Compreendendo Fluxo de Pacotes com a Arquitetura SPACE da Cato

Este artigo explica o fluxo de pacotes para os motores de segurança no PoP, baseado na arquitetura de Single Pass Cloud Engine (SPACE) da Cato.

Visão Geral

A arquitetura SPACE da Cato examina e processa fluxos de tráfego com um único serviço. Este serviço inclui múltiplos motores de redes e segurança que simultaneamente analisam e processam fluxos de tráfego. Esta arquitetura evita as limitações de combinar múltiplas soluções pontuais com encadeamento de serviços. A única passagem para um fluxo minimiza a latência e melhora o desempenho geral da rede. Cada PoP pode realizar estas decisões de rede e segurança usando todos os serviços e motores SPACE da Cato.

Os motores de segurança e redes têm acesso completo aos dados para o fluxo de tráfego e simultaneamente avaliam e compartilham dados entre si com um contexto compartilhado. Os motores operam em paralelo, não há prioridade para um motor avaliar o tráfego sobre outro. Os motores estão localizados em cada PoP e podem compartilhar dados sem esperar informações de um motor em uma localização física diferente.

Por exemplo, uma Regra de Firewall bloqueia dispositivos macOS, no entanto, o motor de firewall não pode obter esses dados do primeiro pacote e espera por mais dados. Quando um motor diferente identifica o dispositivo como macOS, então o firewall bloqueia o fluxo de acordo com a ação da regra.

Resumo dos Serviços de Rede e Segurança SPACE

Esta seção lista os serviços e motores de rede e segurança no PoP que são aplicados às diferentes fases do fluxo de pacotes.

  • Políticas e Motores Cato

    • Firewall - Política de Firewall para firewalls de Internet e WAN

    • Rede - Política de Regras de Rede para roteamento e prioridade QoS

    • IPS/SAM - Proteções de IPS e Monitoramento de Atividades Suspeitas (SAM)

    • Controle de Aplicativo - Identificação de aplicativo para a Política de Controle de Aplicativo

      • Controle de App gen2 - Regras para apps baseadas em acesso: permitir ou bloquear

      • Controle de Aplicativo gen3 - Regras para apps baseadas em ações granulares: Upload, Download, e assim por diante

    • TLSi - Inspeção TLS para tráfego HTTPS e criptografado

    • DLP - Inspeção de conteúdo para a política de Prevenção de Perda de Dados (DLP)

    • AM/NGAM - Verificação de Anti-Malware e Anti-Malware de Nova Geração em arquivos anexados para malware

  • Dados de fluxo de tráfego e protocolos

    • Identificação de App - Vários critérios são usados para identificar a aplicação específica para políticas de segurança ou de rede

    • Sistema Operacional - Sistema Operacional (SO) do dispositivo, por exemplo, com a Postura do Dispositivo ou a política de Conectividade do Cliente

    • Tipo de Cliente - Tipo de aplicativos cliente que executam no sistema operacional que criou este fluxo de rede (por exemplo, Chrome)

    • URLF - Filtragem de URLs para categorias da Cato com base na URL do site

    • Tipo de Arquivo - Para CASB e DLP, anexo de arquivo na direção de upload ou download

Fluxo de Pacotes TCP com SPACE

Este é um exemplo de um fluxo HTTP típico com os seguintes itens:

  • Linha do Tempo - Diferentes fases do fluxo de tráfego

  • Campos Disponíveis - Dados disponíveis para a fase específica da linha do tempo

  • Motor Cato - Motor SPACE que é capaz de analisar o fluxo e então tomar a ação apropriada (bloquear ou permitir)

  • Dados de fluxo de tráfego - Para cada fase, dados que são usados para avaliar o fluxo de tráfego

SPACE_Flow.png

Você pode ver uma lista dos detalhes abaixo, Detalhes do Exemplo de Fluxo TCP.

Exemplo de Identificação de App a partir de um Fluxo de Tráfego

Este é um exemplo de um fluxo de tráfego para uma regra que inclui o aplicativo Slack e mostra quais informações estão disponíveis em cada etapa.

  1. Primeiro pacote - TCP

    Fonte - 10.10.2.107
Porta de Origem - 55477
Endereço IP de Destino - 3.68.124.168
Porta de Destino - 443
Protocolo - TCP
Resposta DNS - 3.68.124.168 - slack.com (resposta opcional)

    Esta é a informação de fluxo de tráfego disponível com base neste primeiro pacote de exemplo:

    • Tupla de 5 - não pode identificar que o tráfego está conectado ao aplicativo Slack

    • Resposta DNS - Com base em fluxos anteriores, os motores já sabem que o dname para este endereço IP de destino é slack.com

    • ASN - com base no endereço IP de destino, o motor de segurança pode identificar o ASN

    • Identificação de App inclui: tcp

    O motor aguarda informações adicionais da troca de chaves TLS antes de poder concluir a identificação do aplicativo Slack.

  2. tls_handshake

    "Cabeçalho TLS"
"sni_host": "slack.com"
"razão de bypass de inspeção predefinida": "nenhum"
"ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"

    Esta é a informação de fluxo de tráfego disponível com base neste exemplo tls_handshake:

    • Cabeçalho TLS e porta do servidor 443 - corresponde ao protocolo TLS

    • SNI é slack.com - corresponde à identificação do aplicativo Slack da Cato

      SNI também é enviado para o URLF e corresponde às categorias Informação de Negócios, Computadores e Tecnologia, Social

    • Tipo de Cliente é JA3 - classifica o cliente como um navegador baseado em impressão digital TLS

    • Inspeção TLS ou ação de ignorar - baseada na Classe de Cliente e na identificação do aplicativo

    • A identificação do aplicativo inclui: tcp, tls, slack

  3. HTTP

    "url" : "upload.slack.com:
"host_name" : "slack.com"
"Content-Type" : "application/pdf"
"Content-Disposition" : form-data; name="file"; filename="sample-data.pdf"
"Content-Length" : "52765"

    Neste fluxo de exemplo, as seguintes informações estão disponíveis com base nos dados HTTP:

    • A identificação do aplicativo inclui: tcp, tls, http, slack

    • A Inspeção TLS descriptografa o fluxo e identifica que o Nome do Host do servidor Slack é slack.com

    • Cabeçalho HTTP - corresponde ao protocolo HTTP

      Este é um exemplo comum onde HTTP_host corresponde ao SNI, e não há alteração para a identificação do aplicativo

    • URL - o prefixo de upload fornece mais granularidade, e pode corresponder à ação de upload na política de Controle de Aplicativos

    • Content-Type, Content-Disposition, Content-Length - fornece informações sobre o Nome do Arquivo, Tamanho do Arquivo e Tipo de Arquivo

    • Ações da política de Controle de Aplicativos:

      • Aplicar uma política que usa apenas o locatário corporativo do Slack

      • Controle de Arquivo baseado no Tipo de Arquivo

        Anti-Malware e NG Anti-Malware escaneiam apenas arquivos na direção de download.

  4. Corpo HTTP

    "Carga útil do Corpo HTTP" : "O próprio Arquivo"

    For example, DLP policy enforces no credit card data can be used in Slack messages.

    • A identificação do aplicativo está completa para o aplicativo Slack. É identificado como tráfego que pertence à Categoria social.

    • Quando o conteúdo do arquivo está pronto, esses motores analisam o conteúdo do arquivo:

      • DLP engine scans content based on the Data Control policy

      • Anti-Malware e NG Anti-Malware escaneiam arquivos na direção de download

Políticas e Motores Cato

Esta seção explica a política de segurança Cato e os motores que analisam e atuam no fluxo de tráfego.

Políticas de Firewall e Rede

As políticas de Firewall WAN, Firewall da Internet e Regras de Rede geralmente podem avaliar um fluxo de tráfego no primeiro pacote. Por exemplo, regras baseadas em dados do 5-tuple. No entanto, para regras que correspondem a aplicativos específicos, como Azure ou Slack, são necessários dados adicionais do fluxo de tráfego para que o motor avalie o fluxo. Isso significa que a fase em que o motor avalia o fluxo depende das configurações para a regra específica.

Para mais informações sobre os tipos de regras de firewall, consulte Internet e Políticas de Firewall WAN – Melhores Práticas.

Exemplo de Primeiro Pacote para Regra de Rede Simples e Regra de Firewall Complexa

Este exemplo mostra como os motores PoP avaliam um fluxo de tráfego de maneira diferente para uma regra de rede simples que usa endereços IP e portas, e uma regra de firewall complexa para aplicativos Azure. O motor de rede é capaz de avaliar o fluxo com base no primeiro pacote, mas o PoP aguarda os dados adicionais para que o motor de firewall finalize sua análise.

Exemplo de Regra de Rede

A seguinte regra de rede é para tráfego cuja Origem é um intervalo de IP com a faixa de portas 8000 - 8010, e o tráfego é egressado através da localização PoP de Londres.

Simple_network.png

O motor de rede pode avaliar a decisão de roteamento para o fluxo de tráfego com base no 5-tuple.

Exemplo de Regra de Firewall WAN

A seguinte regra de firewall WAN permite o tráfego que é o mesmo Origem que o intervalo de IP para a regra de rede acima, e para usuários que são membros do grupo de usuários P&D. Além disso, a regra é para aplicativos Azure para serviços HTTP(S), TLS, FTP e TFTP.

Azure_FW.png

O motor de firewall não pode avaliar o tráfego no primeiro pacote, porque precisa confirmar a identidade do usuário, aplicativos Azure e serviços para o fluxo. Após o motor finalizar a avaliação e o fluxo atender a todos os critérios, então o motor permite o fluxo. O PoP também aplica a decisão de roteamento com base no primeiro pacote.

Filtro de URL e Categorias Cato

O serviço de filtro de URL funciona analisando a URL de um site e comparando-a com um banco de dados de sites conhecidos ou suspeitos de serem maliciosos ou inadequados. Este serviço também pode analisar o conteúdo do site em si para determinar suas categorias, como conteúdo adulto, jogos de azar, redes sociais ou mídia de streaming.

Para mais informações sobre categorias, consulte Trabalhando com Categorias.

Inspeção TLS

O motor de Inspeção TLS está envolvido durante a fase tls_handshake do fluxo de pacotes. A decisão de inspecionar ou não o fluxo é irreversível e ocorre em duas etapas:

  1. Etapa 1 - A primeira carga útil do pacote client_hello dá uma indicação inicial se o motor de Inspeção TLS irá inspecionar este fluxo de tráfego

  2. Etapa 2 - O client_hello é totalmente analisado e a ação da Política de Inspeção TLS é aplicada (inspecionar ou ignorar o fluxo)

Para fluxos HTTPS, é possível que haja uma decisão de bloquear o pacote com base na Etapa 1. No entanto, o motor continua a comunicar e estabelecer uma conexão TLS para apresentar a correta página de bloqueio de Firewall ou IPS para o usuário final.

IPS (Sistema de Prevenção de Intrusões)

O motor IPS continua executando durante a vida útil do fluxo de tráfego. Ele inspeciona itens específicos que estão disponíveis em diferentes fases e atua sobre conteúdo que corresponde positivamente a uma Proteção IPS. Você pode pensar no IPS atuando como uma lupa, constantemente aguardando atualizações do tráfego e fornecendo continuamente informações ao motor que foram vistas no fluxo.

O exemplo a seguir mostra diferentes informações que estão disponíveis em diferentes fases do fluxo:

  • O protocolo para o fluxo é HTTP

  • Com base na carga útil, há TLS

  • Há um client_hello que usa a suíte de cifra TLS 1.3 TLS_AES_256_GCM_SHA384

Diferentes proteções IPS podem corresponder a qualquer um dos itens acima e, em seguida, tomar medidas no fluxo de tráfego nessa fase.

Proteção DNS

A Proteção DNS faz parte do motor IPS e opera no fluxo DNS para a solicitação e resposta (sem conexão ao transporte, como TCP ou UDP).

Durante a solicitação DNS, o nome do domínio é analisado e avaliado para reputação do domínio e feeds estáticos. Em seguida, durante a resposta DNS, o IP resolvido e o conteúdo são analisados para detectar conteúdo potencialmente malicioso. A política de Proteção DNS é aplicada a qualquer conteúdo correspondente (bloquear ou permitir o fluxo de tráfego).

Controle de Aplicativo

O motor de Controle de Aplicativo inspeciona o tráfego e aplica as ações para a Política de Controle de Aplicativos, e é avaliado em cada nova transação HTTP (solicitação e resposta).

Para aplicativos gen2, TLS e HTTP proxy são necessários para completar a identificação do aplicativo.

Para regras que incluem requisitos de segurança e conformidade:

  • Com base em dados contextuais de outros motores de redes e segurança, o motor de Controle de Aplicativo pode avaliar esses requisitos durante a fase tls_inspection

  • Também é possível que o motor obtenha essas informações do SNI, e não exija TLS ou identificação completa do App (DPI camada 7) para avaliar o aplicativo

Prevenção de Perda de Dados (DLP)

O motor DLP inspeciona o conteúdo do fluxo de tráfego e é uma extensão do motor de Controle de Aplicativo. Quando a política especifica um tipo de arquivo ou tamanho de arquivo, então o motor precisa inspecionar os metadados do app e a carga útil para essas características de arquivo:

  1. O motor avalia o tipo de arquivo e verifica se ele corresponde à lista suportada de arquivos para inspeção de conteúdo.

  2. Em seguida, a identificação do app gen3 é finalizada para identificar as assinaturas de conteúdo específicas para os campos que armazenam o conteúdo e os dados que são inspecionados.

  3. O conteúdo é inspecionado e verificado para ver se ele corresponde ao perfil de conteúdo definido.

Anti-Malware e NG Anti-Malware

Os motores Anti-Malware e NG Anti-Malware da SentinelOne escaneiam anexos de arquivos no tráfego de entrada (baixando arquivos) para malware conhecido e desconhecido. O tipo de arquivo é baseado na resposta HTTP ou na solicitação para o tráfego FTP.

Somente aplicações e serviços HTTP, HTTPS e FTP são escaneados.

  1. O motor verifica se o aplicativo corresponde a uma regra na política de Anti-Malware.

  2. O arquivo é comparado contra estas listas de arquivos:

    1. A Lista de Permissão configurada no Aplicativo de Gerenciamento Cato - esses arquivos são permitidos para baixar.

    2. A lista de bloqueio gerenciada pela equipe de segurança da Cato - esses arquivos são bloqueados.

  3. Os arquivos são escaneados pelos motores Anti-Malware e NG Anti-Malware, e é retornado um veredito: malicioso, suspeito ou benigno.

  4. A ação apropriada para a política de Anti-Malware é aplicada ao arquivo.

FAQ para Políticas e Motores de Cato

O Filtro de URL aplica-se ao tráfego WAN?

Não, o Filtro de URL é somente para tráfego da Internet e não é aplicado ao tráfego de contas sobre a WAN.

Qual é a diferença entre as configurações de Restrição Geográfica para políticas de Firewall vs IPS?

A configuração de Dispositivo nos Firewalls de WAN e Internet permite definir o país de origem para as regras granulares. No entanto, não há controle sobre o país de destino.

A aba de Restrição Geográfica na Política de IPS define o tráfego restrito que é ou a origem ou o destino. No entanto, o IPS é uma política global para toda a conta, e você não pode aplicar as configurações de restrição geográfica para sites ou objetos específicos.

Detalhes de Exemplo de Fluxo TCP

  1. Linha do Tempo - Primeiro pacote

    1. Campos Disponíveis - 5-tuple, Nome do Host (dname)

    2. Motor Cato - Firewall, Rede, IPS/SAM

    3. Dados do fluxo de tráfego - Identificação de App, Classe do Cliente, SO

  2. Linha do tempo - tls_handshake

    1. Campos Disponíveis - cipher_suite, Nome do Host (SNI)

    2. Motor Cato - IPS/SAM, Controle de Aplicativo gen2, TLSi, Firewall, Rede

    3. Dados de fluxo de tráfego - Identificação de Aplicativos, Classe de Cliente, URLF

  3. Linha do tempo - HTTP_cabeçalhos

    1. Campos Disponíveis - cabeçalhos, URL, Nome do Host (cabeçalho do host)

    2. Motor Cato - Controle de Aplicativo gen3, IPS/SAM

    3. Dados de fluxo de tráfego - Tipo_de_arquivo (upload), SO

  4. Linha do tempo - HTTP_corpo

    1. Campos Disponíveis - HTTP_requisição, HTTP_corpo

    2. Motor Cato - Controle de Aplicativo gen3, DLP, IPS/SAM

    3. Dados de fluxo de tráfego - Tipo_de_arquivo (upload), Identificação de Aplicativos

  5. Linha do tempo - HTTP_resposta

    1. Campos Disponíveis - HTTP_cabeçalhos_de_resposta, HTTP_corpo_de_resposta

    2. Motor Cato - AM/NGAM, Controle de Aplicativo gen3, DLP, IPS/SAM

    3. Dados de fluxo de tráfego - Tipo_de_arquivo (download), Identificação de Aplicativos

Esse artigo foi útil?

Usuários que acharam isso útil: 11 de 12

0 comentário