9 de julho de 2024
Por Jeff Ebeling - Arquiteto de segurança na nuvem, Skyhigh Security
O Skyhigh Client Proxy (SCP) é uma ferramenta extremamente valiosa que está disponível para todos os clientes da Skyhigh Secure Web Gateway (SWG). É utilizado para autenticar e redirecionar de forma transparente o tráfego HTTP/S para os Skyhigh Secure Web Gateways (SWG On Prem e/ou SWG Cloud). Para além de identificar o utilizador que chamou o processo que faz o pedido Web, o SCP fornece contexto adicional que pode ser utilizado para tomar decisões de ligação e filtragem de proxy mais inteligentes! Além disso, conforme descrito mais adiante neste blogue técnico, o SCP pode ser utilizado e os seus benefícios podem ser realizados independentemente da posição do Skyhigh SWG numa cadeia de proxy.
Para começar, reveja o Guia do Produto SCP e, em particular, a secção que descreve o contexto fornecido nos cabeçalhos SCP(Metadados SCP). Os cabeçalhos fornecidos pelo SCP incluem:
- ID do cliente
- Nome de utilizador (do início de sessão do sistema)
- Grupos (do whoami do cliente)
- IP de destino original
- Nome do processo (que efectuou o pedido no cliente)
- Caminho do processo EXE
- Informações sobre o sistema
- Tem o AV instalado?
|
- ID do Crowdstrike
|
- AV ligado?
|
- Pontuação geral do Crowdstrike
|
- AV Atualizado?
|
- Pontuação do SO Crowdstrike
|
- FW Saudável?
|
- Configuração do sensor Crowdstrike
|
- Nome e versão do SO do cliente
|
- Língua de utilizador
|
- Hora local
|
- Endereço MAC do cliente
|
- Tempo de funcionamento do processo
|
- Nome do sistema
|
- Assinador Exe
|
- Nome da política SCP
|
- Exe Nome do produto
|
- ID SCP
|
- Exe MD5 Hash
|
- Perfis de dispositivos correspondentes
|
Mais notas sobre os cabeçalhos SCP (cabeçalhos SWEB) são fornecidas mais adiante neste blogue.
Obviamente, o SCP funciona perfeitamente com o Skyhigh SWG, mas e se o Skyhigh SWG (Cloud ou On Prem) tiver de atuar como um proxy principal para um proxy de terceiros que já é utilizado no ambiente, ou se o Skyhigh SWG estiver apenas a ser utilizado como um serviço de filtragem ligado a um proxy de desencriptação de terceiros? Este artigo descreve como o valor total do SCP pode ser realizado em qualquer ambiente que inclua o Skyhigh SWG.
Caso de uso: Descriptografia de proxy (por exemplo, F5-SSLO) com Skyhigh SWG
Neste caso de utilização, a autenticação é opcionalmente executada num proxy de desencriptação para tráfego com conhecimento de proxy. Isto permite uma verdadeira autenticação com Kerberos, NTLM, LDAP, SAML, etc., quando suportada pelo proxy de desencriptação. O SCP também fornece uma forma de "autenticar" o tráfego que não é sensível ao proxy. Independentemente da autenticação, o contexto fornecido pelo SCP pode ser utilizado tanto pelo proxy de desencriptação como pelo Skyhigh SWG. O proxy de desencriptação pode verificar os cabeçalhos SWEB fornecidos pelo SCP através de uma chamada de banda lateral para o Skyhigh SWG on-Prem (exemplo de regras apresentado abaixo) e, em seguida, utilizar o contexto nas decisões de ligação e filtragem. Por exemplo, o contexto fornecido pelo SCP pode ser utilizado para decidir se deve permitir a ligação, se deve ou não desencriptar, ou mesmo se deve ser iniciada uma verdadeira autenticação. O proxy de desencriptação também pode simplesmente reencaminhar os cabeçalhos SWEB fornecidos pelo SCP para o SWG, de modo a que o contexto adicionado possa ser utilizado nas regras do SWG. A F5 tem um guia de integração publicado para esta arquitetura.
Caso de uso: Proxy de terceiros como filho do Skyhigh SWG (na nuvem ou no local)
Neste caso de utilização, não há necessidade de desencriptar no primeiro proxy. A autenticação verdadeira pode ainda ser efectuada através do primeiro proxy utilizando a autenticação proxy através de códigos de estado 407. O SCP é capaz de intercetar pedidos HTTP/S directos ou com proxy e fazer pedidos de proxy explícitos a um proxy local da Skyhigh ou de terceiros. A interceção de tráfego já com proxy permite ao SCP funcionar com êxito em "redes seguras" que não têm rota predefinida e/ou os servidores DNS não resolvem endereços externos. O SCP fornece um método para autenticar o tráfego que não está ciente do proxy. Esta arquitetura fornece uma "rampa de acesso" simples ao Skyhigh SSE, permitindo uma funcionalidade muito superior a quaisquer proxies locais que possam estar a ser utilizados atualmente. Além disso, o SCP adiciona uma opção de proxy transparente para Windows e Macs para cobrir aplicativos que não reconhecem proxy e são executados em ambientes de proxy explícito. Tudo o que o proxy filho tem que fazer é "next hop" o tráfego SCP para o SWG Skyhigh (Cloud ou On Prem) com os cabeçalhos SWEB deixados intactos.
Notas adicionais sobre os cabeçalhos SCP SWEB
O SCP fornece todas as informações contextuais através de cabeçalhos SWEB inseridos no pedido CONNECT para transacções HTTPS ou nos pedidos de métodos individuais para transacções HTTP. Os comandos dentro de uma ligação proxy HTTPS aceite NÃO recebem cabeçalhos. Quando o SWG verifica os cabeçalhos SWEB, remove-os por defeito (a desativação da remoção faz parte das definições de autenticação SWPS utilizadas ao avaliar a propriedade Authentication.Authenticate no SWG Skyhigh).
Os cabeçalhos SWEB codificados em base64 gerados pelo SCP são primeiro encriptados com o segredo partilhado do inquilino incluído como parte das políticas SCP geradas no Skyhigh Cloud ou no Trellix ePO. O inquilino é identificado utilizando o cabeçalho de ID de cliente SWEB. Um proxy de terceiros não pode desencriptar os cabeçalhos SWEB e só poderá reencaminhar cabeçalhos fornecidos pelo SCP.
O Skyhigh SWG (quando actua como um proxy de desencriptação) mantém o contexto SWG durante toda a ligação HTTPS. Quando utiliza o Next Hop Proxy para a nuvem Skyhigh SWG a partir do Skyhigh SWG On Prem com a definição Secure Channel activada, alguns cabeçalhos SWEB são sempre adicionados automaticamente. Os cabeçalhos adicionados automaticamente são: CustomerID, Nome de utilizador (Authentication.Username) e Grupos (Authentication.UserGroups). Os cabeçalhos SWEB gerados pelo SWG são encriptados pelo Skyhigh SWG On Prem com as credenciais (Customer ID e Shared Secret) que fazem parte da configuração UCE Hybrid. Se o SCP for utilizado para a ligação direta a qualquer proxy, todos os cabeçalhos SWEB são naturalmente incluídos.
O SCP é mais uma identificação do utilizador do que uma autenticação, uma chamada de sistema reúne o nome de utilizador e os grupos associados ao chamador do processo, a partir do momento do início de sessão, os grupos só serão actuais a partir da última ligação ao diretório do cliente.
Conjunto de regras de exemplo de chamada de banda lateral
Saiba mais
Descubra como a sua organização pode usar o Secure Web Gateway e o Skyhigh Client Proxy para proteger os sistemas e dados dos seus funcionários, ao mesmo tempo que obtém maior visibilidade e controlo mais granular do seu tráfego HTTP e HTTPS.
Voltar aos blogues