ข้ามไปที่เนื้อหาหลัก
กลับไปที่บล็อก

การรักษาความปลอดภัยบนคลาวด์

ข้อได้เปรียบของบริบทพร็อกซีไคลเอ็นต์ Skyhigh

9 กรกฎาคม 2024

โดย Jeff Ebeling - สถาปนิกความปลอดภัยบนคลาวด์ Skyhigh Security

Skyhigh Client Proxy (SCP) เป็นเครื่องมือที่มีค่าอย่างยิ่งที่มีให้สําหรับ Skyhigh ทุกคน Secure Web Gateway (SWG) ลูกค้า ใช้เพื่อรับรองความถูกต้องและเปลี่ยนเส้นทางการรับส่งข้อมูล HTTP/S ไปยัง Skyhigh Secure Web Gateway (SWG On Prem และ/หรือ SWG Cloud) อย่างโปร่งใส นอกเหนือจากการระบุผู้ใช้ที่เรียกกระบวนการส่งคําขอทางเว็บแล้ว SCP ยังให้บริบทเพิ่มเติมที่สามารถใช้เพื่อกรองพร็อกซีและตัดสินใจเชื่อมต่ออย่างชาญฉลาดยิ่งขึ้น! นอกจากนี้ ตามที่อธิบายไว้ในบล็อกทางเทคนิคนี้ SCP สามารถใช้ได้และสามารถรับรู้ประโยชน์ของมันได้ไม่ว่า Skyhigh SWG จะอยู่ที่ใดในห่วงโซ่พร็อกซี

ในการเริ่มต้น โปรดอ่าน คู่มือผลิตภัณฑ์ SCP และโดยเฉพาะอย่างยิ่งส่วนที่อธิบายบริบทที่ให้ไว้ในส่วนหัวของ SCP (ข้อมูลเมตาของ SCP) ส่วนหัวของ SCP ที่ให้มาประกอบด้วย:

  • รหัสลูกค้า
  • ชื่อผู้ใช้ (จากการเข้าสู่ระบบ)
  • กลุ่ม (จากลูกค้า whoami)
  • IP ปลายทางเดิม
  • ชื่อกระบวนการ (ที่ส่งคําขอบนไคลเอนต์)
  • ประมวลผลเส้นทาง EXE
  • ข้อมูลระบบ
  • ติดตั้ง AV?
  • รหัส Crowdstrike
  • เปิด AV?
  • คะแนนโดยรวมของ Crowdstrike
  • AV ถึงวันที่?
  • คะแนน Crowdstrike OS
  • FW สุขภาพดี?
  • การกําหนดค่าเซ็นเซอร์ Crowdstrike
  • ชื่อและเวอร์ชันระบบปฏิบัติการไคลเอ็นต์
  • ภาษาของผู้ใช้
  • เวลาท้องถิ่น
  • ที่อยู่ MAC ของลูกค้า
  • ประมวลผลเวลาขึ้น
  • ชื่อระบบ
  • ผู้ลงนาม exe
  • ชื่อนโยบาย SCP
  • ชื่อผลิตภัณฑ์ Exe
  • รหัส SCP
  • exe MD5 แฮช
  • โปรไฟล์อุปกรณ์ที่ตรงกัน

หมายเหตุเพิ่มเติมเกี่ยวกับส่วนหัวของ SCP (ส่วนหัว SWEB) มีให้ในภายหลังในบล็อกนี้

เห็นได้ชัดว่า SCP ทํางานร่วมกับ Skyhigh SWG ได้อย่างราบรื่น แต่ถ้า Skyhigh SWG (Cloud หรือ On Prem) ต้องทําหน้าที่เป็นพร็อกซีหลักไปยังพร็อกซีของบุคคลที่สามที่ใช้อยู่แล้วในสภาพแวดล้อม หรือหาก Skyhigh SWG ถูกใช้เป็นบริการกรองที่แนบมากับพร็อกซีถอดรหัสของบุคคลที่สาม บทความนี้อธิบายว่า คุณค่าทั้งหมดของ SCP สามารถรับรู้ได้อย่างไรในทุกสภาพแวดล้อมที่มี Skyhigh SWG

ใช้กรณี: ถอดรหัสพร็อกซี (เช่น F5-SSLO) ด้วย Skyhigh SWG

ถอดรหัสพร็อกซี (เช่น F5-SSLO) ด้วย Skyhigh SWG

ในกรณีการใช้งานนี้ การรับรองความถูกต้องจะดําเนินการบนพร็อกซีถอดรหัสลับสําหรับการรับส่งข้อมูลที่รับรู้พร็อกซี สิ่งนี้ช่วยให้สามารถตรวจสอบสิทธิ์ที่แท้จริงด้วย Kerberos, NTLM, LDAP, SAML และอื่น ๆ เมื่อรองรับโดยพร็อกซีถอดรหัส SCP ยังมีวิธีการ "ตรวจสอบสิทธิ์" การรับส่งข้อมูลที่ไม่ทราบพร็อกซี บริบทที่ SCP ให้มาสามารถใช้ได้ทั้งพร็อกซีถอดรหัสและ Skyhigh SWG โดยไม่ขึ้นกับการรับรองความถูกต้อง พร็อกซีถอดรหัสสามารถตรวจสอบส่วนหัว SWEB ที่ SCP ให้มาผ่านการเรียกแถบด้านข้างไปยัง Skyhigh SWG on-Prem (ตัวอย่างกฎที่แสดงด้านล่าง) จากนั้นใช้บริบทในการเชื่อมต่อและการกรองการตัดสินใจ ตัวอย่างเช่นบริบทที่ SCP ให้ไว้สามารถใช้เพื่อตัดสินใจว่าจะอนุญาตการเชื่อมต่อหรือไม่ถอดรหัสหรือไม่หรือแม้ว่าควรเริ่มการรับรองความถูกต้องที่แท้จริง พร็อกซีถอดรหัสยังสามารถส่งต่อส่วนหัว SWEB ที่ SCP ให้มาไปยัง SWG เพื่อให้สามารถใช้บริบทที่เพิ่มเข้ามาในกฎ SWG ได้ F5 มี คู่มือการรวม ที่เผยแพร่สําหรับสถาปัตยกรรมนี้

ใช้กรณี: พร็อกซีของบุคคลที่สามเป็นลูกไปยัง Skyhigh SWG (คลาวด์หรือในองค์กร)

พร็อกซีของบุคคลที่สามในฐานะเด็กของ Skyhigh SWG (คลาวด์หรือในองค์กร)

ในกรณีการใช้งานนี้ไม่จําเป็นต้องถอดรหัสที่พร็อกซีแรก การยืนยันตัวตนที่แท้จริงยังคงสามารถทําได้ผ่านพร็อกซีแรกโดยใช้การตรวจสอบพร็อกซีผ่านรหัสสถานะ 407 SCP สามารถสกัดกั้นคําขอโดยตรงหรือพร็อกซี HTTP/S และส่งคําขอพร็อกซีที่ชัดเจนไปยัง Skyhigh ในพื้นที่หรือพร็อกซีของบุคคลที่สาม การสกัดกั้นการรับส่งข้อมูลพร็อกซี่แล้วช่วยให้ SCP สามารถทํางานใน "เครือข่ายที่ปลอดภัย" ที่ไม่มีเส้นทางเริ่มต้นได้สําเร็จ และ/หรือเซิร์ฟเวอร์ DNS ไม่สามารถแก้ไขที่อยู่ภายนอกได้ SCP มีวิธีการตรวจสอบการรับส่งข้อมูลที่ไม่ทราบพร็อกซี สถาปัตยกรรมนี้ให้ "ทางลาด" ที่เรียบง่ายสําหรับ Skyhigh SSE ทําให้มีฟังก์ชันการทํางานที่เหนือกว่าพร็อกซีในพื้นที่ที่อาจใช้งานอยู่ในปัจจุบัน นอกจากนี้ SCP ยังเพิ่มตัวเลือกพร็อกซีแบบโปร่งใสสําหรับ Windows และ Mac เพื่อให้ครอบคลุมแอปพลิเคชันที่ไม่ทราบพร็อกซีและกําลังทํางานในสภาพแวดล้อมพร็อกซีที่ชัดเจน สิ่งที่พร็อกซีลูกต้องทําคือ "กระโดดต่อไป" การรับส่งข้อมูล SCP ไปยัง Skyhigh SWG (Cloud หรือ On Prem) โดยที่ส่วนหัว SWEB ไม่เสียหาย

หมายเหตุเพิ่มเติมเกี่ยวกับส่วนหัวของ SCP SWEB

SCP ให้ข้อมูลตามบริบททั้งหมดผ่านส่วนหัว SWEB ที่แทรกลงในคําขอ CONNECT สําหรับธุรกรรม HTTPS หรือคําขอวิธีการแต่ละรายการสําหรับธุรกรรม HTTP คําสั่งภายในการเชื่อมต่อพร็อกซี HTTPS ที่ยอมรับจะไม่ได้รับส่วนหัว เมื่อ SWG ตรวจสอบส่วนหัว SWEB ส่วนหัวจะลบออกตามค่าเริ่มต้น (การปิดใช้งานการลบเป็นส่วนหนึ่งของการตั้งค่าการตรวจสอบสิทธิ์ SWPS ที่ใช้เมื่อประเมินคุณสมบัติ Authentication.Authenticate ใน Skyhigh SWG)

ส่วนหัวของ SCP SWEB

ส่วนหัว SWEB ที่เข้ารหัส Base64 ที่สร้างโดย SCP จะถูกเข้ารหัสครั้งแรกด้วยข้อมูลลับที่ใช้ร่วมกันของผู้เช่าซึ่งรวมอยู่ในนโยบาย SCP ที่สร้างขึ้นใน Skyhigh Cloud หรือ Trellix ePO ผู้เช่าจะถูกระบุโดยใช้ส่วนหัวรหัสลูกค้า SWEB พร็อกซีของบุคคลที่สามไม่สามารถถอดรหัสส่วนหัวของ SWEB ได้ และจะสามารถส่งต่อส่วนหัวที่ SCP ให้มาเท่านั้น

Skyhigh SWG (เมื่อทําหน้าที่เป็นพร็อกซีถอดรหัส) ยังคงบริบท SWG ตลอดการเชื่อมต่อ HTTPS เมื่อใช้ Next Hop Proxy ไปยัง Skyhigh SWG cloud จาก Skyhigh SWG On Prem โดยเปิดใช้งานการตั้งค่า Secure Channel ส่วนหัว SWEB บางตัวจะถูกเพิ่มโดยอัตโนมัติเสมอ ส่วนหัวที่เพิ่มโดยอัตโนมัติคือ: CustomerID, ชื่อผู้ใช้ (Authentication.Username) และกลุ่ม (Authentication.UserGroups) ส่วนหัว SWEB ที่สร้างโดย SWG จะถูกเข้ารหัสโดย Skyhigh SWG On Prem ด้วยข้อมูลประจําตัว (รหัสลูกค้าและข้อมูลลับที่ใช้ร่วมกัน) ซึ่งเป็นส่วนหนึ่งของการกําหนดค่า UCE Hybrid หากใช้ SCP สําหรับการเชื่อมต่อโดยตรงกับพร็อกซีใด ๆ ส่วนหัว SWEB ทั้งหมดจะถูกรวมไว้ตามธรรมชาติ

SCP คือการระบุผู้ใช้มากกว่าการรับรองความถูกต้องการเรียกระบบจะรวบรวมชื่อผู้ใช้และกลุ่มที่เกี่ยวข้องกับผู้โทรกระบวนการตั้งแต่เวลาที่เข้าสู่ระบบกลุ่มจะเป็นปัจจุบันเท่านั้น ณ การเชื่อมต่อไดเรกทอรีไคลเอ็นต์ครั้งล่าสุด

ชุดกฎตัวอย่างการเรียกแถบด้านข้าง

ชุดกฎตัวอย่างการเรียกแถบด้านข้าง

ศึกษาเพิ่มเติม

ค้นพบว่าองค์กรของคุณสามารถใช้ได้อย่างไร Secure Web Gateway และ Skyhigh Client Proxy เพื่อปกป้องระบบและข้อมูลของพนักงานของคุณในขณะที่ได้รับการมองเห็นที่ดีขึ้นและการควบคุมการรับส่งข้อมูล HTTP และ HTTPS ของคุณอย่างละเอียดยิ่งขึ้น

กลับไปที่บล็อก

เนื้อหาที่เกี่ยวข้อง

ภาพขนาดย่อของข่าว
การรักษาความปลอดภัยบนคลาวด์

Skyhigh AI: การรักษาความปลอดภัยบนคลาวด์อัจฉริยะสําหรับองค์กรสมัยใหม่

โลลิตา จันทรา - 4 กันยายน 2024

ภาพขนาดย่อของข่าว
มุมมองอุตสาหกรรม

SD-WAN: การรักษาความปลอดภัยที่ตั้งสาขา

Shubham Jena - สิงหาคม 10, 2024

บล็อกล่าสุด

การรักษาความปลอดภัยบนคลาวด์

Skyhigh AI: การรักษาความปลอดภัยบนคลาวด์อัจฉริยะสําหรับองค์กรสมัยใหม่

โลลิตา จันทรา - 4 กันยายน 2024

มุมมองอุตสาหกรรม

SD-WAN: การรักษาความปลอดภัยที่ตั้งสาขา

Shubham Jena - สิงหาคม 10, 2024

การรักษาความปลอดภัยบนคลาวด์

ข้อได้เปรียบของบริบทพร็อกซีไคลเอ็นต์ Skyhigh

Jeff Ebeling - 9 กรกฎาคม 2024