Понимание потока пакетов с архитектурой Cato SPACE

В этой статье объясняется поток пакетов для движков безопасности в PoP на основе архитектуры однопроходного облачного движка Cato (SPACE).

Обзор

Архитектура SPACE компании Cato рассматривает и обрабатывает потоки трафика с помощью одной услуги. Эта услуга включает несколько сетевых и защитных движков, которые одновременно анализируют и обрабатывают потоки трафика. Эта архитектура предотвращает ограничения по объединению нескольких точечных решений с помощью связывания услуг. Однократный проход для потока минимизирует задержку и улучшает общую производительность сети. Каждый PoP может выполнять эти сетевые и защитные решения с использованием всех услуг и движков Cato SPACE.

Защитные и сетевые движки имеют полный доступ к данным потока трафика и одновременно оценивают и обмениваются данными друг с другом в общей среде. Движки работают параллельно, нет приоритета для одного движка над другим при оценке трафика. Движки расположены в каждом PoP и могут обмениваться данными без ожидания информации от движка в другой физической точке.

Например, правило межсетевого экрана блокирует устройства macOS, однако движок межсетевого экрана не может получить эти данные из первого пакета и ждет дополнительных данных. Когда другой движок идентифицирует устройство как macOS, межсетевой экран блокирует поток в соответствии с действием правила.

Сводка сетевых и защитных услуг SPACE

Этот раздел перечисляет сетевые и защитные сервисы и движки в PoP, которые применяются на различных этапах потока пакетов.

  • Политики и движки Cato

    • Межсетевой экран - Политика межсетевого экрана для Интернет и WAN межсетевых экранов

    • Сеть - Политика сетевых правил для маршрутизации и приоритета QoS

    • IPS/SAM - Защита IPS и мониторинг подозрительных действий (SAM)

    • Контроль приложений - Идентификация приложений для политики контроля приложений

      • Контроль приложений gen2 - Правила для приложений на основе доступа: разрешить или заблокировать

      • Контроль приложений gen3 - Правила для приложений на основе детализированных действий: загрузка, скачивание и так далее

    • TLSi - Инспекция TLS для HTTPS и зашифрованного трафика

    • DLP - Инспекция контента для политики предотвращения утечек данных (DLP)

    • AM/NGAM - Сканирование антивирусом и антивирусом следующего поколения вложенных файлов на наличие вредоносного ПО

  • Данные потока трафика и протоколы

    • Идентификация приложений - Для идентификации конкретного приложения для правил безопасности или сетевых политик используются различные критерии

    • Операционная система (ОС) для устройства, например, с политикой состояния устройства или политики подключения клиента

    • Класс клиента - Тип клиентских приложений, которые работают на операционной системе, создавшей этот сетевой поток (например, Chrome)

    • URLF - Фильтрация URL для категорий Cato на основе URL веб-сайта

    • Тип файла - Для CASB и DLP, вложение файла в направлении загрузки или скачивания

Поток TCP пакетов с SPACE

Это пример типичного HTTP потока с следующими элементами:

  • Хронология - Различные этапы потока трафика

  • Доступные поля - Данные, доступные для определенной стадии хронологии

  • Движок Cato - SPACE движок, который способен анализировать поток и затем предпринимать соответствующие действия (блокировать или разрешать)

  • Данные потока трафика - Для каждой стадии данные, которые используются для оценки потока трафика

SPACE_Flow.png

Вы можете увидеть список деталей ниже, Подробности примера TCP потока.

Пример идентификации приложения из потока трафика

Это пример потока трафика для правила, включающего приложение Slack, и показывает, какая информация доступна на каждом этапе.

  1. Первый пакет - TCP

    Источник - 10.10.2.107
Исходный порт - 55477
IP-адрес назначения - 3.68.124.168
Порт назначения - 443
Протокол - TCP
Ответ DNS - 3.68.124.168 - slack.com  (опциональный ответ)

    Это информация о потоке трафика, доступная на основе данного первого пакета:

    • 5 кортеж - не может определить, что трафик подключается к приложению Slack

    • Ответ DNS - На основе предыдущих потоков движки уже знают, что доменное имя для этого IP назначения - slack.com

    • ASN - на основе IP назначения, движок безопасности может идентифицировать ASN

    • Идентификация приложений включает: tcp

    Движок ждёт дополнительную информацию от TLS рукопожатия, прежде чем сможет завершить идентификацию приложения Slack.

  2. tls_handshake

    "Заголовок TLS"
"sni_host": "slack.com"
"причина обхода предопределенной инспекции": "нет"
"ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"

    Это информация о потоке трафика, доступная на основе этого примера tls_handshake:

    • Заголовок TLS и серверный порт 443 - соответствует протоколу TLS

    • SNI - это slack.com - соответствует идентификации приложения Slack от Cato

      SNI также отправляется в URLF и соответствует категориям Бизнес-информация, Компьютеры и технологии, Социальные сети

    • Класс клиента - JA3 - классифицирует клиента как браузер на основе TLS отпечатка

    • Инспекционное действие TLS или обход - на основе класса клиента и идентификации приложения

    • Идентификация приложения включает: tcp, tls, slack

  3. HTTP

    "url" : "upload.slack.com:
"host_name" : "slack.com"
"Content-Type" : "application/pdf"
"Content-Disposition" : form-data; name="file"; filename="sample-data.pdf"
"Content-Length" : "52765"

    В этом примере потока следующая информация доступна на основе данных HTTP:

    • Идентификация приложения включает: tcp, tls, http, slack

    • Инспекция TLS расшифровывает поток и идентифицирует, что host_name сервера Slack - это slack.com

    • Заголовок HTTP - соответствует протоколу HTTP

      Это распространённый пример, где HTTP_host соответствует SNI, и для идентификации приложения изменений нет

    • URL - префикс загрузки предоставляет больше детализации и может соответствовать действию загрузки в политике контроля приложений

    • Content-Type, Content-Disposition, Content-Length - предоставляет информацию о названии файла, размере и типе

    • Действия политики контроля приложений:

      • Принудительное применение политики, использующей только корпоративного арендатора Slack

      • Контроль файла на основе типа файла

        Антивирус и NG Антивирус сканируют файлы только в направлении загрузки.

  4. HTTP Body

    "HTTP Body payload" : "Сам файл"

    Например, политика DLP не позволяет использовать данные кредитных карт в сообщениях Slack.

    • Идентификация приложения для приложения Slack завершена. Идентифицируется как трафик, принадлежащий к социальной категории.

    • Когда содержимое файла готово, эти движки анализируют содержимое файла:

      • Движок DLP сканирует контент на основе политики контроля данных

      • Антивирус и NG Антивирус сканируют файлы в направлении загрузки

Политики и движки Cato

В этом разделе объясняется политика безопасности Cato и движки, которые анализируют и действуют на потоке трафика.

Правила файерволов и сетевые политики

Политики файерволов WAN, Интернета и сетевых правил часто могут оценивать поток трафика на первом пакете. Например, правила, основанные на данных из 5-тула. Однако для правил, соответствующих конкретным приложениям, таким как Azure или Slack, движку требуется дополнительная информация из потока трафика для его оценки. Это означает, что фаза, на которой движок оценивает поток, зависит от настроек конкретного правила.

Для получения дополнительной информации о типах правил файерволов см. Интернет и WAN Политики файерволов – Лучшие практики.

Пример первого пакета для простого сетевого правила и сложного правила файервола

Этот пример показывает, как PoP движки оценивают поток трафика по-другому: для простого сетевого правила, использующего IP-адреса и порты, и сложного правила файервола для приложений Azure. Сетевой движок может оценивать поток на основе первого пакета, но PoP ждёт дополнительной информации для движка файервола, чтобы завершить анализ.

Пример сетевого правила

Следующее сетевое правило применяется к трафику для источника как диапазон IP с диапазоном портов 8000 - 8010, и трафик отправляется через лондонский PoP.

Simple_network.png

Движок сетевого оборудования может оценивать решение о маршрутизации для потока трафика на основе 5-параметрового набора.

Пример правила межсетевого экрана WAN

Следующее правило межсетевого экрана WAN позволяет трафику, который имеет тот же Источник как диапазон IP-адресов для сетевого правила выше, и для пользователей, которые являются членами группы пользователей RnD. Кроме того, правило предназначено для приложений Azure для услуг HTTP(S), TLS, FTP и TFTP.

Azure_FW.png

Движок межсетевого экрана не может оценить трафик на первом пакете, так как необходимо подтвердить идентификацию пользователя, приложения Azure и услуги для потока. После того, как движок завершит оценку и поток соответствует всем критериям, движок позволит поток. PoP также применяет решение о маршрутизации на основе первого пакета.

Фильтрация URL-адресов и Категории Cato

Сервис фильтрации URL-адресов работает, анализируя URL-адрес веб-сайта и сравнивая его с базой данных известных или подозреваемых вредоносных или неподобающих веб-сайтов. Этот сервис также может анализировать содержание веб-сайта для определения его категорий, таких как содержание для взрослых, азартные игры, социальные сети или потоковые медиа.

Дополнительную информацию о категориях см. в разделе Работа с категориями.

Инспекция TLS

Движок Инспекции TLS участвует во время фазы tls_handshake потока пакетов. Решение, проверять или не проверять поток, является необратимым и происходит в два этапа:

  1. Этап 1 - Первая нагрузка пакета client_hello даёт первоначальную индикацию о том, будет ли движок Инспекции TLS проверять этот поток трафика

  2. Этап 2 - client_hello полностью разбирается, и применяется действие политики инспекции TLS (проверка или обход потока)

Для HTTPS потоков возможно принятие решения о блокировке пакета на основе этапа 1. Однако движок продолжает общаться и устанавливать TLS соединение, чтобы представить правильную страницу блокировки межсетевого экрана или IPS для конечного пользователя.

IPS

Движок IPS продолжает работать в течение всего времени жизни потока трафика. Он проверяет специфические элементы, которые доступны на разных этапах, и действует на контент, который положительно соответствует защите IPS. Вы можете рассматривать IPS как увеличительное стекло, постоянно ожидающее обновлений от трафика и непрерывно предоставляющее информацию движку, замеченную на потоке.

Следующий пример показывает различную информацию, доступную на разных этапах потока:

  • Протокол для потока - HTTP

  • На основе нагрузки есть TLS

  • There is a client_hello that uses TLS 1.3 cipher suite TLS_AES_256_GCM_SHA384

Разные защиты IPS могут соответствовать любому из приведенных выше элементов и затем принимать меры по потоку трафика на этой фазе.

Защита DNS

Защита DNS является частью движка IPS и запускается на потоке DNS для запроса и ответа (без какой-либо связи с транспортом, например TCP или UDP).

Во время DNS-запроса доменное имя анализируется и оценивается на предмет репутации домена и статических каналов. Затем во время DNS-ответа анализируется решенный IP-адрес и контент на наличие потенциально вредоносного содержания. Политика защиты DNS применяется ко всем соответствующим контентам (блокирует или разрешает поток трафика).

Контроль приложений

Движок контроля приложений проверяет трафик и применяет действия для политики контрола приложений, и он оценивается на каждой новой HTTP-транзакции (запрос и ответ).

Для приложений gen2 требуется TLS и HTTP прокси для завершения идентификации приложения.

Для правил, включающих требования безопасности и соответствия:

  • На основе контекстных данных от других сетевых и защитных движков движок контроля приложений может оценивать эти требования во время фазы tls_inspection

  • Также возможно, что движок может получить эту информацию от SNI, и не требуется TLS или полного идентификации приложений (DPI уровня 7) для оценки приложения

Предотвращение утечки данных

Движок предотвращения утечки данных проверяет содержимое потока трафика и является расширением движка контроля приложений. Когда политика указывает тип файла или размер файла, движок должен проверить метаданные приложения и нагрузку для этих характеристик файла:

  1. Движок оценивает тип файла и проверяет, соответствует ли он поддерживаемому списку файлов для инспекция содержимого.

  2. Затем идентификация приложения gen3 завершается, чтобы идентифицировать специфические сигнатуры содержимого для полей, которые хранят содержимое и данные, подлежащие инспекция.

  3. Контент инспектируется и проверяется, соответствует ли он определенному профилю содержимого.

Антивирус и NG Антивирус

Движки антивируса и NG антивируса SentinelOne сканируют вложения файлов в входящем трафике (скачивание файлов) на наличие известных и неизвестных вредоносных программ. Тип файла определяется на основе HTTP-ответа или запроса для FTP-трафика.

Сканируются только приложения и услуги HTTP, HTTPS и FTP.

  1. Движок проверяет, соответствует ли приложение правилу в политике антивирусной защиты.

  2. Файл сопоставляется с этими списками файлов:

    1. Список разрешений, настроенный в приложении управления Cato — эти файлы разрешено загружать.

    2. Список блокировок, управляемый командой безопасности Cato — эти файлы блокируются.

  3. Файлы сканируются антивирусом и NG антивирусом, и возвращается вердикт: вредоносный, подозрительный или безвредный.

  4. Для файла применяется соответствующее действие из политики антивирусной защиты.

Часто задаваемые вопросы по политикам и движкам Cato

Применяется ли фильтрация URL к трафику WAN?

Нет, фильтрация URL предназначена только для интернет-трафика и не применяется к потокам учетных записей через WAN.

В чем разница между настройками географического ограничения для политики брандмауэра и IPS?

Настройка Устройство в WAN и интернет-брандмауэра позволяет определить страну источника для детализированных правил. Однако, контроля над страной назначения не предусмотрено.

Вкладка Географическое ограничение в политике IPS определяет ограниченный трафик, будь то источник или пункт назначения. Однако, IPS — это глобальная политика для всего аккаунта, и вы не можете применять настройки географического ограничения для конкретных сайтов или объектов.

Детали потока образца TCP

  1. Хронология - первый пакет

    1. Доступные поля - 5-кортеж, имя хоста (dname)

    2. Движок Cato - брандмауэр, сеть, IPS/SAM

    3. Данные потока трафика - идентификация приложений, класс клиентов, ОС

  2. Хронология - tls_обмен

    1. Доступные поля - шифр_набор, имя хоста (SNI)

    2. Движок Cato - IPS/SAM, Контроль приложений gen2, TLSi, брандмауэр, сеть

    3. Данные потока трафика - идентификация приложений, класс клиентов, файервол URL

  3. Хронология - HTTP-заголовки

    1. Доступные поля - заголовки, URL, имя хоста (заголовок хоста)

    2. Движок Cato - Контроль приложений gen3, IPS/SAM

    3. Данные потока трафика - тип файла (загрузка), ОС

  4. Хронология - HTTP_тело

    1. Доступные поля - HTTP_запрос, HTTP_тело

    2. Движок Cato - Контроль приложений gen3, DLP, IPS/SAM

    3. Данные потока трафика - тип файла (загрузка), идентификация приложений

  5. Хронология - HTTP_ответ

    1. Доступные поля - HTTP_заголовки_ответа, HTTP_тело_ответа

    2. Движок Cato - AM/NGAM, Контроль приложений gen3, DLP, IPS/SAM

    3. Данные потока трафика - тип файла (скачивание), идентификация приложений

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 11 из 12

0 комментариев