Zum Hauptinhalt springen
Zurück zu Blogs

Cloud-Sicherheit

Der Skyhigh Client Proxy-Kontext-Vorteil

Juli 9, 2024

Von Jeff Ebeling - Architekt für Cloud-Sicherheit, Skyhigh Security

Skyhigh Client Proxy (SCP) ist ein äußerst wertvolles Tool, das allen Skyhigh Secure Web Gateway (SWG) Kunden zur Verfügung steht. Es dient der transparenten Authentifizierung und Umleitung des HTTP/S-Verkehrs zu Skyhigh Secure Web Gateways (SWG On Prem und/oder SWG Cloud). SCP identifiziert nicht nur den Benutzer, der den Prozess aufgerufen hat, der die Webanfrage stellt, sondern liefert auch zusätzlichen Kontext, der für intelligentere Proxy-Filter- und Verbindungsentscheidungen genutzt werden kann! Wie weiter unten in diesem technischen Blog beschrieben, kann SCP außerdem unabhängig von der Position von Skyhigh SWG in einer Proxy-Kette verwendet werden und seine Vorteile nutzen.

Für den Anfang lesen Sie bitte das SCP-Produkthandbuch und insbesondere den Abschnitt, der den in den SCP-Headern(SCP-Metadaten) enthaltenen Kontext beschreibt. Zu den von SCP bereitgestellten Headern gehören:

  • Kunden-ID
  • Benutzername (von der Systemanmeldung)
  • Gruppen (vom Client whoami)
  • Ursprüngliche Ziel-IP
  • Prozessname (der die Anfrage auf dem Client gestellt hat)
  • EXE-Pfad verarbeiten
  • System-Informationen
  • AV Installiert?
  • Crowdstrike ID
  • AV eingeschaltet?
  • Crowdstrike Gesamtbewertung
  • AV Up to Date?
  • Crowdstrike OS Score
  • FW Gesund?
  • Crowdstrike Sensor-Konfiguration
  • Name und Version des Client-Betriebssystems
  • Benutzersprache
  • Ortszeit
  • MAC-Adresse des Clients
  • Zeit für die Verarbeitung
  • System Name
  • Exe Unterzeichner
  • SCP-Richtlinie Name
  • Exe Produktname
  • SCP-ID
  • Exe MD5 Hash
  • Abgestimmte Geräteprofile

Weitere Hinweise zu SCP-Headern (SWEB-Headern) finden Sie später in diesem Blog.

Natürlich funktioniert SCP nahtlos mit Skyhigh SWG, aber was ist, wenn Skyhigh SWG (in der Cloud oder vor Ort) als übergeordneter Proxy für einen Proxy eines Drittanbieters fungieren muss, der bereits in der Umgebung verwendet wird, oder wenn Skyhigh SWG nur als Filterdienst verwendet wird, der mit einem Entschlüsselungsproxy eines Drittanbieters verbunden ist? Dieser Artikel beschreibt, wie Sie den vollen Wert von SCP in jeder Umgebung mit Skyhigh SWG ausschöpfen können.

Anwendungsfall: Entschlüsseln eines Proxy (z.B. F5-SSLO) mit Skyhigh SWG

Entschlüsselnder Proxy (z.B. F5-SSLO) mit Skyhigh SWG

In diesem Anwendungsfall wird die Authentifizierung optional auf einem entschlüsselnden Proxy für proxyfähigen Verkehr durchgeführt. Dies ermöglicht eine echte Authentifizierung mit Kerberos, NTLM, LDAP, SAML usw., wenn der entschlüsselnde Proxy dies unterstützt. SCP bietet auch eine Möglichkeit zur "Authentifizierung" von Datenverkehr, der nicht proxyfähig ist. Unabhängig von der Authentifizierung kann der von SCP bereitgestellte Kontext sowohl vom entschlüsselnden Proxy als auch von Skyhigh SWG verwendet werden. Der entschlüsselnde Proxy kann die von SCP bereitgestellten SWEB-Header über einen Sideband-Aufruf an Skyhigh SWG on-Prem überprüfen (Beispielregeln siehe unten) und den Kontext dann bei Verbindungs- und Filterentscheidungen verwenden. So könnte der von SCP bereitgestellte Kontext beispielsweise dazu verwendet werden, um zu entscheiden, ob die Verbindung zugelassen wird, ob sie entschlüsselt wird oder nicht, oder ob eine echte Authentifizierung initiiert werden soll. Der entschlüsselnde Proxy kann auch einfach nur die von SCP bereitgestellten SWEB-Header an SWG weiterleiten, so dass der hinzugefügte Kontext in SWG-Regeln verwendet werden kann. F5 hat einen Integrationsleitfaden für diese Architektur veröffentlicht.

Anwendungsfall: Proxy eines Drittanbieters als Kind von Skyhigh SWG (Cloud oder On Prem)

Proxy eines Drittanbieters als Kind von Skyhigh SWG (Cloud oder On Prem)

In diesem Anwendungsfall ist eine Entschlüsselung beim ersten Proxy nicht erforderlich. Eine echte Authentifizierung kann immer noch über den ersten Proxy mit Hilfe der Proxy-Authentifizierung über 407 Statuscodes erfolgen. SCP ist in der Lage, direkte HTTP/S- oder Proxy-Anfragen abzufangen und explizite Proxy-Anfragen an einen lokalen Skyhigh- oder Drittanbieter-Proxy zu stellen. Durch das Abfangen des bereits vermittelten Datenverkehrs kann SCP erfolgreich in "sicheren Netzwerken" arbeiten, die keine Standardroute haben und/oder deren DNS-Server keine externen Adressen auflösen. SCP bietet eine Methode zur Authentifizierung von Datenverkehr, der nicht proxyfähig ist. Diese Architektur bietet einen einfachen Einstieg in Skyhigh SSE und ermöglicht eine weitaus bessere Funktionalität als lokale Proxys, die derzeit möglicherweise im Einsatz sind. Darüber hinaus fügt SCP eine transparente Proxy-Option für Windows und Macs hinzu, um Anwendungen abzudecken, die nicht proxyfähig sind und in expliziten Proxy-Umgebungen laufen. Der Child-Proxy muss lediglich den SCP-Verkehr an die Skyhigh SWG (Cloud oder On Prem) weiterleiten, wobei die SWEB-Header intakt bleiben.

Zusätzliche Hinweise zu SCP SWEB-Kopfzeilen

SCP liefert alle Kontextinformationen über SWEB-Header, die bei HTTPS-Transaktionen in die CONNECT-Anfrage oder bei HTTP-Transaktionen in die einzelnen Methodenanfragen eingefügt werden. Befehle innerhalb einer akzeptierten HTTPS-Proxy-Verbindung erhalten KEINE Header. Wenn SWG die SWEB-Header überprüft, werden diese standardmäßig entfernt (die Deaktivierung der Entfernung ist Teil der SWPS-Authentifizierungseinstellungen, die bei der Auswertung der Eigenschaft Authentication.Authenticate in Skyhigh SWG verwendet werden).

SCP SWEB Kopfzeilen

Die von SCP generierten Base64-kodierten SWEB-Header werden zunächst mit dem gemeinsamen Geheimnis des Mandanten verschlüsselt, das Teil der in Skyhigh Cloud oder Trellix ePO generierten SCP-Richtlinien ist. Der Mandant wird anhand des SWEB-Kunden-ID-Headers identifiziert. Ein Proxy eines Drittanbieters kann die SWEB-Header nicht entschlüsseln und kann nur die von SCP bereitgestellten Header weiterleiten.

Skyhigh SWG (wenn es als entschlüsselnder Proxy fungiert) behält den SWG-Kontext während der gesamten HTTPS-Verbindung bei. Wenn Sie Next Hop Proxy zu Skyhigh SWG Cloud von Skyhigh SWG On Prem mit aktivierter Secure Channel-Einstellung verwenden, werden einige SWEB-Header immer automatisch hinzugefügt. Die automatisch hinzugefügten Header sind: CustomerID, Benutzername (Authentication.Username) und Gruppen (Authentication.UserGroups). Die von SWG generierten SWEB-Header werden von Skyhigh SWG On Prem mit den Anmeldeinformationen (Customer ID und Shared Secret) verschlüsselt, die Teil der UCE Hybrid-Konfiguration sind. Wenn SCP für die Verbindung direkt zu einem Proxy verwendet wird, sind natürlich alle SWEB-Header enthalten.

SCP ist eher eine Benutzeridentifizierung als eine Authentifizierung. Ein Systemaufruf sammelt Benutzernamen und Gruppen, die mit dem Prozessaufrufer verbunden sind, ab dem Zeitpunkt der Anmeldung.

Beispielregelsatz für Seitenbandanrufe

Beispielregelsatz für Seitenbandanrufe

Mehr erfahren

Entdecken Sie, wie Ihr Unternehmen mit Secure Web Gateway und Skyhigh Client Proxy nutzen kann, um die Systeme und Daten Ihrer Mitarbeiter zu schützen und gleichzeitig mehr Transparenz und eine genauere Kontrolle über Ihren HTTP- und HTTPS-Datenverkehr zu erlangen.

Zurück zu Blogs

Verwandter Inhalt

Nachrichten-Miniaturansicht
Cloud-Sicherheit

Skyhigh AI: Intelligente Cloud-Sicherheit für das moderne Unternehmen

Lolita Chandra - 4. September 2024

Nachrichten-Miniaturansicht
Industrie-Perspektiven

SD-WAN: Sicherung von Zweigstellen

Shubham Jena - 10. August 2024

Nachrichten-Miniaturansicht
Industrie-Perspektiven

IT-Ausfälle passieren - es kommt darauf an, wie Sie sie bewältigen

Vishal Rao - Juli 23, 2024

Neueste Blogs

Cloud-Sicherheit

Skyhigh AI: Intelligente Cloud-Sicherheit für das moderne Unternehmen

Lolita Chandra - 4. September 2024

Industrie-Perspektiven

SD-WAN: Sicherung von Zweigstellen

Shubham Jena - 10. August 2024

Industrie-Perspektiven

IT-Ausfälle passieren - es kommt darauf an, wie Sie sie bewältigen

Vishal Rao - Juli 23, 2024

Cloud-Sicherheit

Der Skyhigh Client Proxy-Kontext-Vorteil

Jeff Ebeling - Juli 9, 2024