理解Cato SPACE架构中的数据包流

本文解释了基于Cato的单次传输云引擎架构(SPACE)的PoP中安全引擎的数据包流。

概述

Cato的SPACE架构使用单一服务检查和处理流量流。 该服务包括多个同时分析和处理流量流的网络和安全引擎。 该架构避免了通过服务链将多个点解决方案结合在一起的限制。 单次传输流量流最小化延迟并改善整体网络性能。 每个PoP都可以使用Cato的所有SPACE服务和引擎执行这些网络和安全决策。

安全和网络引擎可以完全访问流量流中的数据,并通过共享上下文同时评估和共享数据。 引擎并行运行,没有优先权让某个引擎优先评估流量。 引擎位于每个PoP中,可以不必等待来自其他物理位置的引擎的信息就共享数据。

例如,防火墙规则阻止macOS设备,但是防火墙引擎无法从第一个数据包获得此数据,因此等待更多数据。 当不同的引擎将设备识别为macOS时,防火墙根据规则操作阻止流量。

SPACE网络和安全服务概览

本节列出了PoP中应用于数据包流不同阶段的网络和安全服务与引擎。

  • Cato 策略和引擎

    • 防火墙 - 互联网和WAN防火墙的防火墙策略

    • 网络 - 路由和QoS优先级的网络规则策略

    • IPS/SAM - 入侵防护系统(IPS)保护和可疑活动监控(SAM)

    • 应用控制 - 应用身份识别用于应用控制策略

      • 应用控制 gen2 - 基于访问的应用规则:允许或阻止

      • 应用控制 gen3 - 基于细化操作的应用规则:上传、下载等

    • TLSi - 针对HTTPS和加密流量的TLS检查

    • DLP - 数据泄露防护(DLP)策略的内容检查

    • AM/NGAM - 反恶意软件和下一代反恶意软件扫描附加的文件以发现恶意软件

  • 流量流数据和协议

    • 应用身份识别 - 使用各种条件识别特定应用以用于安全或网络策略

    • 操作系统 (OS) - 设备的操作系统,例如用于设备姿态或客户端连接策略

    • 客户端类型 - 生成此网络流的操作系统上运行的客户端应用程序类型(例如,Chrome)

    • URLF - 基于网站URL的Cato类别网址过滤

    • 文件类型 - 对于CASB和DLP,在上传或下载方向上的文件附件

通过SPACE的TCP数据包流

这是一个典型超文本传输协议(HTTP)流的示例,包含以下项目:

  • 时间线 - 流量流的不同阶段

  • 可用字段 - 用于特定时间线阶段的数据

  • Cato引擎 - 能够分析流量流并采取适当操作(阻止或允许)的 SPACE 引擎

  • 流量流数据 - 用于评估流量流的每个阶段的数据

SPACE_Flow.png

您可以在下面看到详细信息列表,样本文TCP流的详细信息

样本流量流的应用识别

这是一个包含Slack应用程序的规则流量流示例,显示每个阶段可用的信息。

  1. 第一数据包 - TCP

    源 - 10.10.2.107
源端口 - 55477
目标IP - 3.68.124.168
目标端口 - 443
协议 - TCP
DNS 响应 - 3.68.124.168 - slack.com (可选响应)

    这是基于此样本第一个数据包可用的流量流信息:

    • 五元组 - 无法识别流量与Slack应用程序相连

    • DNS响应 - 基于先前流量,引擎已经知道该目的IP的域名为slack.com

    • ASN - 基于目标IP,安全性引擎可以识别ASN

    • 应用识别包括:TCP

    引擎等待来自TLS握手的额外信息,以完整识别Slack应用程序。

  2. TLS握手

    "TLS 头"
"sni_host": "slack.com"
"预定义检测绕过原因": "无"
"ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"

    这是基于此样本TLS握手可用的流量流信息:

    • TLS头和服务器端口443 - 匹配TLS协议

    • SNI为slack.com - 匹配Cato的Slack应用识别

      SNI同样发送到URLF,匹配类别商业信息、计算机和技术、社交

    • 客户端类型为JA3 - 基于TLS指纹将客户端分类为浏览器

    • TLS检查或绕过操作 - 基于客户端类型和应用识别

    • 应用识别包括:TCP,TLS,Slack

  3. 超文本传输协议 (HTTP)

    "网址" : "upload.slack.com:
"主机名称" : "slack.com"
"内容类型" : "application/pdf"
"内容处理" : form-data; name="file"; filename="sample-data.pdf"
"内容长度" : "52765"

    在此样本流中,以下信息基于HTTP数据可用:

    • 应用识别包括:TCP,TLS,HTTP,Slack

    • TLS检查解密流量并识别出Slack服务器主机名为slack.com

    • HTTP头 - 匹配HTTP协议

      这是HTTP_host与SNI匹配的常见示例,不会更改应用识别

    • 网址 - 上传前缀提供了更多的细化性,可以在应用控制策略中匹配上传动作

    • 内容类型、内容处理、内容长度 - 提供有关文件名、大小和类型的信息

    • 应用控制策略操作:

      • 执行仅使用企业Slack租户的策略

      • 基于文件类型的文件控制

        反恶意软件和下一代反恶意软件仅扫描下载方向上的文件。

  4. HTTP正文

    "HTTP正文有效负载" : "文件本身"

    例如,DLP策略执行不能在Slack消息中使用信用卡数据。

    • 已完成对Slack应用程序的应用识别。 它被识别为属于 社交 类别的流量。

    • 当文件内容准备好时,这些引擎分析文件内容:

      • DLP引擎基于数据控制策略扫描内容

      • 反恶意软件和下一代反恶意软件扫描下载方向的文件

Cato 策略和引擎

本节解释了Cato安全策略和分析与操作流量流的引擎。

防火墙和网络策略

WAN防火墙、互联网防火墙和网络规则策略通常能够在第一个数据包上评估流量流。 例如,基于五元组数据的规则。 但是,对于匹配特定应用的规则,例如Azure或Slack,需要流量流的额外数据才能让引擎评估流量。 这意味着引擎评估流量的阶段取决于特定规则的设置。

有关防火墙规则的更多信息,请参见互联网与WAN防火墙策略 – 最佳实践

简单网络规则和复杂防火墙规则的第一数据包示例

此示例展示了PoP引擎如何对使用IP地址和端口的简单网络规则以及Azure应用程序的复杂防火墙规则的流量流进行不同评估。 网络引擎能够基于第一个数据包评估流量流,但PoP等待防火墙引擎的额外数据以最终完成分析。

样本网络规则

以下网络规则用于流量的 来源 为IP范围,端口范围为8000 - 8010,流量通过伦敦PoP位置出口。

Simple_network.png

网络引擎能够基于五元组评估流量流的路由决策。

样本WAN防火墙规则

以下WAN防火墙规则允许与上述网络规则相同 来源 IP范围的流量,并适用于研发用户组的用户成员。 此外,该规则适用于用于HTTP(S)、TLS、FTP和TFTP服务的Azure应用程序。

Azure_FW.png

防火墙引擎无法在第一个数据包上评估流量,因为需要确认用户身份、Azure应用程序和流量流的服务。 引擎完成评估且流量符合所有标准后,引擎允许流量。 PoP也根据第一个数据包应用路由决策。

网址过滤和Cato类别

网址过滤服务通过分析网站的URL并将其与已知或可疑恶意或不当网站的数据库进行比较来工作。 该服务还可能分析网站本身的内容以确定其类别,如成人内容、赌博、社交网络或流媒体。

有关类别的更多信息,请参见类别的工作方法

TLS检查

TLS检查引擎涉及到数据包流的TLS握手阶段。 是否对流量进行检查的决定是不可逆的,且分两个阶段进行:

  1. 阶段 1 - client_hello 数据包的第一个有效负载给出了TLS检查引擎是否检查此流量流的初步指示

  2. 阶段 2 - client_hello 完全解析,并应用TLS检查策略操作(检查或绕过流量)

对于HTTPS流量,可能会在阶段1基于初步判断阻止数据包。 但是,引擎继续进行通信并建立TLS连接,以便向终端用户呈现正确的防火墙或IPS阻止页面。

入侵防御系统(IPS)

IPS引擎在流量流的整个生命周期内继续运行。 它检查在不同阶段可用的特定项目,并对内容与IPS保护正匹配时采取行动。 您可以将IPS看作是一个放大镜,不断等待来自流量的更新,并持续向引擎提供流中的信息。

以下示例显示了流中的不同阶段可用的不同信息:

  • 流的协议是超文本传输协议

  • 基于有效负载,有TLS

  • 使用TLS 1.3密码套件TLS_AES_256_GCM_SHA384的client_hello

不同的IPS保护可以匹配上述任意项目,然后在该阶段对流量采取行动。

DNS保护

DNS保护是IPS引擎的一部分,运行在DNS请求和响应流上(无需与传输连接,例如TCP或UDP)。

在DNS请求期间,分析和评估域名的声誉和静态信息。 然后在DNS响应期间,分析解析的IP和内容是否有潜在恶意内容。 DNS保护策略应用于任何匹配的内容(阻止或允许流量)。

应用控制

应用控制引擎检查流量并应用应用控制策略的操作,并在每个新的超文本传输协议事务(请求和响应)上进行评估。

对于第二代应用,TLS和HTTP代理是完成应用程序识别所需的。

对于包括安全和合规性需求的规则:

  • 基于来自其他网络和安全引擎的上下文数据,应用控制引擎可以在tls检查阶段评估这些需求

  • 引擎也可能从SNI获得信息,无需TLS或完整的应用程序识别(第七层DPI)来评估应用程序

数据泄露防护

数据泄露防护引擎检查流量的内容,是应用控制引擎的扩展。 当策略指定文件类型或文件大小时,引擎需要检查应用程序元数据和有效负载以获取这些文件特性:

  1. 引擎评估文件类型,并检查是否与内容检查支持的文件列表匹配。

  2. 然后完成第三代应用程序识别,以识别存储已检查内容和数据的字段中特定内容签名。

  3. 检查内容并核对是否符合已定义的内容配置文件。

反恶意软件和下一代反恶意软件

反恶意软件和SentinelOne下一代反恶意软件引擎扫描入站流量(下载文件)中的文件附件,以检测已知和未知恶意软件。 文件类型基于超文本传输协议响应或文件传输协议流量请求。

仅扫描超文本传输协议、超文本传输协议安全和文件传输协议应用程序和服务。

  1. 引擎检查应用程序是否与反恶意软件策略中的规则匹配。

  2. 文件与这些文件列表匹配:

    1. Cato管理应用程序中配置的允许列表 - 这些文件允许下载。

    2. 由Cato安全团队管理的阻止列表 - 这些文件被阻止。

  3. 文件由反恶意软件和下一代反恶意软件引擎扫描,判定返回结果:恶意、可疑或无害。

  4. 对文件应用适当的反恶意软件策略操作。

Cato策略和引擎的常见问题

URL 过滤是否适用于WAN流量?

否,URL 过滤仅适用于互联网流量,并不适用于WAN上的账户流量。

防火墙与IPS策略的地理限制设置有何区别?

设备设置在WAN和互联网防火墙中允许您为细化规则定义源国家。 然而,对目的地国家没有控制。

地理限制标签在IPS策略中定义受限流量,无论是源还是目的。 然而,IPS 是整个账号的全局策略,您无法为特定站点或对象应用地理限制设置。

样本 TCP 流的详细信息

  1. 时间线 - 第一个数据包

    1. 可用字段 - 5元组,主机名(dname)

    2. Cato 引擎 - 防火墙,网络,IPS/安全访问管理器 (SAM)

    3. 流量数据 - 应用识别,客户端,操作系统

  2. 时间线 - 超文本传输协议安全握手

    1. 可用字段 - 密码套件,主机名(SNI)

    2. Cato 引擎 - IPS/SAM,应用控制gen2,TLS 检查,防火墙,网络

    3. 流量数据 - 应用识别,客户端类型,URL 过滤

  3. 时间线 - HTTP 标头

    1. 可用字段 - 标头,网址,主机名(主机标头)

    2. Cato 引擎 - 应用控制gen3,IPS/SAM

    3. 流量数据 - 文件类型(上传),操作系统

  4. 时间线 - HTTP 主体

    1. 可用字段 - HTTP请求,HTTP主体

    2. Cato 引擎 - 应用控制gen3,数据泄露防护,IPS/SAM

    3. 流量数据 - 文件类型(上传),应用识别

  5. 时间线 - HTTP 响应

    1. 可用字段 - HTTP响应标头,HTTP响应主体

    2. Cato 引擎 - 反恶意软件/下一代反恶意软件,应用控制gen3,数据泄露防护,IPS/SAM

    3. 流量数据 - 文件类型(下载),应用识别

这篇文章有帮助吗?

12 人中有 11 人觉得有帮助

0 条评论