Skyhigh Client Proxyのコンテキストアドバンテージ

Jeff Ebeling 著 - Skyhigh Security、クラウドセキュリティアーキテクト

2024年7月9日 4 分で読めます

Skyhigh Client Proxy (SCP) は、すべてのSkyhigh Secure Web Gateway (SWG) のお客様が利用できる非常に価値のあるツールです。これは、HTTP/Sトラフィックを透過的に認証し、Skyhigh Secure Web Gateway (SWG On Prem および/または SWG Cloud) にリダイレクトするために使用されます。ウェブリクエストを行うプロセスを呼び出したユーザーを特定するだけでなく、SCPはよりインテリジェントなプロキシフィルタリングと接続の決定を行うために使用できる追加のコンテキストを提供します。さらに、この技術ブログで後述するように、Skyhigh SWGがプロキシチェーンのどこに位置していても、SCPを使用し、その利点を実現することができます。

まずは、SCP製品ガイド、特にSCPヘッダーで提供されるコンテキストについて説明しているセクション（SCPメタデータ）をご確認ください。SCPが提供するヘッダーには以下が含まれます。

• 顧客ID
• ユーザー名（システムログインから）
• グループ（クライアントのwhoamiから）
• 元の宛先IPアドレス
• クライアントでリクエストを行ったプロセス名
• プロセスEXEパス
• システム情報

AVインストール状況	Crowdstrike ID
AV稼働状況	Crowdstrike総合スコア
AV最新状況	Crowdstrike OSスコア
FW健全性	Crowdstrikeセンサー設定
クライアントOS名とバージョン	ユーザー言語
ローカル時刻	クライアントMACアドレス
プロセス稼働時間	システム名
EXE署名者	SCPポリシー名
EXE製品名	SCP ID
EXE MD5ハッシュ	一致したデバイスプロファイル

SCPヘッダー（SWEBヘッダー）に関する詳細な情報は、このブログの後半で提供されます。

SCPがSkyhigh SWGとシームレスに連携することは明らかですが、Skyhigh SWG（クラウドまたはオンプレミス）が、すでに環境で使用されているサードパーティプロキシの親プロキシとして機能する必要がある場合、あるいはSkyhigh SWGがサードパーティの復号プロキシに接続されたフィルタリングサービスとしてのみ使用されている場合はどうでしょうか。本記事では、Skyhigh SWGを含むあらゆる環境でSCPの価値を最大限に引き出す方法について説明します。

ユースケース：Skyhigh SWGと復号プロキシ（例：F5-SSLO）

このユースケースでは、プロキシ対応トラフィックに対して、復号プロキシで認証をオプションで実行します。これにより、復号プロキシがサポートしている場合、Kerberos、NTLM、LDAP、SAMLなどによる真の認証が可能になります。SCPは、プロキシ非対応トラフィックを「認証」する方法も提供します。認証とは別に、SCPが提供するコンテキストは、復号プロキシとSkyhigh SWGの両方で利用できます。復号プロキシは、Skyhigh SWG on-Premへのサイドバンドコール（下記のルール例を参照）を介してSCPが提供するSWEBヘッダーをチェックし、そのコンテキストを接続およびフィルタリングの決定に利用できます。例えば、SCPが提供するコンテキストは、接続を許可するかどうか、復号するかどうか、あるいは真の認証を開始すべきかどうかを決定するために使用できます。復号プロキシは、SCPが提供するSWEBヘッダーをSWGに転送するだけで、追加されたコンテキストをSWGルールで使用することもできます。F5はこのアーキテクチャに関する統合ガイドを公開しています。

ユースケース：Skyhigh SWG（クラウドまたはオンプレミス）の子としてのサードパーティプロキシ

このユースケースでは、最初のプロキシで復号する必要はありません。407ステータスコードによるプロキシ認証を使用して、最初のプロキシ経由で真の認証を実行できます。SCPは、HTTP/Sの直接リクエストまたはプロキシ経由のリクエストをインターセプトし、ローカルのSkyhighまたはサードパーティプロキシに対して明示的なプロキシリクエストを行うことができます。すでにプロキシ経由のトラフィックをインターセプトすることで、SCPはデフォルトルートがない、またはDNSサーバーが外部アドレスを解決しない「セキュアネットワーク」でも正常に動作できます。SCPは、プロキシ非対応トラフィックを認証する方法を提供します。このアーキテクチャは、Skyhigh SSEへのシンプルな「オンランプ」を提供し、現在使用されているローカルプロキシよりもはるかに優れた機能を実現します。さらに、SCPはWindowsおよびMac向けに透過プロキシオプションを追加し、プロキシ非対応で明示的なプロキシ環境で実行されているアプリケーションをカバーします。子プロキシは、SWEBヘッダーをそのままにして、SCPトラフィックをSkyhigh SWG（クラウドまたはオンプレミス）に「ネクストホップ」するだけです。

SCP SWEBヘッダーに関する追加の注意事項

SCPは、HTTPSトランザクションのCONNECTリクエスト、またはHTTPトランザクションの個々のメソッドリクエストに挿入されるSWEBヘッダーを介して、すべてのコンテキスト情報を提供します。承認されたHTTPSプロキシ接続内のコマンドにはヘッダーは付与されません。SWGがSWEBヘッダーを検証すると、デフォルトでそれらを削除します（削除の無効化は、Skyhigh SWGでAuthentication.Authenticateプロパティを評価する際に使用されるSWPS認証設定の一部です）。

SCPによって生成されたBase64エンコードされたSWEBヘッダーは、まずSkyhigh CloudまたはTrellix ePOで生成されたSCPポリシーの一部として含まれるテナントの共有シークレットで暗号化されます。テナントはSWEBカスタマーIDヘッダーを使用して識別されます。サードパーティプロキシはSWEBヘッダーを復号できず、SCPが提供するヘッダーを転送することしかできません。

Skyhigh SWG（復号プロキシとして機能する場合）は、HTTPS接続全体でSWGコンテキストを保持します。Secure Channel設定が有効なSkyhigh SWG On PremからSkyhigh SWG CloudへのNext Hop Proxyを使用する場合、一部のSWEBヘッダーは常に自動的に追加されます。自動的に追加されるヘッダーは、CustomerID、Username (Authentication.Username)、およびGroups (Authentication.UserGroups) です。SWGによって生成されたSWEBヘッダーは、UCE Hybrid設定の一部である認証情報（カスタマーIDと共有シークレット）を使用してSkyhigh SWG On Premによって暗号化されます。SCPが任意のプロキシへの直接接続に使用される場合、すべてのSWEBヘッダーは当然含まれます。

SCPは認証というよりもユーザー識別です。システムコールは、ログイン時からプロセス呼び出し元に関連付けられたユーザー名とグループを収集します。グループは、最後のクライアントディレクトリ接続時点でのみ最新の状態になります。

サイドバンド・コールのルール例

より詳しく

貴社がSecure Web GatewayとSkyhigh Client Proxyをどのように活用して、従業員のシステムとデータを保護し、HTTPおよびHTTPSトラフィックの可視性を高め、よりきめ細やかな制御を実現できるかをご覧ください。

ブログへ戻る