग
-
फ़ाइल_प्रकार - CASB और DLP के लिए, अपलोड या डाउनलोड दिशा में फ़ाइल अनुलग्नक
-
यह एक सामान्य HTTP प्रवाह का उदाहरण है जिसमें निम्नलिखित वस्तुएं शामिल हैं:
-
टाइमलाइन - ट्रैफिक फ्लो के विभिन्न चरण
-
उपलब्ध फ़ील्ड्स - विशिष्ट समयरेखा चरण के लिए उपलब्ध डेटा
-
Cato इंजन - SPACE इंजन जो प्रवाह का विश्लेषण कर सकता है और फिर उपयुक्त कार्रवाई (अवरुद्ध या अनुमति) ले सकता है
-
ट्रैफिक फ्लो डेटा - प्रत्येक चरण के लिए, डेटा जो ट्रैफिक फ्लो का मूल्यांकन करने के लिए उपयोग किया जाता है
आप नीचे विवरणों की सूची देख सकते हैं, नमूना TCP प्रवाह के विवरण।
यह Slack एप्लिकेशन को शामिल करने वाले नियम के ट्रैफ़िक प्रवाह का एक उदाहरण है, और दिखाता है कि प्रत्येक चरण में कौन सी जानकारी उपलब्ध है।
-
पहला पैकेट - TCP
स्रोत - 10.10.2.107 स्रोत पोर्ट - 55477 गंतव्य IP - 3.68.124.168 गंतव्य पोर्ट - 443 प्रोटोकॉल - TCP डीएनएस प्रतिक्रिया - 3.68.124.168 - slack.com (वैकल्पिक प्रतिक्रिया)
यह इस नमूना पैकेट पर आधारित उपलब्ध ट्रैफ़िक प्रवाह जानकारी है:
-
5 टपल - यह पहचान नहीं हो सकता कि ट्रैफिक Slack एप्लिकेशन से जुड़ा है
-
डीएनएस प्रतिक्रिया - पिछले प्रवाहों के आधार पर, इंजन पहले से जानता है कि इस गंतव्य आईपी का डोमेन नाम slack.com है
-
गंतव्य IP के आधार पर, सुरक्षा इंजन ASN की पहचान कर सकता है
-
ऐप पहचान में शामिल हैं: tcp
इंजन Slack ऐप की पहचान पूरी करने से पहले TLS हैंडशेक से अतिरिक्त जानकारी की प्रतीक्षा करता है।
-
-
tls_handshake
"TLS हेडर" "sni_host": "slack.com" "पूर्वनिर्धारित निरीक्षण बाईपास कारण": "कोई नहीं" "ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"
यह ट्रैफ़िक प्रवाह जानकारी इस नमूना tls_handshake के आधार पर उपलब्ध है:
-
TLS हेडर और सर्वर पोर्ट 443 - TLS प्रोटोकॉल से मेल खाता है
-
SNI slack.com है - Cato Slack ऐप पहचान से मेल खाता है
SNI को URLF पर भी भेजा जाता है, और श्रेणी व्यवसाय जानकारी, कंप्यूटर और तकनीक, सोशल के साथ मेल खाता है
-
क्लाइंट क्लास JA3 है - TLS फ़िंगरप्रिंटिंग के आधार पर क्लाइंट को ब्राउज़र के रूप में वर्गीकृत करता है
-
TLS निरीक्षण या बाईपास क्रिया - क्लाइंट क्लास और ऐप पहचान के आधार पर
-
ऐप पहचान में शामिल हैं: tcp, tls, slack
-
-
HTTP का हिंदी अनुवाद है: हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल
"url" : "upload.slack.com: "site के होस्ट का नाम" : "slack.com" "Content-Type" : "application/pdf" "Content-Disposition" : form-data; नाम="फ़ाइल"; filename="sample-data.pdf" "Content-Length" : "52765"
इस नमूना प्रवाह में, निम्न जानकारी HTTP डेटा के आधार पर उपलब्ध है:
-
ऐप पहचान में शामिल हैं: tcp, tls, http, slack
-
TLS निरीक्षण प्रवाह को डिक्रिप्ट करता है और पहचान करता है कि Slack सर्वर host_name slack.com है
-
HTTP हेडर - HTTP प्रोटोकॉल से मेल खाता है
यह एक आम उदाहरण है जहां HTTP_host SNI से मेल खाता है, और ऐप पहचान में कोई बदलाव नहीं होता है
-
URL - अपलोड प्रीफिक्स अधिक विस्तृतता प्रदान करता है, और एप्लिकेशन नियंत्रण नीति में अपलोड क्रिया से मेल खा सकता है
-
Content-Type, Content-Disposition, Content-Length - फ़ाइल का नाम, आकार और प्रकार के बारे में जानकारी प्रदान करते हैं
-
एप्लिकेशन नियंत्रण नीति की क्रियाएँ:
-
केवल कॉर्पोरेट Slack किराएदार का उपयोग करने वाली नीति लागू करें
-
फ़ाइल प्रकार के आधार पर फ़ाइल नियंत्रण
एंटी-मालवेयर और एनजी एंटी-मालवेयर केवल डाउनलोड दिशा में फ़ाइलों को स्कैन करते हैं।
-
-
-
HTTP बॉडी
"HTTP बॉडी पेलोड" : "फाइल स्वयं"
उदाहरण के लिए, डीएलपी नीति स्लैक संदेशों में कोई भी क्रेडिट कार्ड डेटा उपयोग करने की अनुमति नहीं देती है।
-
स्लैक एप्लिकेशन के लिए एप्लिकेशन पहचान पूर्ण हो गई है। इसे सामाजिक श्रेणी से संबंधित ट्रैफ़िक के रूप में पहचाना गया है।
-
जब फ़ाइल सामग्री तैयार होती है, तो ये इंजन फ़ाइल सामग्री का विश्लेषण करते हैं:
-
डीएलपी इंजन डेटा नियंत्रण नीति के आधार पर सामग्री स्कैन करता है
-
एंटी-मैलवेयर और एनजी एंटी-मैलवेयर फ़ाइलों को डाउनलोड दिशा में स्कैन करते हैं
-
-
यह अनुभाग काटो सुरक्षा नीति और इंजन की व्याख्या करता है जो ट्रैफिक प्रवाह का विश्लेषण और क्रिया करते हैं।
WAN फ़ायरवॉल, इंटरनेट फ़ायरवॉल, और नेटवर्क नियम नीतियां अक्सर पहले पैकेट पर ट्रैफ़िक प्रवाह का मूल्यांकन कर सकती हैं। उदाहरण के लिए, नियम जो 5-ट्यूपल डेटा पर आधारित हैं। हालांकि, विशिष्ट अनुप्रयोगों जैसे कि Azure या स्लैक के लिए मेल खाने वाले नियमों के लिए, प्रवाह का मूल्यांकन करने के लिए इंजन को ट्रैफिक प्रवाह से अतिरिक्त डेटा की आवश्यकता होती है। इसका मतलब है कि जिस चरण में इंजन प्रवाह का मूल्यांकन करता है वह विशिष्ट नियम की सेटिंग्स पर निर्भर करता है।
फ़ायरवॉल नियमों के प्रकारों के बारे में अधिक जानकारी के लिए, देखें इंटरनेट और WAN फायरवॉल नीतियां – सर्वोत्तम प्रथाएं।
यह उदाहरण दिखाता है कि कैसे PoP इंजन एक सरल नेटवर्क नियम और Azure ऐप्स के लिए जटिल फ़ायरवॉल नियम के लिए ट्रैफ़िक प्रवाह का मूल्यांकन करते हैं। नेटवर्क इंजन ट्रैफ़िक प्रवाह के लिए पहले पैकेट के आधार पर रूटिंग निर्णय का मूल्यांकन कर सकता है, लेकिन PoP फायरवॉल इंजन के लिए अतिरिक्त डेटा का इंतजार करता है।
उदाहरण नेटवर्क नियम
निम्नलिखित नेटवर्क नियम के लिए ट्रैफिक के स्रोत को आईपी रेंज के रूप में और पोर्ट रेंज 8000 - 8010 के रूप में सेट किया गया है, और ट्रैफिक लंदन PoP स्थान के माध्यम से प्रवाहित किया जाता है।
नेटवर्किंग इंजन 5-ट्यूपल के आधार पर ट्रैफ़िक प्रवाह के लिए रूटिंग निर्णय का मूल्यांकन कर सकता है।
उदाहरण WAN फ़ायरवॉल नियम
निम्नलिखित WAN फ़ायरवॉल नियम ट्रैफ़िक की अनुमति देता है जो ऊपर के नेटवर्क नियम के लिए आईपी रेंज के रूप में समान स्रोत और RnD उपयोगकर्ता समूह के सदस्यों के लिए है। इसके अलावा, नियम Azure अनुप्रयोगों के लिए HTTP(S), TLS, FTP, और TFTP सेवाओं के लिए है।
फ़ायरवॉल इंजन पहले पैकेट पर ट्रैफ़िक का मूल्यांकन नहीं कर सकता क्योंकि उसे उपयोगकर्ता पहचान, Azure अनुप्रयोगों, और प्रवाह के लिए सेवाओं की पुष्टि करने की आवश्यकता होती है। इंजन के मूल्यांकन समाप्त करने और प्रवाह सभी मानदंडों को पूरा करने के बाद, इंजन प्रवाह की अनुमति देता है। PoP पहले पैकेट पर आधारित रूटिंग निर्णय को भी लागू करता है।
यूआरएल फ़िल्टरिंग सेवा एक वेबसाइट के URL का विश्लेषण करके और इसे ज्ञात या संदिग्ध हानिकारक या अनुचित वेबसाइटों के डेटाबेस के खिलाफ तुलना करके काम करती है। यह सेवा वेबसाइट की सामग्री का भी विश्लेषण कर सकती है ताकि इसकी श्रेणियों का निर्धारण किया जा सके, जैसे वयस्क सामग्री, जुआ, सोशल नेटवर्किंग, या स्ट्रीमिंग मीडिया।
श्रेणियों के बारे में अधिक जानकारी के लिए, श्रेणियों के साथ काम करना देखें।
TLS निरीक्षण इंजन पैकेट प्रवाह के tls_handshake चरण के दौरान शामिल होता है। प्रवाह का निरीक्षण करने या न करने का निर्णय अपरिवर्तनीय है और दो चरणों में होता है:
-
चरण 1 - क्लाइंट_हैलो पैकेट का पहला पेलोड एक प्रारंभिक संकेत देता है कि TLS निरीक्षण इंजन इस ट्रैफ़िक प्रवाह का निरीक्षण करेगा या नहीं
-
चरण 2 - क्लाइंट_हैलो को पूरी तरह से पार्स किया गया, और TLS निरीक्षण नीति कार्रवाई लागू की गई (प्रवाह का निरीक्षण या बायपास करें)
हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सुरक्षित प्रवाह के लिए, यह संभव है कि चरण 1 के आधार पर पैकेट को अवरोधित करने का निर्णय हो। हालाँकि, इंजन सही फ़ायरवॉल या IPS ब्लॉक पृष्ठ को अंतिम उपयोगकर्ता को प्रस्तुत करने के लिए संचार करना जारी रखता है और TLS कनेक्शन स्थापित करता है।
IPS इंजन ट्रैफिक फ्लो के जीवनकाल के दौरान चलता रहता है। यह अलग-अलग चरणों पर उपलब्ध विशिष्ट वस्तुओं का निरीक्षण करता है, और उस सामग्री पर कार्य करता है जो सकारात्मक रूप से IPS सुरक्षा से मेल खाती है। आप IPS को एक आवर्धक कांच की तरह कार्य करते हुए देख सकते हैं, जो लगातार ट्रैफिक से अपडेट का इंतजार कर रहा है और इंजन को उन जानकारी को लगातार प्रस्तुत कर रहा है जो प्रवाह पर देखी गई।
निम्नलिखित उदाहरण में प्रवाह के विभिन्न चरणों में उपलब्ध विभिन्न जानकारी को दिखाया गया है:
-
प्रवाह के लिए प्रोटोकॉल HTTP है
-
पेलोड के आधार पर, TLS है
-
ऐसा क्लाइंट_हैलो है जो TLS 1.3 सिफर सूट TLS_AES_256_GCM_SHA384 का प्रयोग करता है
विभिन्न IPS सुरक्षा ऊपर दिए गए किसी भी वस्तुओं से मेल खा सकती हैं और फिर उस चरण पर ट्रैफिक प्रवाह पर क्रिया कर सकती हैं।
डीएनएस सुरक्षा IPS इंजन का हिस्सा है और यह अनुरोध और प्रतिक्रिया के लिए डीएनएस प्रवाह पर चलता है (परिवहन से किसी भी कनेक्शन के बिना, जैसे कि TCP या UDP)।
डीएनएस अनुरोध के दौरान, डोमेन नाम का विश्लेषण किया जाता है और डोमेन प्रतिष्ठा और स्थैतिक फीड्स के लिए मूल्यांकन किया जाता है। फिर DNS प्रतिक्रिया के दौरान, हल किया गया आईपी और सामग्री संभावित रूप से हानिकारक सामग्री के लिए विश्लेषण किया जाता है। डीएनएस सुरक्षा नीति को किसी भी मिलान सामग्री पर लागू किया जाता है (प्रवाह को अवरुद्ध या अनुमति दें)।
ऐप नियंत्रण इंजन ट्रैफ़िक का निरीक्षण करता है और एप्लिकेशन नियंत्रण नीति के लिए क्रियाएँ लागू करता है, और यह प्रत्येक नए HTTP लेन-देन (अनुरोध और प्रतिक्रिया) पर मूल्यांकन किया जाता है।
gen2 ऐप्स के लिए, ऐप पहचान को पूरा करने के लिए TLS और हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल प्रॉक्सी आवश्यक हैं।
उन नियमों के लिए जिनमें सुरक्षा और अनुपालन आवश्यकताएँ शामिल हैं:
-
अन्य नेटवर्किंग और सुरक्षा इंजनों के प्रासंगिक डेटा के आधार पर, ऐप नियंत्रण इंजन tls_inspection चरण के दौरान इन आवश्यकताओं का मूल्यांकन कर सकता है
-
यह संभव है कि इंजन SNI से यह जानकारी प्राप्त कर सके, और ऐप का मूल्यांकन करने के लिए TLS या पूरी ऐप पहचान (स्तर 7 DPI) की आवश्यकता नहीं हो
DLP इंजन ट्रैफ़िक प्रवाह की सामग्री की जांच करता है और ऐप नियंत्रण इंजन का एक विस्तार है। जब नीति किसी फ़ाइल प्रकार या फ़ाइल आकार को निर्दिष्ट करती है, तो इंजन को ये फ़ाइल विशेषताएँ एप्लिकेशन मेटाडेटा और लोड का निरीक्षण करने की आवश्यकता होती है:
-
इंजन फ़ाइल के प्रकार का मूल्यांकन करता है और जाँचता है कि यह सामग्री निरीक्षण के लिए समर्थित फ़ाइलों की सूची से मेल खाता है या नहीं।
-
फिर gen3 ऐप पहचान को अंतिम रूप दिया गया ताकि उन फ़ील्ड्स के लिए विशिष्ट सामग्री हस्ताक्षरों की पहचान की जा सके जो सामग्री और डेटा को संग्रहीत करते हैं जो निरीक्षणित किए जाते हैं।
-
सामग्री का निरीक्षण किया जाता है और जाँच की जाती है कि यह परिभाषित सामग्री प्रोफ़ाइल से मेल खाता है या नहीं।
एंटी-मैलवेयर और SentinelOne NG एंटी-मैलवेयर इंजन इनबाउंड ट्रैफिक (फाइल डाउनलोड करना) पर फाइल अनुलग्नक को ज्ञात और अज्ञात मैलवेयर के लिए स्कैन करते हैं। फाइल_प्रकार HTTP प्रतिक्रिया या FTP ट्रैफिक के अनुरोध पर आधारित है।
केवल HTTP, HTTPS और FTP एप्लिकेशन और सेवाओं की स्कैनिंग की जाती है।
-
इंजन यह जांच करता है कि क्या एप्लिकेशन एंटी-मैलवेयर नीति में किसी नियम के साथ मेल खाता है।
-
फाइल को इन फाइल सूचियों के साथ मिलाया जाता है:
-
Cato प्रबंधन एप्लिकेशन में कॉन्फ़िगर की गई अनुमत सूची - इन फाइलों को डाउनलोड करने की अनुमति है।
-
Cato सुरक्षा टीम द्वारा प्रबंधित ब्लॉक सूची - इन फाइलों को अवरुद्ध किया गया है।
-
-
फाइलों को एंटी-मैलवेयर और NG एंटी-मैलवेयर इंजन द्वारा स्कैन किया जाता है, और निर्णय लौटाया जाता है: दुर्भावनापूर्ण, संदिग्ध, या निरापद।
-
फाइल पर एंटी-मैलवेयर नीति के लिए उपयुक्त कार्रवाई लागू की जाती है।
क्या URL फ़िल्टरिंग WAN ट्रैफिक पर लागू होती है?
नहीं, URL फ़िल्टरिंग केवल इंटरनेट ट्रैफिक के लिए है और इसे WAN पर खाता ट्रैफिक पर लागू नहीं किया जाता है।
फायरवॉल बनाम IPS नीतियों के भू-प्रतिबंध सेटिंग्स के बीच क्या अंतर है?
उपकरण सेटिंग WAN और इंटरनेट फ़ायरवॉल में आपको लघु नियमों के लिए स्रोत देश को परिभाषित करने देती है। हालांकि, गंतव्य देश पर कोई नियंत्रण नहीं है।
भू-प्रतिबंध टैब IPS नीति में स्रोत या गंतव्य होने वाले प्रतिबंधित ट्रैफ़िक को परिभाषित करता है। हालांकि, IPS पूरे खाते के लिए एक वैश्विक नीति है, और आप विशिष्ट साइटों या ऑब्जेक्ट्स के लिए भू-प्रतिबंध सेटिंग्स लागू नहीं कर सकते।
-
समय-रेखा - पहला पैकेट
-
उपलब्ध फ़ील्ड्स - 5-ट्यूपल, होस्ट का नाम (dname)
-
Cato इंजन - फ़ायरवॉल, नेटवर्क, IPS/SAM
-
ट्रैफ़िक प्रवाह डेटा - ऐप पहचान, क्लाइंट क्लास, ओएस
-
-
समय-रेखा - tls_handshake
-
उपलब्ध फ़ील्ड्स - cipher_suite, होस्ट का नाम (SNI)
-
Cato इंजन - IPS/SAM, ऐप नियंत्रण gen2, TLSi, फ़ायरवॉल, नेटवर्क
-
ट्रैफ़िक प्रवाह डेटा - ऐप पहचान, क्लाइंट क्लास, URLF
-
-
समय-रेखा - HTTP_header
-
उपलब्ध फ़ील्ड्स - हेडर, यूआरएल, होस्ट का नाम (होस्ट हेडर)
-
Cato इंजन - ऐप नियंत्रण gen3, IPS/SAM
-
ट्रैफ़िक प्रवाह डेटा - फ़ाइल_प्रकार (अपलोड), ओएस
-
-
समय-रेखा - HTTP_body
-
उपलब्ध फ़ील्ड्स - HTTP_request, HTTP_body
-
Cato इंजन - ऐप नियंत्रण gen3, DLP, IPS/SAM
-
ट्रैफ़िक प्रवाह डेटा - फ़ाइल_प्रकार (अपलोड), ऐप पहचान
-
-
समय-रेखा - HTTP_प्रतिक्रिया
-
उपलब्ध फ़ील्ड्स - HTTP_response_headers, HTTP_response_body
-
Cato इंजन - AM/NGAM, ऐप नियंत्रण gen3, डेटा लीक प्रतिरोध, IPS/SAM
-
ट्रैफ़िक प्रवाह डेटा - फ़ाइल_प्रकार (डाउनलोड), ऐप पहचान
-
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.