이 기사에서는 Cato Cloud의 다양한 보안 엔진이 트래픽 흐름 내 전체 경로 URL에 대한 데이터를 처리하는 방식을 다룹니다.
HTTP 요청은 인터넷 방화벽 정책에 사용되는 방화벽 엔진과 애플리케이션 제어 정책에 사용되는 애플리케이션 제어 엔진에 의해 다르게 처리됩니다. Cato 플랫폼에는 여러 보안 엔진이 포함되어 있어 동시에 트래픽 흐름을 분석하고 처리하며, 특정 흐름에서 전체 경로 URL과 같은 데이터가 어떻게 추출되고 이벤트에 기록되는지 이해하기 어려울 수 있습니다.
Cato 보안 엔진에 대한 자세한 내용은 Cato SPACE 아키텍처로 패킷 흐름 이해하기를 참조하세요.
URL은 트래픽 흐름 내의 각 HTTP 요청과 함께 자주 변경되는 속성입니다. 방화벽 엔진은 보안과 성능의 균형을 맞추기 위해 설계되었으며, 흐름 내에서 발생하는 모든 HTTP 요청을 검사하지 않습니다. 이는 인터넷 방화벽 이벤트의 전체 경로 URL 데이터가 오해를 불러일으킬 수 있음을 의미합니다. PoP는 이벤트를 추가 데이터로 풍부하게 하고자 최선을 다하며, 인터넷 방화벽 이벤트에 전체 경로 URL 데이터가 포함될 수 있습니다.
반면에 애플리케이션 제어 엔진은 세션과 함께 모든 HTTP 요청을 검사하며 전체 경로 URL 데이터를 기록합니다. CASB 서비스를 사용하는 고객의 경우, 애플리케이션 제어 엔진이 해당 데이터를 추출했기 때문에 애플리케이션 보안 트래픽 이벤트에는 관련 클라우드 애플리케이션의 전체 경로 URL 데이터가 포함됩니다.
애플리케이션 제어 엔진과 방화벽 엔진의 주요 차이점은 HTTP 요청이 검사되는 빈도입니다:
-
애플리케이션 제어 엔진:
-
애플리케이션 제어 정책(CASB)의 경우, 트래픽 흐름과 함께 모든 HTTP 요청을 검사
-
이벤트에 대한 전체 경로 URL 필드를 기록
-
-
방화벽 엔진:
-
인터넷 방화벽 정책의 경우, 트래픽 흐름 내 첫 번째 HTTP 요청을 검사
-
이벤트에 대한 전체 경로 URL 필드를 기록할 때 일관성이 없는 동작
-
권장 사항: 이벤트에 전체 경로 URL 데이터를 지속적으로 기록하려면, 관련 트래픽에 대한 이벤트를 기록할 때 아래 설정을 사용하여 애플리케이션 제어 정책을 사용하세요.
-
애플리케이션 - 모든 클라우드 애플리케이션
-
기준 - 모든 세밀한 활동
댓글 0개
이 문서에는 댓글을 달 수 없습니다.