Compreendendo o Fluxo de Pacotes com a Arquitetura Cato SPACE

Este artigo explica o fluxo de pacotes para os motores de segurança no PoP baseado na arquitetura Single Pass Cloud Engine (SPACE) da Cato.

Visão Geral

A arquitetura SPACE da Cato examina e processa fluxos de tráfego com um único serviço. Este serviço inclui múltiplos motores de rede e segurança que analisam e processam fluxos de tráfego simultaneamente. Esta arquitetura evita as limitações de combinar várias soluções pontuais com encadeamento de serviços. O passe único para um fluxo minimiza a latência e melhora o desempenho geral da rede. Cada PoP pode executar essas decisões de rede e segurança usando todos os serviços e motores SPACE da Cato.

Os motores de segurança e rede têm acesso completo aos dados para o fluxo de tráfego e avaliam e compartilham simultaneamente dados entre si com um contexto compartilhado. Os motores operam em paralelo, não há prioridade para um motor avaliar o tráfego sobre outro. Os motores estão localizados em cada PoP e podem compartilhar dados sem esperar por informações de um motor em uma localização física diferente.

Por exemplo, uma regra de firewall bloqueia dispositivos macOS, no entanto o motor de firewall não pode obter esses dados do primeiro pacote e espera por mais dados. Quando um motor diferente identifica o dispositivo como macOS, então o firewall bloqueia o fluxo de acordo com a ação da regra.

Resumo dos Serviços de Rede e Segurança SPACE

Esta seção lista os serviços e motores de rede e segurança no PoP que são aplicados às diferentes fases do fluxo de pacotes.

  • Políticas e motores da Cato

    • Firewall - política de Firewall para firewalls da Internet e WAN

    • Rede - política de Regras de Rede para roteamento e prioridade de QoS

    • IPS/SAM - proteções IPS e Monitoramento de Atividades Suspeitas (SAM)

    • Controle de Aplicativos - identificação de aplicativos para a política de Controle de Aplicativos

      • Controle de Aplicativos gen2 - Regras para aplicativos baseadas em acesso: permitir ou bloquear

      • Controle de Aplicativos gen3 - Regras para aplicativos baseadas em ações granulares: upload, download, e assim por diante

    • TLSi - Inspeção TLS para tráfego HTTPS e criptografado

    • DLP - Inspeção de conteúdo para a política de Prevenção de Perda de Dados (DLP)

    • AM/NGAM - Varredura Anti-Malware e Next-Gen Anti-Malware de anexos de arquivo contra malware

  • Dados de fluxo de tráfego e protocolos

    • Identificação de aplicativo - Vários critérios são usados para identificar o aplicativo específico para políticas de segurança ou rede

    • SO - Sistema Operacional (SO) para o dispositivo, por exemplo, com Postura do Dispositivo ou a política de Conectividade do Cliente

    • Classe de Cliente - Tipo de aplicativos cliente que executam no sistema operacional que criou este fluxo de rede (por exemplo, Chrome)

    • URLF - Filtragem de URL para categorias da Cato baseadas no URL do site

    • Tipo de Arquivo - Para CASB e DLP, anexo de arquivo na direção de upload ou download

Fluxo de Pacotes TCP com SPACE

Este é um exemplo de um fluxo HTTP típico com os seguintes itens:

  • Linha do Tempo - Diferentes fases do fluxo de tráfego

  • Campos Disponíveis - Dados que estão disponíveis para a fase específica da linha do tempo

  • Motor Cato - motor SPACE que é capaz de analisar o fluxo e então tomar a ação apropriada (bloquear ou permitir)

  • Dados de fluxo de tráfego - Para cada fase, dados que são usados para avaliar o fluxo de tráfego

SPACE_Flow.png

Você pode ver uma lista dos detalhes abaixo, Detalhes do Fluxo TCP Exemplo.

Identificação de Aplicativo Exemplo a partir de um Fluxo de Tráfego

Este é um exemplo de um fluxo de tráfego para uma regra que inclui o aplicativo Slack, e mostra quais informações estão disponíveis em cada estágio.

  1. Primeiro pacote - TCP

    Fonte - 10.10.2.107
Porta de Origem - 55477
IP de Destino - 3.68.124.168
Porta de Destino - 443
Protocolo - TCP
Resposta DNS - 3.68.124.168 - slack.com (resposta opcional)

    Estas são as informações de fluxo de tráfego disponíveis com base neste primeiro pacote de exemplo:

    • 5 tupla - não pode identificar que o tráfego está conectado ao aplicativo Slack

    • Resposta DNS - Com base em fluxos anteriores, os motores já sabem que o nome de domínio para este IP de destino é slack.com

    • ASN - com base no IP de destino, o motor de Segurança pode identificar o ASN

    • Identificação de aplicativo inclui: tcp

    O motor aguarda informações adicionais da handshake TLS antes de poder concluir a identificação do aplicativo Slack.

  2. handshake_tls

    "Cabeçalho TLS"
"sni_host": "slack.com"
"motivo predefinido para ignorar inspeção": "nenhum"
"ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"

    Estas são as informações de fluxo de tráfego disponíveis com base neste handshake_tls de exemplo:

    • Cabeçalho TLS e porta do servidor 443 - corresponde ao protocolo TLS

    • SNI é slack.com - corresponde à identificação de aplicativo Slack da Cato

      SNI também é enviado para o URLF, e corresponde às categorias Informação de Negócios, Computadores e Tecnologia, Social

    • Classe de Cliente é JA3 - classifica o cliente como um navegador com base na impressão digital TLS

    • Inspeção TLS ou ação de ignorar - com base na Classe de Cliente e na identificação do aplicativo

    • Identificação de aplicativo inclui: tcp, tls, slack

  3. HTTP

    "url" : "upload.slack.com:
"nome do host" : "slack.com"
"Tipo de Conteúdo" : "aplicativo/pdf"
"Content-Disposition" : form-data; nome="arquivo"; filename="dados-amostra.pdf"
"Tamanho do Conteúdo" : "52765"

    Neste fluxo de exemplo, as seguintes informações estão disponíveis com base nos dados HTTP:

    • Identificação de aplicativo inclui: tcp, tls, http, slack

    • A Inspeção TLS decripta o fluxo e identifica que o nome do host do servidor Slack é slack.com

    • Cabeçalho HTTP - corresponde ao protocolo HTTP

      Este é um exemplo comum onde o HTTP_host corresponde ao SNI, e não há mudança na identificação do aplicativo

    • URL - o prefixo upload fornece mais granularidade e pode corresponder à ação de upload na política de Controle de Aplicativos

    • Tipo de Conteúdo, Content-Disposition, Tamanho do Conteúdo - fornece informações sobre o nome, tamanho e tipo do arquivo

    • Ações da política de Controle de Aplicativos:

      • Impor uma política que use apenas o tenant corporativo do Slack

      • Controle de Arquivo com base no tipo de arquivo

        Anti-Malware e NG Anti-Malware escaneiam apenas arquivos na direção de download.

  4. Corpo HTTP

    "Corpo de carga HTTP" : "O próprio arquivo"

    Por exemplo, a política DLP impõe que nenhum dado de cartão de crédito pode ser usado em mensagens do Slack.

    • A identificação de aplicativo é concluída para o aplicativo Slack. Ela é identificada como tráfego que pertence à Categoria social.

    • Quando o conteúdo do arquivo está pronto, esses motores analisam o conteúdo do arquivo:

      • Motor DLP escaneia o conteúdo baseado na política de Controle de Dados

      • Anti-Malware e NG Anti-Malware escaneiam arquivos na direção de download

Políticas e Motores Cato

Esta seção explica a política de segurança da Cato e os motores que analisam e atuam no fluxo de tráfego.

Políticas de Firewall e Rede

O Firewall WAN, Firewall da Internet e as políticas de Regras de Rede geralmente são capazes de avaliar um fluxo de tráfego no primeiro pacote. Por exemplo, regras que são baseadas em dados do 5-tupla. No entanto, para regras que correspondem a aplicativos específicos, como Azure ou Slack, então dados adicionais do fluxo de tráfego são necessários para o motor avaliar o fluxo. Isso significa que a fase na qual o motor avalia o fluxo depende das configurações para a regra específica.

Para mais informações sobre os tipos de regras de firewall, veja Internet e WAN Firewall Policies – Best Practices.

Exemplo de Primeiro Pacote para Regra Simples de Rede e Regra Complexa de Firewall

Este exemplo mostra como os motores PoP avaliam um fluxo de tráfego de forma diferente para uma regra de rede simples que usa endereços IP e portas, e uma regra de firewall complexa para aplicativos Azure. O motor de rede é capaz de avaliar o fluxo com base no primeiro pacote, mas o PoP espera por dados adicionais para o motor de firewall finalizar sua análise.

Exemplo de Regra de Rede

A seguinte regra de rede é para tráfego com a Fonte como uma Faixa de IP com a Faixa de Portas 8000 - 8010, e o tráfego é egressado via a localização PoP de Londres.

Simple_network.png

O motor de rede é capaz de avaliar a decisão de roteamento para o fluxo de tráfego com base no 5-tupla.

Exemplo de Regra de Firewall WAN

A seguinte regra de firewall WAN permite tráfego que tenha a mesma Fonte que a Faixa de IP para a regra de rede acima, e para usuários que são membros do grupo de usuários RnD. Além disso, a regra é para aplicativos Azure para serviços HTTP(S), TLS, FTP, e TFTP.

Azure_FW.png

O motor de firewall não pode avaliar o tráfego no primeiro pacote, porque precisa confirmar a identidade do usuário, aplicativos Azure, e serviços para o fluxo. Após o motor terminar a avaliação e o fluxo atender a todos os critérios, o motor permite o fluxo. O PoP também aplica a decisão de roteamento com base no primeiro pacote.

Filtragem de URL e Categorias Cato

O serviço de filtragem de URL funciona analisando o URL de um site e comparando-o com um banco de dados de sites conhecidos ou suspeitos de serem maliciosos ou inapropriados. Este serviço também pode analisar o conteúdo do site em si para determinar suas categorias, como conteúdo adulto, jogos de azar, redes sociais ou mídia de streaming.

Para mais informações sobre categorias, consulte Trabalhando com Categorias.

Inspeção TLS

O motor de Inspeção TLS está envolvido durante a fase de handshake_tls do fluxo de pacotes. A decisão de inspecionar ou não o fluxo é irreversível e ocorre em duas etapas:

  1. Etapa 1 - A primeira carga do pacote client_hello da uma indicação inicial se o motor de Inspeção TLS irá inspecionar este fluxo de tráfego

  2. Etapa 2 - O client_hello é totalmente analisado, e a ação da política de Inspeção TLS é aplicada (inspecionar ou ignorar o fluxo)

Para fluxos HTTPS, é possível que haja uma decisão de bloquear o pacote com base na etapa 1. No entanto, o motor continua a comunicar e estabelecer uma conexão TLS para apresentar a página de bloqueio correta do firewall ou IPS ao usuário final.

IPS

O motor IPS continua a operar durante o tempo de vida do fluxo de tráfego. Inspeciona itens específicos que estão disponíveis em diferentes estágios e atua sobre conteúdo que corresponde positivamente a uma Proteção IPS. Você pode pensar no IPS como atuando como uma lupa, constantemente aguardando atualizações do tráfego e continuamente fornecendo informações ao motor que foi visto no fluxo.

O exemplo a seguir mostra diferentes informações disponíveis em diferentes estágios do fluxo:

  • O protocolo para o fluxo é HTTP

  • Com base na carga útil, há TLS

  • Há um cliente_hello que usa a suíte de cifras TLS 1.3 TLS_AES_256_GCM_SHA384

Diferentes Proteções IPS podem corresponder a qualquer um dos itens acima e então agir sobre o fluxo em aquela fase.

Proteção DNS

A Proteção DNS faz parte do motor IPS e opera no fluxo DNS para a solicitação e resposta (sem qualquer conexão com o transporte, por exemplo, TCP ou UDP).

Durante a solicitação DNS, o Nome do Domínio é analisado e avaliado quanto à reputação do domínio e feeds estáticos. Então, durante a resposta DNS, o IP resolvido e o conteúdo são analisados quanto a potencialmente conteúdo malicioso. A política de Proteção DNS é aplicada a qualquer conteúdo correspondente (bloqueia ou permite o fluxo de Tráfego).

Controle de Aplicativo

O motor de Controle de Aplicativo inspeciona o Tráfego e aplica as ações para a Política de Controle de Aplicativos, e é avaliado em cada nova transação HTTP (solicitação e resposta).

Para aplicativos gen2, TLS e proxy HTTP são necessários para completar a identificação do aplicativo.

Para Regras que incluem requisitos de segurança e conformidade:

  • Com base nos dados contextuais de outros motores de redes e segurança, o motor de Controle de Aplicativo pode avaliar esses requisitos durante a fase de inspeção_tls

  • Também é possível que o motor obtenha essa informação do SNI, e não requer TLS ou identificação completa de Aplicativo (DPI camada 7) para avaliar o aplicativo

DLP

O motor DLP inspeciona o conteúdo do fluxo de Tráfego e é uma extensão do motor de Controle de Aplicativo. Quando a política especifica um Tipo de Arquivo ou Tamanho do Arquivo, o motor precisa inspecionar os metadados do aplicativo e a carga útil para essas características de arquivo:

  1. O motor avalia o Tipo de Arquivo e verifica se ele corresponde à lista suportada de arquivos para inspeção de conteúdo.

  2. Então, a identificação do aplicativo gen3 é finalizada para identificar as assinaturas específicas de conteúdo para os campos que armazenam o conteúdo e os dados que são inspecionados.

  3. O conteúdo é inspecionado e verificado para ver se corresponde ao Perfil de Conteúdo definido.

Anti-Malware e NG Anti-Malware

Os motores de Anti-Malware e SentinelOne NG Anti-Malware escaneiam anexos de arquivos em Tráfego de entrada (baixando Arquivos) para malware conhecido e desconhecido. O Tipo de Arquivo é baseado na resposta HTTP, ou na solicitação para Tráfego FTP.

Somente Aplicações e Serviços HTTP, HTTPS e FTP são escaneados.

  1. O motor verifica se a Aplicação corresponde a uma Regra na política de Anti-Malware.

  2. O Arquivo é correspondido contra essas listas de Arquivos:

    1. A Lista de Permissões configurada no Aplicativo de Gerenciamento Cato - esses Arquivos estão permitidos para download.

    2. A lista de bloqueios gerenciada pela equipe de Segurança da Cato - esses Arquivos estão bloqueados.

  3. Os Arquivos são escaneados pelos motores de Anti-Malware e NG Anti-Malware, e o Veredito é retornado: malicioso, suspeito ou benigno.

  4. A ação apropriada para a política de Anti-Malware é aplicada ao Arquivo.

FAQ para Políticas e Motores Cato

O Filtro de URL aplica-se ao Tráfego WAN?

Não, o Filtro de URL é apenas para Tráfego de Internet e não é aplicado ao Tráfego da Conta sobre a WAN.

Qual é a diferença entre as configurações de Restrição Geográfica para Regra de Firewall vs políticas IPS?

A configuração de Dispositivo nos Firewalls de WAN e Internet permite definir o País de Origem para as regras granulares. No entanto, não há controle sobre o País de Destino.

A aba de Restrição Geográfica na Política de IPS define o Tráfego Restrito que é ou a Fonte ou o Destino. No entanto, o IPS é uma política Global para toda a Conta, e não é possível aplicar as configurações de Restrição Geográfica para Locais ou Objetos específicos.

Detalhes do Fluxo de Amostra TCP

  1. Linha do tempo - Primeiro pacote

    1. Campos Disponíveis - 5-tuple, Nome do Host (Nome do Host)

    2. Motor Cato - Firewall, Rede, IPS/SAM

    3. Dados de fluxo de Tráfego - Identificação de Aplicativo, Classe do Cliente, SO

  2. Linha do tempo - tls_handshake

    1. Campos Disponíveis - cipher_suite, Nome do Host (SNI)

    2. Motor Cato - IPS/SAM, Controle de Aplicativo gen2, TLSi, Firewall, Rede

    3. Dados de fluxo de Tráfego - Identificação de Aplicativo, Classe do Cliente, URLF

  3. Linha do tempo - HTTP_headers

    1. Campos Disponíveis - headers, URL, Nome do Host (header do Host)

    2. Motor Cato - Controle de Aplicativo gen3, IPS/SAM

    3. Dados de fluxo de Tráfego - Tipo de Arquivo (upload), SO

  4. Linha do tempo - HTTP_body

    1. Campos Disponíveis - HTTP_request, HTTP_body

    2. Motor Cato - Controle de Aplicativo gen3, DLP, IPS/SAM

    3. Dados de fluxo de Tráfego - Tipo de Arquivo (upload), Identificação de Aplicativo

  5. Linha do tempo - HTTP_response

    1. Campos Disponíveis - HTTP_response_headers, HTTP_response_body

    2. Motor Cato - AM/NGAM, Controle de Aplicativo gen3, DLP, IPS/SAM

    3. Dados de fluxo de Tráfego - Tipo de Arquivo (download), Identificação de Aplicativo

Esse artigo foi útil?

Usuários que acharam isso útil: 11 de 12

0 comentário