9 Juli 2024
Oleh Jeff Ebeling - Arsitek Keamanan Cloud, Skyhigh Security
Skyhigh Client Proxy (SCP) adalah alat yang sangat berharga yang tersedia untuk semua pelanggan Skyhigh Secure Web Gateway (SWG). Alat ini digunakan untuk mengautentikasi dan mengarahkan lalu lintas HTTP/S secara transparan ke Skyhigh Secure Web Gateways (SWG On Prem dan/atau SWG Cloud). Selain mengidentifikasi pengguna yang memanggil proses yang membuat permintaan web, SCP menyediakan konteks tambahan yang dapat digunakan untuk membuat pemfilteran proxy yang lebih cerdas dan keputusan koneksi! Lebih lanjut, seperti yang akan dijelaskan nanti di blog teknis ini, SCP dapat digunakan dan manfaatnya dapat direalisasikan terlepas dari di mana pun Skyhigh SWG berada dalam rantai proxy.
Untuk memulai, silakan tinjau Panduan Produk SCP dan khususnya bagian yang menjelaskan konteks yang disediakan dalam header SCP(Metadata SCP). Header SCP yang disediakan meliputi:
- ID Pelanggan
- Nama pengguna (dari login sistem)
- Grup (dari klien whoami)
- IP Tujuan Asli
- Nama Proses (yang membuat permintaan pada klien)
- Proses Jalur EXE
- Informasi Sistem
- AV Terinstal?
|
- Crowdstrike ID
|
- AV On?
|
- Skor Keseluruhan Crowdstrike
|
- AV Terbaru?
|
- Skor OS Crowdstrike
|
- FW Sehat?
|
- Konfigurasi Sensor Serangan Kerumunan
|
- Nama dan Versi OS Klien
|
- Bahasa Pengguna
|
- Waktu setempat
|
- Alamat MAC Klien
|
- Waktu Proses
|
- Nama Sistem
|
- Penandatangan Exe
|
- Nama Kebijakan SCP
|
- Nama Produk Exe
|
- ID SCP
|
- Hash MD5 Exe
|
- Profil Perangkat yang Cocok
|
Catatan lebih lanjut mengenai header SCP (header SWEB) akan diberikan nanti di blog ini.
Jelas SCP bekerja dengan mulus dengan Skyhigh SWG, tetapi bagaimana jika Skyhigh SWG (Cloud atau On Prem) harus bertindak sebagai proxy induk untuk proxy pihak ketiga yang sudah digunakan di lingkungan, atau jika Skyhigh SWG hanya digunakan sebagai layanan pemfilteran yang dilampirkan ke proxy dekripsi pihak ketiga? Artikel ini menjelaskan bagaimana nilai penuh SCP dapat direalisasikan di lingkungan apa pun yang menyertakan Skyhigh SWG.
Kasus Penggunaan: Mendekripsi Proksi (mis. F5-SSLO) dengan Skyhigh SWG
Dalam kasus penggunaan ini, autentikasi secara opsional dilakukan pada proxy dekripsi untuk lalu lintas yang sadar proxy. Hal ini memungkinkan autentikasi yang benar dengan Kerberos, NTLM, LDAP, SAML, dll. ketika didukung oleh proxy dekripsi. SCP juga menyediakan cara untuk "mengotentikasi" trafik yang tidak sadar proxy. Terlepas dari otentikasi, konteks yang disediakan oleh SCP dapat digunakan oleh proxy dekripsi dan Skyhigh SWG. Proksi dekripsi dapat memeriksa header SWEB yang disediakan oleh SCP melalui panggilan sideband ke Skyhigh SWG on-Prem (contoh aturan yang ditunjukkan di bawah ini) dan kemudian menggunakan konteks tersebut untuk membuat koneksi dan keputusan penyaringan. Sebagai contoh, konteks yang disediakan oleh SCP dapat digunakan untuk memutuskan apakah akan mengizinkan koneksi, apakah akan mendekripsi atau tidak, atau bahkan jika otentikasi yang sebenarnya harus dimulai. Proxy dekripsi juga dapat dengan mudah meneruskan header SWEB yang disediakan oleh SCP ke SWG sehingga konteks yang ditambahkan dapat digunakan dalam aturan SWG. F5 memiliki panduan integrasi yang dipublikasikan untuk arsitektur ini.
Kasus Penggunaan: Proksi Pihak Ketiga sebagai Anak ke Skyhigh SWG (Cloud atau On Prem)
Dalam kasus penggunaan ini, tidak ada persyaratan untuk mendekripsi pada proxy pertama. Otentikasi yang sebenarnya masih dapat dilakukan melalui proxy pertama menggunakan otentikasi proxy melalui kode status 407. SCP dapat mencegat permintaan HTTP/S langsung atau yang diproksi dan membuat permintaan proxy eksplisit ke Skyhigh lokal atau proxy pihak ketiga. Pencegatan lalu lintas yang sudah diproksi memungkinkan SCP untuk berhasil beroperasi di "jaringan aman" yang tidak memiliki rute default dan/atau server DNS tidak menyelesaikan alamat eksternal. SCP menyediakan metode untuk mengautentikasi trafik yang tidak sadar akan proxy. Arsitektur ini menyediakan "jalan masuk" yang sederhana ke Skyhigh SSE yang memungkinkan fungsionalitas yang jauh lebih unggul daripada proxy lokal yang saat ini digunakan. Selain itu, SCP menambahkan opsi proxy transparan untuk Windows dan Mac untuk mencakup aplikasi yang tidak sadar proxy dan berjalan di lingkungan proxy eksplisit. Yang harus dilakukan oleh proxy anak adalah "lompatan berikutnya" lalu lintas SCP ke Skyhigh SWG (Cloud atau On Prem) dengan header SWEB yang dibiarkan utuh.
Catatan Tambahan tentang Header SCP SWEB
SCP menyediakan semua informasi kontekstual melalui header SWEB yang disisipkan ke dalam permintaan CONNECT untuk transaksi HTTPS atau permintaan metode individual untuk transaksi HTTP. Perintah dalam koneksi proxy HTTPS yang diterima TIDAK mendapatkan header. Ketika SWG memverifikasi header SWEB, SWG akan menghapusnya secara default (menonaktifkan penghapusan adalah bagian dari pengaturan otentikasi SWPS yang digunakan ketika mengevaluasi properti Authentication.Authenticate di Skyhigh SWG).
Header SWEB yang dikodekan Base64 yang dihasilkan oleh SCP pertama-tama dienkripsi dengan rahasia bersama penyewa yang disertakan sebagai bagian dari kebijakan SCP yang dihasilkan di Skyhigh Cloud atau Trellix ePO. Penyewa diidentifikasi menggunakan header ID pelanggan SWEB. Proksi pihak ketiga tidak dapat mendekripsi header SWEB dan hanya dapat meneruskan header yang disediakan oleh SCP.
Skyhigh SWG (ketika bertindak sebagai proxy yang mendekripsi) mempertahankan konteks SWG di seluruh koneksi HTTPS. Ketika menggunakan Next Hop Proxy ke cloud Skyhigh SWG dari Skyhigh SWG On Prem dengan pengaturan Secure Channel yang diaktifkan, beberapa header SWEB selalu ditambahkan secara otomatis. Header yang ditambahkan secara otomatis adalah: CustomerID, Nama Pengguna (Autentikasi.NamaPengguna), dan Grup (Autentikasi.UserGroups). Header SWEB yang dihasilkan SWG dienkripsi oleh Skyhigh SWG On Prem dengan kredensial (ID Pelanggan dan Rahasia Bersama) yang merupakan bagian dari konfigurasi UCE Hybrid. Jika SCP digunakan untuk koneksi langsung ke proxy apa pun, semua header SWEB secara alami disertakan.
SCP adalah identifikasi pengguna lebih dari sekadar autentikasi, panggilan sistem mengumpulkan nama pengguna dan grup yang terkait dengan pemanggil proses, sejak saat login, grup hanya akan menjadi yang terbaru pada koneksi direktori klien terakhir.
Kumpulan Aturan Contoh Panggilan Sideband
Pelajari Lebih Lanjut
Ketahui bagaimana organisasi Anda dapat menggunakan Secure Web Gateway dan Skyhigh Client Proxy untuk melindungi sistem dan data karyawan Anda sekaligus mendapatkan visibilitas yang lebih besar dan kontrol yang lebih terperinci atas lalu lintas HTTP dan HTTPS Anda.
Kembali ke Blog