Cloud access security broker——CASB
譯自英文-雲訪問安全性券商內部部署或雲服務的用戶和雲應用,並監控所有活動,並執行安全策略間位於基於雲的軟件。CASB可以提供各種服務,例如監視用戶活動,向管理員警告潛在的危險行為,強制執行安全策略合規性以及自動防止惡意軟件。
SASE又是什么
好的,現在對SD-WAN有了一個基本的了解(如果想深入研究的可以去思科、VMware、Cato官方網站查看)。接下來,我們來說說SASE(Secure Access Service Edge),安全訪問服務邊緣。
最初接觸SASE(發音同sassy)是Gartner的《The Future of Network Security Is in the Cloud》這篇報告(有關報告內容,可自行閱讀),全篇都是在講SASE,而且推薦了號稱搭建了全球第一家SASE平台的廠商Cato Networks.下文有關SASE的理念和架構,也都是參考Cato。
在Gartner的《Top 10 strategic technology trends for 2020》報告中也提到了邊緣賦能(Trend No.6)這項技術趨勢(可參考本人翻譯的中文報告《Gartner:2020年十大戰略技術趨勢(下篇)》)。從報告中可以看出,SASE是其主推的一項創新技術,因為SASE集成了敏捷、自動化、CARTA(持續自適應風險與信任評估)、ZTNA(零信任網絡訪問)、Advance APT防護等技術。可以說,近幾年Gartner所提的新興技術大多都涵蓋到SASE架構中。下面我們初步認識一下它。
SASE是做什么的?
SASE用於從分布式雲服務交付聚合的企業網絡和安全服務。SASE克服了分散集成和地理位置約束解決方案的成本、復雜性和剛性。當SASE與全球私有骨干網相結合時,還可以解決WAN和雲連接方面的挑戰。
SD-WAN和SASE的區別?
SD-WAN是SASE平台的關鍵組件,它將分支位置和數據中心連接到SASE雲服務。SASE擴展了SD-WAN,以解決包括全球范圍內的安全性、雲計算和移動性在內的整個WAN的轉換過程。
SASE比SD-WAN更好么?
SD-WAN只是廣域網轉型的第一步。它缺乏關鍵的安全功能、全球連接能力以及對雲資源和移動用戶的支持。一個完整的SASE平台可以支持整個WAN轉換過程,因為它使IT能夠以敏捷和經濟有效的方式提供業務需求的網絡和安全功能。
SASE是否安全?
SASE是端到端安全。SASE平台上的所有通信都是加密的。包括解密、防火牆、URL過濾、反惡意軟件和IP在內的威脅預防功能都被集成到SASE中,並且對所有連接的邊緣都可用。
雖然是很耀眼的技術,但畢竟剛剛被提出來,發展和成熟需要時間,而且這種規模的架構也不是一般組織能夠承建的,報告中在概要中就說明了:為了實現低延遲地隨時隨地訪問用戶、設備和雲服務,企業需要具有全球 POP 點和對等連接的 SASE 產品。因此,追新是好事,但不能盲目。
Gartner對SASE的定義:SASE 是一種基於實體的身份、實時上下文、企業安全/合規策略,以及在整個會話中持續評估風險/信任的服務。實體的身份可與人員、人員組(分支辦公室)、設備、應用、服務、物聯網系統或邊緣計算場地相關聯。
SASE的核心是身份,即身份是訪問決策的中心,而不再是企業數據中心。這也與零信任架構和CARTA理念相一致,基於身份的訪問決策。
圖 3:SASE 身份為中心的架構
用戶、設備、服務的身份是策略中最重要的上下文因素之一。但是,還會有其他相關的上下文來源可以輸入到策略中,這些上下文來源包括:用戶使用的設備身份、日期、風險/信任評估、場地、正在訪問的應用或數據的靈敏度。企業數據中心仍存在,但不再是網絡架構的中心,只是用戶和設備需要訪問的眾多互聯網服務中的一個。
這些實體需要訪問越來越多的基於雲的服務,但是它們的連接方式和應用的網絡安全策略類型將根據監管需求、企業策略和特定業務領導者的風險偏好而有所不同。就像智能交換機一樣,身份通過 SASE 供應商在全球范圍內的安全訪問能力連接到所需的網絡功能。
SASE 按需提供所需的服務和策略執行,獨立於請求服務的實體的場所(圖4)和所訪問能力。
圖4:SASE技術棧 -- 基於身份和上下文的動態應用
SASE雲服務的主要特點
SASE詳細介紹了企業網絡和安全的體系結構轉換,這將使它能夠為數字業務提供全面、敏捷和可適應的服務。SASE雲服務有4個主要特點:身份驅動、雲原生、支持所有邊緣(WAN、雲、移動、邊緣計算)、全球分布。
身份驅動
不僅僅是 IP 地址,用戶和資源身份決定網絡互連體驗和訪問權限級別。服務質量、路由選擇、應用的風險安全控制——所有這些都由與每個網絡連接相關聯的身份所驅動。采用該方法,公司企業為用戶開發一套網絡和安全策略,無需考慮設備或地理位置,從而降低運營開銷。
雲原生
SASE 架構利用雲的幾個主要功能,包括彈性、自適應性、自恢復能力和自維護功能,提供一個可以分攤客戶開銷以提供最大效率的平台,可很方便地適應新興業務需求,而且隨處可用。
支持所有邊緣
SASE 為所有公司資源創建了一個網絡——數據中心、分公司、雲資源和移動用戶。舉個例子,軟件定義廣域網 (SD-WAN) 設備支持物理邊緣,而移動客戶端和無客戶端瀏覽器訪問連接四處游走的用戶。
全球分布
為確保所有網絡和安全功能隨處可用,並向全部邊緣交付盡可能好的體驗,SASE 雲必須全球分布。因此,必須擴展自身覆蓋面,向企業邊緣交付低延遲服務。
圖5:SASE全球PoP(Points of Presence)來源:Cato Networks官網
最終,SASE 架構的目標是要能夠更容易地實現安全的雲環境。SASE 提供了一種摒棄傳統方法的設計理念,拋棄了將 SD-WAN 設備、防火牆、IPS 設備和各種其他網絡及安全解決方案拼湊到一起的做法。SASE以一個安全的全球SD-WAN服務代替了難以管理的技術大雜燴。
SASE的理念就是借助SD-WAN搭建起來的虛擬化架構去集中化,將核心能力附加到邊緣,使數據處理和安全能力都在邊緣進行,以滿足當前和未來雲上和移動業務的動態需求。
SASE框架和能力
為雲原生構建統一管理的SD-WAN服務
提供一個全局的、安全管理的SD-WAN服務。能夠從遺留的MPLS(一組單點解決方案和昂貴的托管服務)轉移到簡單、敏捷和可負擔得起的網絡。自助服務還是托管服務取決於自己。
圖6:Cato雲平台 來源:Cato Netwoks官網
用雲原生網絡架構取代傳統的電信網絡。將全球私有主干網、Edge SD-WAN、安全即服務(SaaS)、安全優化的雲和移動訪問聚合到一個雲服務中。因此,雲解決了組織的全球網絡、安全、雲和移動需求,以支持完整的WAN轉換過程。
SASE能力
核心能力:即插即用可視化,優化與管控
SASE體系結構由兩個核心組件組成。SASE雲充當網絡和安全功能的聚合器。SASE邊緣連接器將流量從物理、雲和設備邊緣驅動到SASE雲處理。SASE使用一個單通道的流量處理引擎來有效地應用優化和安全檢查,並為所有流量提供豐富的前后關聯。將SASE模型與堆疊單點產品進行對比,在堆疊單點產品中,每個產品分析特定需求的流量,增加解密等操作的開銷,並且缺少在其他網絡和安全點產品中生成的前后聯系。SASE可選能力包括:
1.認證:在連接邊緣時,動態風險評估驅動多因素認證的激活。
2.訪問:對關鍵應用程序和服務的訪問由支持應用程序和用戶的下一代防火牆策略控制。此外,零信任網絡訪問模型可以確保用戶只能訪問授權的應用程序,而不能獲得一般的網絡訪問權限。
3.優先級:應用程序標識為流量分配優先級,以對損失敏感(loss-sensitive)的應用程序進行優化(如VOIP和虛擬桌面訪問(VID)),而不是其他流量(如常規的Internet瀏覽)。
4.解密:為啟用深度包檢查,可以對加密的通信流進行一次解密,從而允許多個威脅預防引擎處理這些通信流。
5.威脅預測:多個安全引擎解析流量以檢測有風險的訪問。這包括尋找惡意網站的安全Web網關、防止下載惡意文件的反惡意軟件、停止指示機器人活動的入站和出站異常連接的IPS等等。
6.數據防泄漏:SASE應用特定的數據防泄漏規則來檢測網絡流量中的敏感數據並阻止其泄漏。類似地,雲訪問服務代理(CASB)可以對雲應用程序實施粒度訪問控制。
這是SASE功能的一個子集,SASE體系結構的設計目的是用新引擎快速擴展“單通道流量處理引擎”。SASE這個獨特優勢是未來的網絡向SASE雲擴展,新的功能無縫擴展到任何人和任何地方。類似地,使SASE雲服務適應新的威脅或攻擊載體可以集中完成,並立即影響所有企業和所有邊緣,而不需要部署或激活這些新增功能(類似思科APIC自動化即插即用)。
SASE安全架構
SASE安全架構包括以下幾個組件:PoP實例、邊緣、安全即服務、威脅檢測與響應管理(MDR)。
PoP實例—流量處理引擎
PoP結構
核心雲網絡, 由地理上分布的PoPs(Points of Presence)組成,每個PoP運行多個處理服務器。每個PoP運行一個專門構建的軟件棧,在所有流量上應用路由、加密、優化和高級安全服務。PoP由運行相同軟件棧的多個功能強大的現有服務器(commodity off the shelf servers,COTS)組成。
PoP的可擴展性和靈活性
PoPs的設計是為了處理大量的流量。通過將服務器實例添加到相同的PoP(垂直擴展)或在新位置添加PoP(水平擴展),可以擴展處理能力。因為雲平台來維護基礎設施,所以客戶不必調整他們的網絡安全環境。所有許可的內容,即使被加密,也保證被所有受許可的安全服務的PoP處理。
如果PoP服務器實例失效,受影響邊緣自動重新連接到同一個PoP的可用服務器。如果一個PoP完全失效,受影響的邊緣將連接到最近的可用PoP。無論企業資源連接到哪個PoP, 雲始終維護一個一致的邏輯企業網絡,創建相應程度的可用性和彈性。
PoP內置抗DDoS
PoPs的設計用以處理大流量的同時。彈性能力使雲能夠適應客戶增長和抵御各種類型的泛洪攻擊。為了減少攻擊面,只有授權站點和移動用戶可以連接並發送流量到主干。PoP外部IP地址受特定的抗DDoS措施保護,如SYN cookie機制和速率控制機制。雲平台擁有一組IP,部分用於自動將目標站點和移動用戶重新分配到未受影響的地址。
PoP全連接加密
所有PoP都是通過完全加密的隧道互相連接。加密算法是AES-256,並使用受限制的對稱密鑰(每個PoP實例)。密鑰每60分鍾變化一次,以減少暴露。
深度包檢測
PoP軟件包括一個深度包檢測(Deep Packet Inspection, DPI)引擎,該引擎以網速處理大量流量,包括報頭或有效載荷。DPI引擎用於多種安全服務,包括NGFW反惡意軟件、IDS/IPS和網絡控制(SD-WAN)。
DPI引擎自動識別第一數據包中成千上萬的應用程序和數以百萬計的域名。這個健壯的庫由第三方網址分類引擎和機器學習算法不斷豐富,挖掘大量數據倉庫建立元數據的所有流量貫穿整個雲。客戶還可以通過雲平台工程師為他們配置自定義應用程序或策略。
TLS檢測
PoP可以在針對高級威脅保護服務(如反惡意軟件和IDPS)的TLS加密通信流上執行DPI。TLS檢查必不可少,因為現在所有互聯網流量大部分是加密的,惡意軟件使用加密來逃避檢測。啟用TLS檢查后,將對加密通信進行解密和檢查。所有操作都是在PoP中完成的,因此沒有性能限制。要解密,客戶必須在其網絡上安裝雲平台證書。客戶可以創建規則來選擇性地應用TLS檢驗流量的一個子集,如過濾數據包的應用程序中、服務領域、類別、不包括數據包從受信任的應用程序、出於合規性即使解密不是應用或配置、所有NGFW流量、URL過濾、和IPS規則涉及的元數據(如IP地址和URL)。
雲上邊緣
Socket和設備連接
客戶通過加密的通道連接到雲。隧道可以通過多種方式建立。socket是部署在物理位置的零接觸設備。為了獲得最佳的安全性和效率,socket通過DTLS隧道動態連接到最近的PoP。如果隧道由於PoP故障而斷開連接,socket會重新將隧道連接到最近的可用PoP。或者,客戶可以使用支持IPsec或GRE的設備(如UTMs或防火牆)連接到最近的PoP。
socket具備的保護措施:
1.阻斷外部通信流量,只允許經過身份驗證的流量
2.通過HTTPS或SSH連接內部接口的管理訪問
3.管理員首次登陸強制重置密碼
4.不存儲數據包中的數據
5.對所有通信加密
6.通過加密通信、加密身份驗證(數字簽名軟件包)安全分發更新
筆記本和移動設備客戶端
雲平台客戶端運行在移動設備上,包括個人電腦、平板電腦和智能手機,包括Windows、Mac、iOS和Android。客戶端使用設備VPN功能通過隧道連接到雲。其他的VPN客戶端也可以獲得支持。
可以通過與Active Directory集成,或通過管理應用程序中的用戶配置來啟動移動用戶的登陸面板。用戶受邀請通過電子郵件注冊到雲。用戶利用專用門戶通過幾個步驟為自己提供服務。用戶身份驗證可以通過幾種方式進行:
1.用戶名和密碼
2.多因素認證(MFA)
3.單點登錄(SSO)
安全即服務
安全即服務是一組企業級、敏捷的網絡安全功能,作為緊密集成的軟件堆棧的一部分直接構建到雲網絡中。目前的服務包括下一代防火牆(NGFW)、安全Web網關(SWG)、高級威脅預防、安全分析和管理威脅檢測和響應(MDR)服務。因為雲平台控制代碼,所以可以快速引入新的服務,而不會對客戶環境造成影響。客戶可以有選擇地啟用服務,配置它們來執行公司策略。
下一代防火牆
1)應用感知
NGFW提供完整的應用程序感知,無論端口、協議、規避技術或SSL加密。DPI引擎分類相關的上下文,如應用程序或服務,早在第一個包且沒有SSL檢查時。相關的信息是提取自網絡元數據。Cato研究實驗室不斷豐富應用程序庫,以擴大覆蓋面。
對於網絡和安全監控,整個Cato都可以使用DPI分類的上下文;對“影子IT”識別和其他趨勢的網絡可視化;或者用於像強制執行阻塞/允許/監視/提示規則這類的強制執行。
平台提供了一個簽名和解析器的完整列表,用於識別常見的應用程序。此外,自定義應用程序定義根據端口、IP地址或域標識特定於帳戶的應用程序,這兩類應用程序定義可供運行在雲中的安全規則使用。
2)用戶感知
平台使管理員能夠創建上下文安全策略,方法是基於單個用戶、組或角色定義和啟用對資源的訪問控制。此外,平台的內置分析可以被網站、用戶、組或應用程序查看,以分析用戶活動、安全事件和網絡使用情況。
Lan划分
VLANs
Routed Range(通過路由器連接到套接口)
Direct Range(直接到套接口的LAN段,不通過路由器)
根據定義,不同的段之間不允許流量通信,允許這樣的連接需要創建局部划分規則,由平台socket執行,或者創建WAN防火牆規則,由雲在完全檢查流量的情況下執行。
3)WAN流量保護
利用WAN防火牆,安全管理員可以允許或阻止組織實體(如站點、用戶、主機、子網等)之間的通信。默認情況下,平台的廣域網絡防火牆遵循一種白名單方法,有一個隱式的任意塊規則。管理員可以采用這種方法,也可以切換到黑名單方式。
4)Internet流量保護
通過使用Internet防火牆,安全管理員可以為各種應用程序、服務和網站設置允許或阻止網絡實體(如站點、個人用戶、子網等)之間的規則。默認情況下,平台的Internet防火牆遵循黑名單方法,有一個隱式的any-any permit規則。因此,要阻止訪問,必須定義顯式阻止一個或多個網絡實體到應用程序的連接規則。管理員可以在必要時切換到白名單方式。
安全Web網關
SWG允許客戶根據預定義和/或自定義的類別監視、控制和阻止對網站的訪問。雲在對特定可配置類別的每個訪問上創建安全事件的審計跟蹤。管理員可以根據URL類別配置訪問規則。
URL分類與過濾規則
即來即用,平台提供了一個預定義策略的幾十種不同的URL類別,包括安全類別、疑似垃圾郵件和惡意軟件。作為默認策略的一部分,每個類別設置一個可定制的默認行為。使管理員能夠創建自己的類別和使用自定義規則,提高網絡訪問控制的細粒度。
URL過濾操作
每一類URL過濾規則都可進行以下操作:
允許
阻斷
監控
提示
反惡意軟件
作為先進的威脅防護的一部分,平台提供了一系列優質服務。其中之一是反惡意軟件保護。客戶可以使用這項服務來檢查廣域網和互聯網流量中的惡意軟件。反惡意軟件的處理包括:
1)深度包檢測
對流量有效載荷的深度包檢查,用於普通和加密的流量(如果啟用)。文件對象從流量流中提取,檢查,並在適當的時候阻塞。
2)真實文件類型檢測
用於識別通過網絡傳輸的文件的真實類型,而不考慮它的文件擴展名或內容類型頭(在HTTP/S傳輸的情況下)。平台使用此功能來檢測所有潛在的高風險文件類型,預防了由攻擊者或錯誤配置導致的Web應用程序技術被繞過。IPS也使用這個引擎,它在流分析期間提供了更多的上下文,並且是檢測惡意網絡行為的關鍵因素。
3)惡意軟件檢測與預測
首先,基於簽名和啟發式的檢查引擎,根據全球最新威脅情報數據庫隨時保持更新,掃描傳輸中的文件,以確保對已知的惡意軟件的有效保護。
其次,與行業領導者SentinalOne合作,利用機器學習和人工智能來識別和阻止未知的惡意軟件。未知的惡意軟件包括0day,或更為常見的目的是逃避基於簽名檢查引擎的已知威脅的多態變種。有了簽名和基於機器學習的保護,客戶數據具備隱私保護,因為平台不與基於雲的存儲庫共享任何東西。
此外,客戶有能力配置反惡意軟件服務,或者監測或者阻止,為特定的文件在一段時間的設置例外,也可以實現。
IPS
入侵防御系統(IPS)檢查入站和出站、廣域網和互聯網流量,包括SSL流量。IPS可以在監視模式(IDS)下運行,而不執行阻塞操作。在IDS模式下,將評估所有流量並生成安全事件。IPS有多層保護組成。
1)IPS保護引擎組件
行為特征
IPS會尋找偏離正常或預期行為的系統或用戶。通過在多個網絡使用大數據分析和深度流量可視化來確定正常行為。例如,發出到一個包含可疑TLD的未知URL的HTTP連接。經過研究室分析后,這類流量可能是惡意流量。
名譽反饋(Reputaion Feeds)
利用內部和外部的情報反饋,IPS可以檢測或防止受威脅或惡意資源的入站或出站通信。Cato研究室分析許多不同的反饋,針對雲中的流量進行驗證,並在將它們應用於客戶生產流量之前對它們進行過濾以減少誤報。反饋每小時更新一次,不需要用戶擔心。
協議批准
驗證包與協議的一致性,減少使用異常流量的攻擊面。
已知漏洞
IPS可以防止已知的CVE,並可以快速適應,將新的漏洞合並到IPS的DPI引擎中。這種能力的一個例子是IPS能夠阻止利用永恆之藍漏洞在組織內廣泛傳播勒索軟件。
惡意軟件通訊
基於名譽反饋和網絡行為分析,可以阻止C&C服務器的出站流量。
定位
IPS執行客戶特定的地理保護政策,根據源和/或目的地國家選擇性地停止通信。
網絡行為分析
能檢測並防止南北向網絡掃描。
平台中IPS的一個獨有特點是,它是作為一種服務提供的,不需要客戶的參與。研究室負責更新、優化和維護內部開發的IPS簽名(基於對客戶流量的大數據收集和分析),以及來自外部的安全反饋。平台支持簽名流程,因此客戶不必平衡防護和性能,以避免在處理負載超過可用容量時進行意外升級。
安全事件API
平台持續收集網絡和安全事件數據,用於故障排除和事件分析。一年的數據被默認保存,管理員可以通過Cato管理應用程序訪問和查看這些數據。允許客戶導出事件日志文件(JSON或CEF格式),以便與SIEM系統集成或存儲在遠程位置。日志文件存儲在安全的位置,每個帳戶與其他帳戶相互獨立。
威脅檢測與響應管理
MDR使企業能夠將檢測受危害端點的資源集中度和技術依賴性過程交給平台SOC團隊。平台無縫地將完整的MDR服務應用於客戶網絡。自動收集和分析所有的網絡流量,驗證可疑活動,並向客戶通知被破壞的端點。這就是網絡和安全聚合的力量,簡化了各種規模企業的網絡保護。
圖7 增加檢測和預防手段的MDR服務 來源:Cato Networks Advanced Security Services
MDR服務能力
1)零痕跡網絡可視化
為每個Internet和WAN流量初始化收集完整的元數據,包括原始客戶端、時間軸和目的地址。所有這些都不需要部署網絡探測器。
2)自動化威脅狩獵
高級算法尋找流數據倉庫中的異常,並將它們與威脅情報來源相關聯。這個機器學習驅動的過程會產生少量可疑事件,以供進一步分析。
3)專家級威脅驗證
隨着時間的推移,Cato安全研究員檢查標記的端點和流量,並評估風險。SOC只對實際威脅發出警報。
4)威脅容器
通過配置客戶網絡策略來阻止C&C域名和IP地址,或斷開受威脅的計算機或用戶與網絡的連接,可以自動包含已驗證的實時威脅。
5)整改協助
SOC將建議風險的威脅級別、補救措施和威脅跟蹤,直到威脅消除為止。
6)報告與溯源
每個月,SOC將發布一份自定義報告,總結所有檢測到的威脅、它們的描述和風險級別,以及受影響的端點。
平台的安全即服務使各種規模的組織都可以在任意地方應用企業級通信流量。數據中心、分支機構、移動用戶和雲資源可以在統一的策略下以相同的防御設置進行保護。作為一種雲服務,無縫地優化和調整安全控制,以應對新出現的威脅,而不需要客戶的參與。與基於應用程序的安全性相關的傳統工作,例如容量規划、規模調整、升級和補丁,不再需要,從而將這種責任從安全團隊中剝離出來。
總結
總體看下來,感覺和之前本人所想的思路有些相似,就是未來的安全不是各家廠商爭天下,而是以合作為主,相互補足,最后形成一個集成大多數廠商安全能力的整體安全防護平台。我們所看到的SASE就是這樣一種理念,而Cato雲的架構和能力設計也正是這種理念的體現。
但是,由於當前對於SASE的描述過於強大,可以說是集大成之作,那么如何集成這些技術、接口,怎么來管理如此龐大的一個平台都會是非常棘手的問題。比如,什么樣的團隊能夠管理和運營SASE平台、新興技術描述的非常令人向往但實際可能會有出入、這么復雜的平台如何構建、VPN構建的網絡能否承載如此龐大的流量、各家廠商是否願意一起建設SASE、PoP節點的投入和維護資源、前期高昂的建設和研究費用等等。
SASE的出現,顛覆了目前的網絡和網絡安全體系架構,就像IaaS對數據中心設計架構的影響一樣。SASE為安全和風險管理人員提供了未來重新思考和設計網絡和網絡安全體系架構的機會。數字業務轉型、部署雲計算和越來越多地采用邊緣計算,將帶動對 SASE 的需求。(引自Gartner網絡安全的未來在雲端報告)