9 जुलाई 2024
जेफ एबेलिंग द्वारा - क्लाउड सिक्योरिटी आर्किटेक्ट, Skyhigh Security
स्काईहाई क्लाइंट प्रॉक्सी (एससीपी) एक अत्यंत मूल्यवान उपकरण है जो सभी स्काईहाई के लिए उपलब्ध है Secure Web Gateway (SWG) ग्राहक। इसका उपयोग HTTP/S ट्रैफ़िक को स्काईहाई सिक्योर वेब गेटवे (SWG ऑन प्रेम और/या SWG क्लाउड) पर पारदर्शी रूप से प्रमाणित और पुनर्निर्देशित करने के लिए किया जाता है। वेब अनुरोध करने वाली प्रक्रिया को कॉल करने वाले उपयोगकर्ता की पहचान करने के अलावा, एससीपी अतिरिक्त संदर्भ प्रदान करता है जिसका उपयोग अधिक बुद्धिमान प्रॉक्सी फ़िल्टरिंग और कनेक्शन निर्णय लेने के लिए किया जा सकता है! इसके अलावा, जैसा कि इस तकनीकी ब्लॉग में बाद में वर्णित है, एससीपी का उपयोग किया जा सकता है और इसके लाभों को महसूस किया जा सकता है, भले ही स्काईहाई एसडब्ल्यूजी प्रॉक्सी श्रृंखला में हो।
आरंभ करने के लिए, कृपया SCP उत्पाद मार्गदर्शिका और विशेष रूप से उस अनुभाग की समीक्षा करें जो SCP हेडर (SCP मेटाडेटा) में प्रदान किए गए संदर्भ का वर्णन करता है। एससीपी प्रदान किए गए हेडर में शामिल हैं:
- कस्टमर ID
- उपयोगकर्ता नाम (सिस्टम लॉगिन से)
- समूह (क्लाइंट whoami से)
- मूल गंतव्य आईपी
- प्रक्रिया का नाम (जो क्लाइंट पर अनुरोध करता है)
- प्रक्रिया EXE पथ
- सिस्टम की जानकारी
- एवी स्थापित?
|
- क्राउडस्ट्राइक आईडी
|
- एवी ऑन?
|
- क्राउडस्ट्राइक ओवरऑल स्कोर
|
- एवी अप टू डेट?
|
- क्राउडस्ट्राइक ओएस स्कोर
|
- परिवार कल्याण स्वस्थ?
|
- क्राउडस्ट्राइक सेंसर कॉन्फिग
|
- क्लाइंट ओएस नाम और संस्करण
|
- उपयोगकर्ता की भाषा
|
- स्थानीय समय
|
- ग्राहक मैक पता
|
- प्रक्रिया अप समय
|
- सिस्टम का नाम
|
- एक्सई साइनर
|
- एससीपी नीति का नाम
|
- Exe उत्पाद का नाम
|
- एससीपी आईडी
|
- Exe MD5 हैश
|
- मिलान किए गए डिवाइस प्रोफाइल
|
एससीपी हेडर (एसडब्ल्यूईबी हेडर) पर अधिक नोट्स बाद में इस ब्लॉग में प्रदान किए गए हैं।
स्पष्ट रूप से एससीपी स्काईहाई एसडब्ल्यूजी के साथ मूल रूप से काम करता है, लेकिन क्या होगा यदि स्काईहाई एसडब्ल्यूजी (क्लाउड या ऑन प्रेम) को तीसरे पक्ष के प्रॉक्सी के लिए माता-पिता प्रॉक्सी के रूप में कार्य करना चाहिए जो पहले से ही पर्यावरण में उपयोग किया जाता है, या यदि स्काईहाई एसडब्ल्यूजी का उपयोग किसी तीसरे पक्ष के डिक्रिप्टिंग प्रॉक्सी से जुड़ी फ़िल्टरिंग सेवा के रूप में किया जा रहा है? यह आलेख वर्णन करता है कि कैसे एससीपी का पूर्ण मूल्य किसी भी वातावरण में महसूस किया जा सकता है जिसमें स्काईहाई एसडब्ल्यूजी शामिल है।
केस का उपयोग करें: स्काईहाई एसडब्ल्यूजी के साथ प्रॉक्सी (जैसे F5-SSLO) को डिक्रिप्ट करना
इस उपयोग के मामले में, प्रमाणीकरण वैकल्पिक रूप से प्रॉक्सी जागरूक ट्रैफ़िक के लिए डिक्रिप्टिंग प्रॉक्सी पर किया जाता है। यह डिक्रिप्टिंग प्रॉक्सी द्वारा समर्थित होने पर Kerberos, NTLM, LDAP, SAML आदि के साथ सही प्रमाणीकरण की अनुमति देता है। एससीपी ट्रैफ़िक को "प्रमाणित" करने का एक तरीका भी प्रदान करता है जो प्रॉक्सी जागरूक नहीं है। प्रमाणीकरण से स्वतंत्र, एससीपी द्वारा प्रदान किए गए संदर्भ का उपयोग डिक्रिप्टिंग प्रॉक्सी और स्काईहाई एसडब्ल्यूजी दोनों द्वारा किया जा सकता है। डिक्रिप्टिंग प्रॉक्सी SCP द्वारा प्रदान किए गए SWEB हेडर को साइडबैंड कॉल के माध्यम से Skyhigh SWG ऑन-प्रेम (नीचे दिखाए गए उदाहरण नियम) की जांच कर सकता है और फिर कनेक्शन और फ़िल्टरिंग निर्णयों में संदर्भ का उपयोग कर सकता है। उदाहरण के लिए, एससीपी द्वारा प्रदान किए गए संदर्भ का उपयोग यह तय करने के लिए किया जा सकता है कि कनेक्शन की अनुमति दी जाए या नहीं, या यहां तक कि सही प्रमाणीकरण शुरू किया जाना चाहिए या नहीं। डिक्रिप्टिंग प्रॉक्सी भी एससीपी द्वारा प्रदान किए गए एसडब्ल्यूईबी हेडर को एसडब्ल्यूजी को अग्रेषित कर सकता है ताकि अतिरिक्त संदर्भ का उपयोग एसडब्ल्यूजी नियमों में किया जा सके। F5 में इस आर्किटेक्चर के लिए एक प्रकाशित एकीकरण मार्गदर्शिका है।
केस का उपयोग करें: स्काईहाई एसडब्ल्यूजी (क्लाउड या ऑन प्रेम) के लिए एक बच्चे के रूप में थर्ड पार्टी प्रॉक्सी
इस उपयोग के मामले में, पहले प्रॉक्सी पर डिक्रिप्ट करने की कोई आवश्यकता नहीं है। सही प्रमाणीकरण अभी भी 407 स्थिति कोड के माध्यम से प्रॉक्सी प्रमाणीकरण का उपयोग करके पहले प्रॉक्सी के माध्यम से किया जा सकता है। एससीपी एचटीटीपी / एस प्रत्यक्ष या प्रॉक्सी अनुरोधों को बाधित करने और स्थानीय स्काईहाई या तीसरे पक्ष के प्रॉक्सी के लिए स्पष्ट प्रॉक्सी अनुरोध करने में सक्षम है। पहले से ही प्रॉक्सी किए गए ट्रैफ़िक का अवरोधन एससीपी को "सुरक्षित नेटवर्क" में सफलतापूर्वक संचालित करने की अनुमति देता है जिसमें कोई डिफ़ॉल्ट मार्ग नहीं है और / या डीएनएस सर्वर बाहरी पते को हल नहीं करते हैं। एससीपी ट्रैफ़िक को प्रमाणित करने के लिए एक विधि प्रदान करता है जो प्रॉक्सी जागरूक नहीं है। यह आर्किटेक्चर स्काईहाई एसएसई को एक सरल "रैंप पर" प्रदान करता है जो वर्तमान में उपयोग में आने वाले किसी भी स्थानीय प्रॉक्सी पर कहीं बेहतर कार्यक्षमता को सक्षम करता है। इसके अलावा, एससीपी विंडोज और मैक के लिए उन अनुप्रयोगों को कवर करने के लिए एक पारदर्शी प्रॉक्सी विकल्प जोड़ता है जो प्रॉक्सी से अवगत नहीं हैं और स्पष्ट प्रॉक्सी वातावरण में चल रहे हैं। सभी बच्चे प्रॉक्सी को स्काईहाई एसडब्ल्यूजी (क्लाउड या ऑन प्रेम) के लिए एससीपी ट्रैफ़िक को "अगली हॉप" करना है, जिसमें एसडब्ल्यूईबी हेडर बरकरार हैं।
SCP SWEB हेडर पर अतिरिक्त नोट्स
SCP HTTPS हस्तांतरण के लिए कनेक्ट अनुरोध या HTTP हस्तांतरण के लिए व्यक्तिगत विधि अनुरोधों में सम्मिलित SWEB शीर्ष लेख के माध्यम से सभी प्रासंगिक जानकारी प्रदान करता है। स्वीकृत HTTPS प्रॉक्सी कनेक्शन के भीतर कमांड हेडर नहीं मिलते हैं। जब SWG SWEB हेडर की पुष्टि करता है, तो यह उन्हें डिफ़ॉल्ट रूप से हटा देगा (निष्कासन को अक्षम करना Skyhigh SWG में Authentication.Authenticate गुण का मूल्यांकन करते समय उपयोग की जाने वाली SWPS प्रमाणीकरण सेटिंग्स का हिस्सा है)।
एससीपी द्वारा उत्पन्न बेस 64 एन्कोडेड एसडब्ल्यूएबी हेडर को पहले किरायेदार के साझा रहस्य के साथ एन्क्रिप्ट किया जाता है जो स्काईहाई क्लाउड या ट्रेलिक्स ईपीओ में उत्पन्न एससीपी नीतियों के हिस्से के रूप में शामिल होता है। टैनेंट की पहचान SWEB ग्राहक ID हेडर का उपयोग करके की जाती है. एक तृतीय पक्ष प्रॉक्सी SWEB शीर्ष लेख को डिक्रिप्ट नहीं कर सकता है और केवल SCP द्वारा प्रदान किए गए हेडर को अग्रेषित करने में सक्षम होगा।
स्काईहाई एसडब्ल्यूजी (डिक्रिप्टिंग प्रॉक्सी के रूप में कार्य करते समय) पूरे एचटीटीपीएस कनेक्शन में एसडब्ल्यूजी संदर्भ बना रहता है। Skyhigh SWG ऑन प्रेम से Skyhigh SWG क्लाउड के लिए नेक्स्ट हॉप प्रॉक्सी का उपयोग करते समय सुरक्षित चैनल सेटिंग सक्षम के साथ, कुछ SWEB हेडर हमेशा स्वचालित रूप से जोड़े जाते हैं। स्वचालित रूप से जोड़े गए हेडर हैं: CustomerID, उपयोगकर्ता नाम (Authentication.Username), और समूह (Authentication.UserGroups)। SWG जनित SWEB हेडर Skyhigh SWG On Prem द्वारा क्रेडेंशियल्स (ग्राहक ID और साझा गुप्त) के साथ एन्क्रिप्ट किए गए हैं जो UCE हाइब्रिड कॉन्फ़िगरेशन का हिस्सा हैं। यदि एससीपी का उपयोग सीधे किसी प्रॉक्सी से कनेक्शन के लिए किया जाता है, तो सभी एसडब्ल्यूईबी हेडर स्वाभाविक रूप से शामिल होते हैं।
एससीपी प्रमाणीकरण से अधिक उपयोगकर्ता पहचान है, एक सिस्टम कॉल उपयोगकर्ता नाम और प्रक्रिया कॉलर से जुड़े समूहों को इकट्ठा करता है, लॉगिन के समय से, समूह केवल अंतिम क्लाइंट निर्देशिका कनेक्शन के रूप में वर्तमान होंगे।
साइडबैंड कॉल उदाहरण नियमसेट
और जानो
पता लगाएं कि आपका संगठन कैसे उपयोग कर सकता है Secure Web Gateway और स्काईहाई क्लाइंट प्रॉक्सी आपके HTTP और HTTPS ट्रैफ़िक की अधिक दृश्यता और अधिक दानेदार नियंत्रण प्राप्त करते हुए आपके कर्मचारी सिस्टम और डेटा की सुरक्षा के लिए।
ब्लॉग पर वापस जाएं