了解 Cato SPACE 架构中的数据包流动

本文解释了基于 Cato 单次通过云引擎架构 (SPACE) 的 PoP 中安全引擎的数据包流动。

概述

Cato 的 SPACE 架构通过单一服务审查和处理流量。 此服务包括多个网络和安全引擎,它们能够同时分析和处理流量。 该架构避免了通过服务链组合多点解决方案的局限性。 流量的单次通过将延迟减至最小并改善整个网络性能。 每个 PoP 可以使用 Cato 所有的 SPACE 服务和引擎来做出这些网络和安全决策。

安全和网络引擎可以全面访问流量的数据,并在共享的上下文下同时评估和共享数据。 引擎并行运行,没有一个引擎在评估流量时享有优先权。 引擎位于每个 PoP 中,可以共享数据而无需等待位于不同物理位置的引擎的信息。

例如,一个防火墙规则阻止 macOS 设备,但防火墙引擎无法从第一个数据包中获取此数据,并等待更多数据。 当另一个引擎将设备识别为 macOS 时,则根据规则行动,防火墙阻止流量。

SPACE 网络和安全服务的摘要

此部分列出了在 PoP 中应用于数据包流动不同阶段的网络和安全服务及引擎。

  • Cato 政策及引擎

    • 防火墙 - 互联网和广域网防火墙的防火墙策略

    • 网络 - 路由和 QoS 优先级的网络规则策略

    • IPS/SAM - 入侵防御系统(IPS)保护和可疑活动监控 (SAM)

    • 应用控制 - 应用程序控制策略的应用程序识别

      • 应用控制 gen2 - 基于访问的应用程序规则:允许或阻止

      • 应用控制 gen3 - 基于细粒度操作的应用程序规则:上传、下载等

    • TLSi - 用于 HTTPS 和加密流量的 TLS 检查

    • DLP - 数据丢失保护 (DLP) 策略的内容检查

    • AM/NGAM - 反恶意软件和下一代反恶意软件扫描附加的文件以发现恶意软件

  • 流量数据和协议

    • 应用程序识别 - 使用各种标准识别特定应用程序以制定安全或网络策略

    • 操作系统 (OS) - 设备的操作系统,例如,使用设备状况或客户端连接性策略

    • 客户端类型 - 在创建此网络流量的操作系统上运行的客户端应用程序类型 (例如,Chrome)

    • URLF - 基于 Cato 类别的 URL 过滤器

    • 文件类型 - 对于 CASB 和 DLP,在上传或下载方向的文件附件

TCP 数据包流动与 SPACE

这是典型 HTTP 流动的示例,包含以下项目:

  • 时间线 - 不同阶段的流量

  • 可用字段 - 特定时间线阶段的可用数据

  • Cato 引擎 - SPACE 引擎能够分析流量,然后采取适当行动 (阻止或允许)

  • 流量数据 - 每个阶段,用于评估流量的数据

SPACE_Flow.png

您可以查看下面的详细信息列表,样本 TCP 流动的详情

从流量中识别应用程序的示例

这是包含 Slack 应用程序的规则流量示例,显示了每个阶段中可用的信息。

  1. 首个数据包 - TCP

    来源 - 10.10.2.107
源端口 - 55477
目标 IP - 3.68.124.168
目标端口 - 443
协议 - TCP
DNS 响应 - 3.68.124.168 - slack.com (可选响应)

    以下是此示例中的首个数据包可用的流量信息:

    • 5 元组 - 无法识别流量与 Slack 应用程序的连接

    • DNS 响应 - 根据之前的流量,引擎已经知道此目标 IP 的域名为 slack.com

    • ASN - 基于目标 IP,安全引擎能够识别 ASN

    • 应用程序识别包括:tcp

    引擎等待来自 TLS 握手的附加信息,然后才能完成 Slack 应用的识别。

  2. tls_handshake

    "TLS 头部"
"sni_host": "slack.com"
"预定义检查绕理原因": "无"
"ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"

    以下是此示例中的 tls_handshake 可用的流量信息:

    • TLS 头部和服务器端口 443 - 匹配 TLS 协议

    • SNI 是 slack.com - 匹配 Cato Slack 应用程序识别

      SNI 也发送到 URLF,匹配类别:商业信息、计算机与技术、社交

    • 客户端类型是 JA3 - 基于 TLS 指纹将客户端分类为浏览器

    • TLS 检查或绕理行动 - 基于客户端类型和应用程序识别

    • 应用程序识别包括:tcp, tls, slack

  3. HTTP

    "url" : "upload.slack.com:
"host_name" : "slack.com"
"Content-Type" : "application/pdf"
"Content-Disposition" : form-data; name="file"; filename="sample-data.pdf"
"Content-Length" : "52765"

    在此示例流动中,以下信息基于 HTTP 数据可用:

    • 应用程序识别包括:tcp, tls, http, slack

    • TLS 检查解密流量并识别 Slack 服务器主机名为 slack.com

    • HTTP 头部 - 匹配 HTTP 协议

      这是一个常见的示例,其中 HTTP_host 匹配 SNI,应用程序识别没有变化

    • URL - 上传前缀提供更丰富的粒度,并且可以与应用程序控制策略中的上传动作匹配

    • 内容类型,内容处置,内容长度 - 提供有关文件名称、大小和类型的信息

    • 应用控制策略操作:

      • 强制使用仅限企业的Slack租户

      • 基于文件类型的文件控制

        反恶意软件和NG反恶意软件仅扫描下载方向的文件。

  4. HTTP主体

    "HTTP主体负载" : "文件本身"

    例如,DLP策略强制要求在Slack消息中禁止使用信用卡数据。

    • 完成对Slack应用程序的应用识别。 被识别为属于社交类别的流量。

    • 当文件内容准备就绪时,这些引擎分析文件内容:

      • DLP引擎基于数据控制策略扫描内容

      • 反恶意软件和NG反恶意软件在下载方向扫描文件

Cato策略和引擎

本节解释了Cato安全策略和分析流量流动的引擎。

防火墙和网络策略

WAN防火墙、互联网防火墙和网络规则策略通常可以在第一个数据包上评估流量。 例如,基于5元组数据的规则。 然而,对于匹配特定应用程序如Azure或Slack的规则,引擎需要从流量流中获取额外数据来评估流量。 这意味着引擎评估流量的阶段取决于特定规则的设置。

有关防火墙规则的更多信息,请参见互联网与WAN防火墙策略 – 最佳实践

简单网络规则和复杂防火墙规则的首包示例

该示例显示了PoP引擎如何在使用IP地址和端口的简单网络规则和针对Azure应用程序的复杂防火墙规则中,不同地评估流量流。 网络引擎能够基于第一个数据包评估流量流,但PoP等待额外的数据以便防火墙引擎完成其分析。

示例网络规则

以下网络规则适用于将来源设为IP范围,端口范围为8000 - 8010的流量,并通过伦敦PoP位置的外发流量。

Simple_network.png

网络引擎可以基于5元组评估流量流的路由决策。

示例WAN防火墙规则

以下WAN防火墙规则允许与上述网络规则相同IP范围的流量,并适用于RnD用户组的成员。 此外,该规则适用于Azure应用程序用于HTTP(S)、TLS、FTP和TFTP服务。

Azure_FW.png

防火墙引擎无法在第一个数据包上评估流量,因为需要确认用户身份、Azure应用程序和服务以对流进行评估。 在引擎完成评估并且流符合所有标准后,引擎允许流通过。 PoP还根据第一个数据包应用路由决策。

URL过滤和Cato类别

URL过滤服务通过分析网站的URL并将其与已知或疑似恶意或不当网站的数据库进行比较来工作。 该服务还可以分析网站内容本身,以确定其类别,如成人内容、赌博、社交网络或流媒体。

有关类别的更多信息,请参见类别的工作方法

TLS检查

TLS检查引擎参与数据包流的tls_handshake阶段。 是否检查流的决定是不可逆的,并分两个阶段进行:

  1. 阶段1 - client_hello数据包的首个负载提供了TLS检查引擎是否会检查该流量流的初步指示

  2. 阶段2 - client_hello已完全解析,并应用TLS检查策略操作(检查或绕过流)。

对于HTTPS流,可能会在阶段1基于决策阻止数据包。 然而,引擎继续通信并建立TLS连接,以向终端用户显示正确的防火墙或IPS阻止页面。

IPS

IPS引擎在流量流的生命周期中继续运行。 它检查在不同阶段可用的特定项目,并对正匹配IPS保护的内容采取行动。 您可以将IPS看作是放大镜,不断等待来自流量的更新,并连续向引擎提供在流上看到的信息。

以下示例显示了在流的不同阶段可用的不同信息:

  • 该流的协议为HTTP

  • 基于负载,有TLS

  • 有一个使用TLS 1.3密码套件TLS_AES_256_GCM_SHA384的client_hello。

不同的IPS保护可以匹配上述任何项目,然后在该阶段对流量流采取行动。

DNS保护

DNS保护是IPS引擎的一部分,并在DNS流上的请求和响应阶段运行(不连接到传输,例如TCP或UDP)。

在DNS请求期间,分析域名并评估其域声誉和静态馈送。 然后,在DNS响应期间,解析的IP和内容被分析以检测潜在的恶意内容。 DNS保护策略适用于任何匹配的内容(阻止或允许流量流)。

应用控制

应用控制引擎检查流量并应用应用程序控制策略的操作,并在每个新的HTTP事务(请求和响应)上进行评估。

对于gen2应用,TLS和HTTP代理是完成应用识别所必需的。

对于包含安全和合规要求的规则:

  • 基于来自其他网络和安全引擎的上下文数据,应用控制引擎可以在tls_inspection阶段评估这些要求

  • 也有可能引擎可以从SNI获取这些信息,而不需要TLS或完整的应用识别(层7 DPI)来评估应用程序

数据丢失防护

数据丢失防护引擎检查流量内容,是应用控制引擎的扩展。 当策略指定文件类型或文件大小时,引擎需要检查应用程序元数据和有效负载的这些文件特征:

  1. 引擎评估文件类型并检查其是否符合支持的内容检查文件列表。

  2. 然后应用识别完成,以识别存储被检查内容和数据的字段的特定内容签名。

  3. 内容会被检查并验证是否与定义的内容配置文件匹配。

反恶意软件和次世代反恶意软件

反恶意软件和SentinelOne NG反恶意软件引擎扫描入站流量(下载文件)的附件中的已知和未知恶意软件。 文件类型基于HTTP响应或FTP流量请求。

仅扫描HTTP、HTTPS和FTP的应用程序及服务。

  1. 引擎检查应用程序是否符合反恶意软件策略中的规则。

  2. 文件会与以下文件列表进行匹配:

    1. 允许列表在Cato管理应用程序中配置——这些文件允许下载。

    2. 由Cato安全团队管理的阻止列表——这些文件被阻止。

  3. 文件由反恶意软件和次世代反恶意软件引擎扫描,返回判断结果:恶意、可疑或无害。

  4. 对文件应用反恶意软件策略的适当操作。

Cato政策和引擎常见问题解答

URL过滤适用于WAN流量吗?

否,URL过滤仅适用于互联网流量,不适用于WAN上的帐户流量。

防火墙与IPS策略地理限制设置有何不同?

设备设置在WAN和互联网防火墙中允许您为细化规则定义源国家。 然而,对目的国家没有控制。

地理限制标签在IPS策略中定义受限流量,无论是源还是目的。 然而,IPS是针对整个帐户的全球策略,您不能对特定站点或对象应用地理限制设置。

示例TCP流的详细信息

  1. 时间轴 - 第一个包

    1. 可用字段 - 5元组,主机名(dname)

    2. Cato引擎 - 防火墙,网络,IPS/SAM

    3. 流量数据 - 应用识别,客户端分类,操作系统

  2. 时间线 - tls握手

    1. 可用字段 - 密码套件,主机名(SNI)

    2. Cato引擎 - IPS/SAM,应用控制,TLSi,防火墙,网络

    3. 流量数据 - 应用识别,客户端分类,URLF

  3. 时间线 - HTTP头

    1. 可用字段 - 头部,URL,主机名(主机头)

    2. Cato引擎 - 应用控制,IPS/SAM

    3. 流量数据 - 文件类型(上传),操作系统

  4. 时间线 - HTTP主体

    1. 可用字段 - HTTP请求,HTTP主体

    2. Cato引擎 - 应用控制,数据丢失防护,IPS/SAM

    3. 流量数据 - 文件类型(上传),应用识别

  5. 时间线 - HTTP响应

    1. 可用字段 - HTTP响应头,HTTP响应主体

    2. Cato引擎 - 反恶意软件/NG反恶意软件,应用控制,数据丢失防护,IPS/SAM

    3. 流量数据 - 文件类型(下载),应用识别

这篇文章有帮助吗?

12 人中有 11 人觉得有帮助

0 条评论