2024년 7월 9일
작성자: Jeff Ebeling - 클라우드 보안 아키텍트, Skyhigh Security
스카이하이 클라이언트 프록시(SCP)는 모든 스카이하이 Secure Web Gateway (SWG) 고객이 사용할 수 있는 매우 유용한 도구입니다. 이 도구는 HTTP/S 트래픽을 투명하게 인증하고 Skyhigh 보안 웹 게이트웨이(SWG 온프레미스 및/또는 SWG 클라우드)로 리디렉션하는 데 사용됩니다. SCP는 웹 요청을 하는 프로세스를 호출한 사용자를 식별하는 것 외에도 보다 지능적인 프록시 필터링 및 연결 결정을 내리는 데 사용할 수 있는 추가 컨텍스트를 제공합니다! 또한, 이 기술 블로그의 뒷부분에 설명된 것처럼, SCP는 Skyhigh SWG가 프록시 체인에서 어디에 있든 상관없이 사용할 수 있으며 그 이점을 실현할 수 있습니다.
시작하려면 SCP 제품 가이드, 특히 SCP 헤더에 제공된 컨텍스트(SCP 메타데이터)를 설명하는 섹션을 검토하세요. SCP 제공 헤더에는 다음이 포함됩니다:
- 고객 ID
- 사용자 이름(시스템 로그인에서)
- 그룹(클라이언트 whoami에서)
- 원래 대상 IP
- 프로세스 이름(클라이언트에서 요청을 수행한 프로세스)
- 프로세스 EXE 경로
- 시스템 정보
- AV가 설치되어 있나요?
|
- 크라우드스트라이크 ID
|
- AV 켜짐?
|
- 크라우드스트라이크 종합 점수
|
- AV를 최신 버전으로 업데이트하셨나요?
|
- 크라우드스트라이크 OS 점수
|
- FW 건강?
|
- 크라우드스트라이크 센서 구성
|
- 클라이언트 OS 이름 및 버전
|
- 사용자 언어
|
- 현지 시간
|
- 클라이언트 MAC 주소
|
- 처리 시간 단축
|
- 시스템 이름
|
- Exe 서명자
|
- SCP 정책 이름
|
- Exe 제품 이름
|
- SCP ID
|
- Exe MD5 해시
|
- 일치하는 디바이스 프로필
|
SCP 헤더(SWEB 헤더)에 대한 자세한 내용은 이 블로그의 뒷부분에서 확인할 수 있습니다.
물론 SCP는 Skyhigh SWG와 원활하게 작동하지만, Skyhigh SWG(클라우드 또는 온프레미스)가 이미 사용 중인 타사 프록시의 상위 프록시 역할을 해야 하거나 Skyhigh SWG가 타사 복호화 프록시에 연결된 필터링 서비스로만 사용되는 경우 어떻게 해야 할까요? 이 문서에서는 Skyhigh SWG가 포함된 모든 환경에서 SCP의 전체 가치를 실현할 수 있는 방법을 설명합니다.
사용 사례: Skyhigh SWG를 사용한 프록시 복호화(예: F5-SSLO)
이 사용 사례에서는 프록시 인식 트래픽에 대해 복호화 프록시에서 인증이 선택적으로 수행됩니다. 이렇게 하면 복호화 프록시가 지원하는 경우 Kerberos, NTLM, LDAP, SAML 등을 사용한 진정한 인증이 가능합니다. SCP는 프록시를 인식하지 못하는 트래픽을 '인증'하는 방법도 제공합니다. 인증과 무관하게 SCP가 제공하는 컨텍스트는 복호화 프록시와 Skyhigh SWG 모두에서 사용할 수 있습니다. 복호화 프록시는 Skyhigh SWG 온프레미스에 대한 사이드밴드 호출(아래 예시 규칙)을 통해 SCP가 제공하는 SWEB 헤더를 확인한 다음 연결 및 필터링 결정에 컨텍스트를 사용할 수 있습니다. 예를 들어, SCP에서 제공하는 컨텍스트를 사용하여 연결을 허용할지, 복호화할지 또는 실제 인증을 시작해야 하는지 여부를 결정할 수 있습니다. 또한 복호화 프록시는 추가된 컨텍스트가 SWG 규칙에 사용될 수 있도록 SCP에서 제공한 SWEB 헤더를 SWG로 전달하기만 하면 됩니다. F5는 이 아키텍처에 대한 통합 가이드를 게시했습니다.
사용 사례: 스카이하이 SWG(클라우드 또는 온프레미스)의 자식인 타사 프록시
이 사용 사례에서는 첫 번째 프록시에서 암호를 해독할 필요가 없습니다. 407 상태 코드를 통한 프록시 인증을 사용하여 첫 번째 프록시를 통해 진정한 인증을 수행할 수 있습니다. SCP는 HTTP/S 직접 또는 프록시 요청을 가로채서 로컬 Skyhigh 또는 타사 프록시에 명시적 프록시 요청을 할 수 있습니다. 이미 프록시된 트래픽을 가로채면 기본 경로가 없거나 DNS 서버가 외부 주소를 확인하지 않는 '보안 네트워크'에서 SCP가 성공적으로 작동할 수 있습니다. SCP는 프록시를 인식하지 못하는 트래픽을 인증하는 방법을 제공합니다. 이 아키텍처는 현재 사용 중인 로컬 프록시보다 훨씬 뛰어난 기능을 제공하는 Skyhigh SSE에 간단한 "온 램프"를 제공합니다. 또한 SCP는 Windows 및 Mac용 투명 프록시 옵션을 추가하여 프록시를 인식하지 못하고 명시적 프록시 환경에서 실행되는 애플리케이션을 처리합니다. 하위 프록시는 SWEB 헤더를 그대로 유지한 채 SCP 트래픽을 Skyhigh SWG(클라우드 또는 온프레미스)로 '다음 홉'하기만 하면 됩니다.
SCP 웹 헤더에 대한 추가 참고 사항
SCP는 HTTPS 트랜잭션의 경우 CONNECT 요청에 삽입된 SWEB 헤더 또는 HTTP 트랜잭션의 경우 개별 메서드 요청을 통해 모든 컨텍스트 정보를 제공합니다. 허용된 HTTPS 프록시 연결 내의 명령은 헤더를 가져오지 않습니다. SWG가 SWEB 헤더를 확인할 때 기본적으로 헤더를 제거합니다(제거 비활성화는 Skyhigh SWG에서 Authentication.Authenticate 속성을 평가할 때 사용되는 SWPS 인증 설정의 일부입니다).
SCP에서 생성된 Base64 인코딩된 SWEB 헤더는 먼저 Skyhigh Cloud 또는 Trellix ePO에서 생성된 SCP 정책의 일부로 포함된 테넌트의 공유 비밀을 사용하여 암호화됩니다. 테넌트는 SWEB 고객 ID 헤더를 사용하여 식별됩니다. 타사 프록시는 SWEB 헤더를 해독할 수 없으며 SCP에서 제공한 헤더만 전달할 수 있습니다.
(복호화 프록시로 작동하는 경우) Skyhigh SWG는 HTTPS 연결 전체에 걸쳐 SWG 컨텍스트를 유지합니다. 보안 채널 설정이 활성화된 상태에서 Skyhigh SWG On Prem에서 Skyhigh SWG 클라우드로 다음 홉 프록시를 사용하는 경우, 일부 SWEB 헤더가 항상 자동으로 추가됩니다. 자동으로 추가되는 헤더는 다음과 같습니다: CustomerID, 사용자 이름(Authentication.Username) 및 그룹(Authentication.UserGroups). 생성된 SWG 헤더는 UCE 하이브리드 구성의 일부인 자격 증명(고객 ID 및 공유 비밀)을 사용하여 Skyhigh SWG On Prem에 의해 암호화됩니다. 프록시에 직접 연결하기 위해 SCP를 사용하는 경우 모든 SWEB 헤더가 자연스럽게 포함됩니다.
SCP는 인증 이상의 사용자 식별이며, 시스템 호출은 로그인 시점부터 프로세스 호출자와 관련된 사용자 이름과 그룹을 수집하며, 그룹은 마지막 클라이언트 디렉터리 연결 시점의 최신 정보만 수집합니다.
사이드밴드 통화 예제 규칙 집합
자세히 알아보기
조직에서 어떻게 Secure Web Gateway 및 Skyhigh 클라이언트 프록시를 사용하여 직원 시스템과 데이터를 보호하는 동시에 HTTP 및 HTTPS 트래픽에 대한 가시성을 높이고 보다 세밀하게 제어할 수 있는 방법을 알아보세요.
블로그로 돌아가기