SASE安全体系结构包括PoP实例、边缘、安全性即服务、威胁检测和响应管理(MDR )等组件。
1.PoP实例-业务处理引擎1.PoP结构核心云网络由地理分布的PoPs (点服务)组成,其中每个pop执行多个处理服务器。 每个PoP运行专门构建的软件堆栈,并为所有通信应用路由、加密、优化和高级安全服务。 PoP由运行同一软件堆栈的多个强大的现有服务器(commodity off the shelf servers,COTS )组成。
2.PoP的可扩展性和灵活性PoPs的设计是为了处理大量的流量。 您可以通过将服务器实例添加到同一PoP (垂直扩展)或在新位置添加PoP (水平扩展)来扩展处理能力。 因为云平台维护基础设施,所以客户不需要调整网络安全环境。 确保所有许可的内容都由所有许可的安全服务器的PoP处理,即使已加密。
如果PoP服务实例失效,受影响的边缘将自动重新连接到同一PoP的可用服务。 如果一个PoP完全禁用,受影响的边将连接到最近的可用PoP。 无论企业资源连接到哪个PoP,云都将维护一致的逻辑企业网络,并确保适当级别的可用性和灵活性。
3 .内置pop的DDoS PoPs设计在处理大流量的同时。 借助灵活性,云可以适应客户的发展,并抵御各种类型的洪水攻击。 为了减少攻击面,只有身份验证站点和移动用户才能将流量连接到主干网并发送。 PoP外部IP地址受特定的DDoS措施保护,包括SYN cookie机制和速率控制机制。 云平台有一组IP,部分用于自动将目标站点和移动用户重新分配到未受影响的地址。
4.PoP全连接加密所有PoP通过完全加密的隧道相互连接。 加密算法是AES-256,它使用有限的对称密钥(每个PoP实例)。 钥匙每60分钟变化一次,减少曝光。
5 .深度包检测PoP软件包括深度包检测(DPI )引擎,以网速处理大量流量,包括报头和有效载荷。 DPI引擎用于各种安全服务,包括NGFW防恶意软件、IDS/IPS和网络控制(SD-WAN )。
DPI引擎会自动识别第一个数据包中数千个APP应用程序和数百万个域名。 该健壮库通过第三方网站分类引擎和机器学习算法得到了丰富,所有挖掘大量数据仓库并创建元数据的流量贯穿整个云。 客户还可以通过云平台工程师配置定制APP应用程序或策略。
6.TLS检测PoP可在TLS加密通信流上针对高级威胁保护服务(如反恶意软件和IDPS )执行DPI。 TLS检查是必不可少的。 因为现在所有的互联网流量大部分都是加密的,恶意软件使用加密来逃避检测。 启用TLS检查后,将对加密的通信进行解密和检查。 所有操作都在PoP上进行,因此没有性能限制。 要解密,客户必须在网络上安装云平台证书。 客户可以创建有选择地应用TLS检测通信子集的规则。 例如,为了法规遵从性,从过滤分组的APP应用、服务区、类别、受信任的APP中排除或解码分组,所有NGFW流量、URL过滤
2 .云端边缘1 .连接套接字和设备客户通过加密通道连接云端。 隧道可以用各种方法制作。 插座是部署在物理位置的零触摸设备。 为了获得最佳的安全性和效率,套接字通过DTLS隧道动态连接到最近的PoP。 如果隧道由于PoP故障而断开,套接字将重新连接到最近的可用PoP。 或者,客户可以使用支持IPsec或GRE的设备(如UTMs或防火墙)连接到最近的PoP。
插座保护措施:
管理访问管理员首次登录,阻止外部通信流量,允许只有经过身份验证的流量通过HTTPS或SSH连接到内部接口,并强制重置密码以加密所有通信,但不保存包中的数据加密认证(数字签名包)安全分发更新2 .笔记本电脑、移动设备客户端云平台客户端可访问PC、平板电脑、智能手机、Windows、Mac、iOS、Windows 其他VPN客户端也受支持。
可以通过与Active Directory集成或管理APP中的用户配置来启动移动用户登录面板。 用户通过电子邮件被邀请注册到云。 用户利用专用门户通过几个步骤为自己服务。
用户身份验证可以通过多种方式进行。
用户名和密码多因素身份验证(MFA )单点登录(SSO )三方。 安全即服务是一组企业级敏捷的网络安全功能,作为紧密集成的软件堆栈的一部分直接构建在云网络中。 目前的服务包括新一代防火墙(NGFW )、安全Web网关(SWG )、高级威胁预防、安全分析和管理威胁检测)服务。 云平台控制代码,因此可以在不影响客户环境的情况下快速部署新服务。 客户可以根据需要启用服务,并配置为执行公司战略。
1 .新一代防火墙1 )支持APP应用
无论端口、协议、避免技术还是SSL加密,NGFW都可以提供完全的APP应用程序感知。 如果第一个包没有SSL检查,则与DPI引擎分类相关的上下文(如APP仲裁或服务)。 相关信息从网络元数据中提取。 CTO实验室不断丰富APP应用库,拓展覆盖面。
对于网络和安全监控,可以在整个Cato中使用DPI点
类的上下文;对“影子IT”识别和其他趋势的网络可视化;或者用于像强制执行阻塞/允许/监视/提示规则这类的强制执行。平台提供了一个签名和解析器的完整列表,用于识别常见的应用程序。此外,自定义应用程序定义根据端口、IP地址或域标识特定于帐户的应用程序,这两类应用程序定义可供运行在云中的安全规则使用。
2)用户感知
平台使管理员能够创建上下文安全策略,方法是基于单个用户、组或角色定义和启用对资源的访问控制。此外,平台的内置分析可以被网站、用户、组或应用程序查看,以分析用户活动、安全事件和网络使用情况。
Lan划分
VLANs
Routed Range(通过路由器连接到套接口)
Direct Range(直接到套接口的LAN段,不通过路由器)
根据定义,不同的段之间不允许流量通信,允许这样的连接需要创建局部划分规则,由平台socket执行,或者创建WAN。防火墙规则,由云在完全检查流量的情况下执行。
3)WAN流量保护
利用WAN防火墙,安全管理员可以允许或阻止组织实体(如站点、用户、主机、子网等)之间的通信。默认情况下,平台的广域网络防火墙遵循一种白名单方法,有一个隐式的任意块规则。管理员可以采用这种方法,也可以切换到黑名单方式。
4)Internet流量保护
通过使用Internet防火墙,安全管理员可以为各种应用程序、服务和网站设置允许或阻止网络实体(如站点、个人用户、子网等)之间的规则。默认情况下,平台的Internet防火墙遵循黑名单方法,有一个隐式的any-any permit规则。因此,要阻止访问,必须定义显式阻止一个或多个网络实体到应用程序的连接规则。管理员可以在必要时切换到白名单方式。
2.安全Web网关SWG允许客户根据预定义和/或自定义的类别监视、控制和阻止对网站的访问。云在对特定可配置类别的每个访问上创建安全事件的审计跟踪。管理员可以根据URL类别配置访问规则。
3.URL分类与过滤规则即来即用,平台提供了一个预定义策略的几十种不同的URL类别,包括安全类别、疑似垃圾邮件和恶意软件。作为默认策略的一部分,每个类别设置一个可定制的默认行为。使管理员能够创建自己的类别和使用自定义规则,提高网络访问控制的细粒度。
4.URL过滤操作每一类URL过滤规则都可进行以下操作:
允许阻断监控提示 5.反恶意软件作为先进的威胁防护的一部分,平台提供了一系列优质服务。其中之一是反恶意软件保护。客户可以使用这项服务来检查广域网和互联网流量中的恶意软件。反恶意软件的处理包括:
1)深度包检测
对流量有效载荷的深度包检查,用于普通和加密的流量(如果启用)。文件对象从流量流中提取,检查,并在适当的时候阻塞。
2)真实文件类型检测
用于识别通过网络传输的文件的真实类型,而不考虑它的文件扩展名或内容类型头(在HTTP/S传输的情况下)。平台使用此功能来检测所有潜在的高风险文件类型,预防了由攻击者或错误配置导致的Web应用程序技术被绕过。IPS也使用这个引擎,它在流分析期间提供了更多的上下文,并且是检测恶意网络行为的关键因素。
3)恶意软件检测与预测
首先,基于签名和启发式的检查引擎,根据全球最新威胁情报数据库随时保持更新,扫描传输中的文件,以确保对已知的恶意软件的有效保护。
其次,与行业领导者SentinalOne合作,利用机器学习和人工智能来识别和阻止未知的恶意软件。未知的恶意软件包括0day,或更为常见的目的是逃避基于签名检查引擎的已知威胁的多态变种。有了签名和基于机器学习的保护,客户数据具备隐私保护,因为平台不与基于云的存储库共享任何东西。
此外,客户有能力配置反恶意软件服务,或者监测或者阻止,为特定的文件在一段时间的设置例外,也可以实现。
6.IPS入侵防御系统(IPS)检查入站和出站、广域网和互联网流量,包括SSL流量。IPS可以在监视模式(IDS)下运行,而不执行阻塞操作。在IDS模式下,将评估所有流量并生成安全事件。IPS有多层保护组成。
1)IPS保护引擎组件
行为特征
IPS会寻找偏离正常或预期行为的系统或用户。通过在多个网络使用大数据分析和深度流量可视化来确定正常行为。例如,发出到一个包含可疑TLD的未知URL的HTTP连接。经过研究室分析后,这类流量可能是恶意流量。
名誉反馈(Reputaion Feeds)
利用内部和外部的情报反馈,IPS可以检测或防止受威胁或恶意资源的入站或出站通信。Cato研究室分析许多不同的反馈,针对云中的流量进行验证,并在将它们应用于客户生产流量之前对它们进行过滤以减少误报。反馈每小时更新一次,不需要用户担心。
协议批准
验证包与协议的一致性,减少使用异常流量的攻击面。
已知漏洞
IPS可以防止已知的CVE,并可以快速适应,将新的漏洞合并到IPS的DPI引擎中。这种能力的一个例子是IPS能够阻止利用永恒之蓝漏洞在组织内广泛传播勒索软件。
恶意软件通讯
基于名誉反馈和网络行为分析,可以阻止C&C服务器的出站流量。
定位
IPS执行客户特定的地理保护政策,根据源和/或目的地国家选择性地停止通信。
网络行为分析
能检测并防止南北向网络扫描。
平台中IPS的一个独有特点是,它是作为一种服务提供的,不需要客户的参与。研究室负责更新、优化和维护内部开发的IPS签名(基于对客户流量的大数据收集和分析),以及来自外部的安全反馈。平台支持签名流程,因此客户不必平衡防护和性能,以避免在处理负载超过可用容量时进行意外升级。
7.安全事件API平台持续收集网络和安全事件数据,用于故障排除和事件分析。一年的数据被默认保存,管理员可以通过Cato管理应用程序访问和查看这些数据。允许客户导出事件日志文件(JSON或CEF格式),以便与SIEM系统集成或存储在远程位置。日志文件存储在安全的位置,每个帐户与其他帐户相互独立。
四.威胁检测与响应管理MDR使企业能够将检测受危害端点的资源集中度和技术依赖性过程交给平台SOC团队。平台无缝地将完整的MDR服务应用于客户网络。自动收集和分析所有的网络流量,验证可疑活动,并向客户通知被破坏的端点。这就是网络和安全聚合的力量,简化了各种规模企业的网络保护。
MDR服务能力1)零痕迹网络可视化
为每个Internet和WAN流量初始化收集完整的元数据,包括原始客户端、时间轴和目的地址。所有这些都不需要部署网络探测器。
2)自动化威胁狩猎
高级算法寻找流数据仓库中的异常,并将它们与威胁情报来源相关联。这个机器学习驱动的过程会产生少量可疑事件,以供进一步分析。
3)专家级威胁验证
随着时间的推移,Cato安全研究员检查标记的端点和流量,并评估风险。SOC只对实际威胁发出警报。
4)威胁容器
通过配置客户网络策略来阻止C&C域名和IP地址,或断开受威胁的计算机或用户与网络的连接,可以自动包含已验证的实时威胁。
5)整改协助
SOC将建议风险的威胁级别、补救措施和威胁跟踪,直到威胁消除为止。
6)报告与溯源
每个月,SOC将发布一份自定义报告,总结所有检测到的威胁、它们的描述和风险级别,以及受影响的端点。
平台的安全即服务使各种规模的组织都可以在任意地方应用企业级通信流量。数据中心、分支机构、移动用户和云资源可以在统一的策略下以相同的防御设置进行保护。作为一种云服务,无缝地优化和调整安全控制,以应对新出现的威胁,而不需要客户的参与。与基于应用程序的安全性相关的传统工作,例如容量规划、规模调整、升级和补丁,不再需要,从而将这种责任从安全团队中剥离出来。