9 يوليو 2024
بقلم جيف إبلينج - مهندس الأمن السحابي Skyhigh Security
يعد وكيل عميل Skyhigh Client Proxy (SCP) أداة قيمة للغاية متاحة لجميع عملاء Skyhigh Secure Web Gateway (SWG). يتم استخدامه للمصادقة بشفافية وإعادة توجيه حركة مرور HTTP / S إلى بوابات الويب الآمنة في Skyhigh (SWG On Prem و / أو SWG Cloud). بالإضافة إلى تحديد المستخدم الذي قام باستدعاء العملية التي تقدم طلب الويب، يوفر SCP سياقًا إضافيًا يمكن استخدامه لاتخاذ قرارات أكثر ذكاءً لتصفية الوكيل وقرارات الاتصال! علاوة على ذلك، كما هو موضح لاحقًا في هذه المدونة التقنية، يمكن استخدام SCP ويمكن تحقيق فوائده بغض النظر عن مكان وجود Skyhigh SWG في سلسلة البروكسي.
للبدء، يرجى مراجعة دليل منتج SCP وخاصةً القسم الذي يصف السياق المتوفر في رؤوس SCP(بيانات تعريف SCP). تتضمن رؤوس SCP المقدمة ما يلي:
- هوية العميل
- اسم المستخدم (من تسجيل الدخول إلى النظام)
- المجموعات (من العميل whoami)
- عنوان IP الوجهة الأصلي
- اسم العملية (التي قدمت الطلب على العميل)
- مسار العملية EXE
- معلومات النظام
- هل تم تثبيت AV؟
|
- معرّف كراودسترايك
|
- تشغيل الصوت والصورة؟
|
- النتيجة الإجمالية لـ Crowdstrike
|
- هل تم تحديث AV؟
|
- نقاط نظام التشغيل كراودسترايك
|
- هل أنت بصحة جيدة؟
|
- تكوين مستشعر كراودسترايك
|
- اسم نظام تشغيل العميل وإصداره
|
- لغة المستخدم
|
- الوقت المحلي
|
- عنوان العميل MAC
|
- وقت المعالجة
|
- اسم النظام
|
- مُوقِّع سابق
|
- اسم سياسة SCP
|
- اسم المنتج Exe
|
- معرّف SCP
|
- تجزئة Exe MD5
|
- ملفات تعريف الأجهزة المتطابقة
|
يتم توفير المزيد من الملاحظات حول رؤوس SCP (رؤوس SWEB) لاحقًا في هذه المدونة.
من الواضح أن SCP يعمل بسلاسة مع Skyhigh SWG، ولكن ماذا لو كان يجب أن تعمل Skyhigh SWG (السحابة أو في الموقع) كوكيل رئيسي لوكيل طرف ثالث مستخدم بالفعل في البيئة، أو إذا كان يتم استخدام Skyhigh SWG فقط كخدمة تصفية متصلة بوكيل فك تشفير طرف ثالث؟ توضح هذه المقالة كيف يمكن تحقيق قيمة SCP الكاملة في أي بيئة تتضمن Skyhigh SWG.
حالة الاستخدام: فك تشفير الوكيل (على سبيل المثال F5-SSLO) مع Skyhigh SWG
في حالة الاستخدام هذه، يتم إجراء المصادقة بشكل اختياري على وكيل فك التشفير لمرور البيانات الواعية بالوكيل. وهذا يسمح بالمصادقة الحقيقية باستخدام Kerberos و NTLM و LDAP و SAML وغيرها عندما يدعمها وكيل فك التشفير. يوفر SCP أيضًا طريقة "لمصادقة" حركة المرور غير الواعية بالوكيل. بصرف النظر عن المصادقة، يمكن استخدام السياق الذي يوفره SCP من قبل كل من وكيل فك التشفير و Skyhigh SWG. يمكن لوكيل فك التشفير التحقق من رؤوس SWEB التي يوفرها SCP عبر مكالمة جانبية إلى Skyhigh SWG في مقر الشركة (مثال على القواعد الموضحة أدناه) ثم استخدام السياق في قرارات الاتصال والتصفية. على سبيل المثال، يمكن استخدام السياق الذي يوفره SCP لتقرير ما إذا كان ينبغي السماح بالاتصال أو فك التشفير أو حتى إذا كان ينبغي بدء المصادقة الحقيقية. يمكن أيضاً لوكيل فك التشفير أن يقوم ببساطة بإعادة توجيه رؤوس SWEB التي يوفرها SCP إلى SWG بحيث يمكن استخدام السياق المضاف في قواعد SWG. لدى F5 دليل تكامل منشور لهذه البنية.
حالة الاستخدام: وكيل الطرف الثالث كطرف ثالث كطرف فرعي لمجموعة سكاي هاي SWG (السحابة أو في مكان العمل)
في حالة الاستخدام هذه، لا يوجد شرط لفك التشفير عند الوكيل الأول. لا يزال من الممكن إجراء المصادقة الحقيقية عبر الوكيل الأول باستخدام مصادقة الوكيل عبر 407 رموز حالة 407. SCP قادر على اعتراض طلبات HTTP/S المباشرة أو الوكيلة وإجراء طلبات الوكيل الصريحة إلى وكيل Skyhigh المحلي أو وكيل طرف ثالث. ويسمح اعتراض حركة المرور التي تم توكيلها بالفعل لـ SCP بالعمل بنجاح في "الشبكات الآمنة" التي ليس لها مسار افتراضي و/أو لا تقوم خوادم DNS بحل العناوين الخارجية. يوفر SCP طريقة لمصادقة حركة المرور غير المدركة للوكيل. توفر هذه البنية "منحدرًا بسيطًا" بسيطًا إلى Skyhigh SSE مما يتيح وظائف متفوقة جدًا على أي وكلاء محليين قد يكونون مستخدمين حاليًا. بالإضافة إلى ذلك، تضيف SCP خيار وكيل شفاف لأجهزة ويندوز وماك لتغطية التطبيقات التي لا تدرك الوكيل وتعمل في بيئات وكيل صريح. كل ما يتعين على الوكيل الفرعي القيام به هو "القفزة التالية" لحركة مرور SCP إلى مجموعة SWG Skyhigh SWG (السحابة أو في الموقع) مع ترك رؤوس SWEB سليمة.
ملاحظات إضافية على رؤوس SWEB SCP SWEB
يوفر SCP جميع المعلومات السياقية عبر رؤوس SWEB المدرجة في طلب CONNECT لمعاملات HTTPS أو طلبات الأسلوب الفردي لمعاملات HTTP. لا تحصل الأوامر داخل اتصال وكيل HTTPS مقبول على رؤوس. عندما تتحقق SWG من رؤوس SWEB ستقوم بإزالتها افتراضيًا (تعطيل الإزالة هو جزء من إعدادات مصادقة SWPS المستخدمة عند تقييم خاصية Authentication.Authenticate في Skyhigh SWG).
يتم أولاً تشفير رؤوس SWEB المشفرة بترميز Base64 التي تم إنشاؤها بواسطة SCP باستخدام السر المشترك للمستأجر المضمن كجزء من نُهج SCP التي تم إنشاؤها في Skyhigh Cloud أو Trellix ePO. يتم تحديد المستأجر باستخدام رأس معرف العميل SWEB. لا يمكن لوكيل الطرف الثالث فك تشفير رؤوس SWEB وسيكون بإمكانه فقط إعادة توجيه الرؤوس المقدمة من SCP.
يقوم Skyhigh SWG (عند العمل كوكيل فك التشفير) باستمرار سياق SWG طوال اتصال HTTPS. عند استخدام وكيل Next Hop Proxy إلى سحابة Skyhigh SWG من Skyhigh SWG On Prem مع تمكين إعداد القناة الآمنة، تتم دائمًا إضافة بعض رؤوس SWEB تلقائيًا. الرؤوس المضافة تلقائيًا هي: معرّف العميل واسم المستخدم (Authentication.Username) والمجموعات (Authentication.UserGroups). يتم تشفير رؤوس SWEB التي تم إنشاؤها من قبل SWG SWG On Prem بواسطة Skyhigh SWG On Prem مع بيانات الاعتماد (معرف العميل والسر المشترك) التي تعد جزءًا من تكوين UCE Hybrid. إذا تم استخدام SCP للاتصال مباشرة بأي وكيل، يتم تضمين جميع رؤوس SWEB بشكل طبيعي.
SCP هو تحديد هوية المستخدم أكثر من كونه مصادقة، حيث يقوم استدعاء النظام بجمع اسم المستخدم والمجموعات المرتبطة بمتصل العملية، من وقت تسجيل الدخول، ستكون المجموعات سارية فقط اعتباراً من آخر اتصال بدليل العميل.
مجموعة قواعد أمثلة على المكالمات الجانبية
التعرف على المزيد
اكتشف كيف يمكن لمؤسستك استخدام Secure Web Gateway و Skyhigh Client Proxy لحماية أنظمة وبيانات موظفيك مع اكتساب رؤية أكبر وتحكم أكثر دقة في حركة مرور HTTP و HTTPS.
العودة إلى المدونات