为了主动应对并控制员工对公共互联网的访问,以及检测和阻止恶意软件、勒索软件以及钓鱼攻击等恶意内容,已经有越来越多的企业开始部署安全Web网关(SWG)。
最初的SWG主要以物理或虚拟装置的形式部署在企业数据中心内,由于大部分员工都在线下(公司设施内部)工作并已经连接到企业网络,因此可以通过非常简单直观的方式将互联网流量发送给此类装置。如果需要远程办公,员工可以使用虚拟专用网络(VPN)将互联网流量回传到数据中心,以应用企业需要的安全控制。
不过,在"新常态"的当下,情况不同了......
一个全新的(安全)世界
今时不同往日。诚然,一些企业出于合规方面的考虑,依然需要将安全设备部署在本地环境中。然而至今依然在使用本地安全Web网关的企业数量正在飞速减少,大部分企业已经开始转为使用基于云的安全Web网关。
此外,以前使用本地安全设备的时候,员工的工作其实是和分配给自己的公司电脑密切绑定的。但现在,很多企业选择了一种支持采用任何设备在任何地方完成工作的完全远程或混合办公模式。
基于云的安全Web网关
通过云平台交付的SWG解决了本地设备固有的一些问题,例如可扩展性和持续的设备管理与维护,并为全新工作模式提供了所需的灵活性。
然而无论员工身处何地或使用任何设备,都需要为他们提供一致的安全保障,这种目标也造成了新的挑战,更具体来说,这些挑战主要在于与SWG有关的上行流量。
本文(以及同一系列的下一篇文章)将探讨:在评估各类SWG解决方案时,为何需要着重考虑能否通过各种方式将上行流量传入基于云的SWG,以及这种能力的重要性。
基于DNS的保护:DNS重定向和DNS转发
为了帮助大家尽可能充分地理解,首先让我们一起看看DNS重定向和DNS转发,毕竟这是保护互联网流量最快速、简单的方法。这种方式通常更多会与DNS防火墙解决方案(而非SWG)配合使用,并且这种方法能提供很多优势。
简单来说,DNS防火墙会检查组织中员工发出的每个DNS请求,并将请求的内容与一个已知的恶意域名列表进行对比。防火墙会阻止对恶意域名的访问,并允许对安全域名的访问。此外,这种防火墙还可以识别并阻止被攻陷设备与命令和控制(C2)服务器之间的流量,甚至可以检测DNS渗透。
通过将流量重定向或转发到云端防火墙,所有这些安全收益都可以在几分钟内顺利实现。如果进行重定向,企业只需要对现有的递归DNS服务中快速修改一个设置,即可将流量发送给防火墙。
另一种方法是部署DNS代理,这种方式主要会部署一种虚拟设备,并配置该设备将DNS流量转发给云端防火墙。使用代理还能获得一个额外的好处:可以识别发出请求的设备,从而进行有针对性地补救。
选择性代理的好处
DNS重定向和转发还可以与选择性代理(Selective proxy)一起使用,进而获得更深入的洞察力并对互联网流量进行更细化的控制。使用选择性代理的情况下,除了可以阻止或允许DNS流量,还可以在威胁列表中将特定域名标记为有风险的。当有请求希望访问有风险的域名时,防火墙会返回云代理的IP地址,随后设备可与代理建立连接。
然后,代理可以检查设备希望访问的URL,借此判断内容是安全的还是恶意的,这在某些情况下可以提供额外的保护,例如某个域名下可能同时存在安全和恶意的内容。使用选择性代理方法一个最重要的好处在于:可以阻止有风险的内容,但同时也能将代理破坏应用程序的风险降至最低。
为任何位置的客户端提供保护
众所周知,当今的员工已经不再只通过一个固定位置工作,而是可以在任何能访问网络的地方工作:例如在家里的书房通过Wi-Fi连接网络,或在家附近的咖啡馆里,甚至会在任何地方通过蜂窝网络建立连接。
为了保护这些设备并应用必要的安全控制,企业需要在设备上部署客户端软件。软件保证了无论设备通过何种方式连接到互联网,互联网流量均可路由至云端的安全Web网关。客户端软件的另一个优势在于,可以借此识别发出请求的不同设备。
这类客户端软件通常可用于台式机和笔记本电脑的操作系统,同时也应该能支持移动设备的操作系统;应该能提供基于DNS的保护、选择性代理保护,以及完整的代理保护。
将所有Web流量发送给SWG
如果需要进一步提高安全性,还可将所有HTTP与HTTPS流量发送给云端SWG。此时一种常见做法是使用Internet Protocol Security(IPsec)隧道将Web流量引导至SWG以供扫描。
但这需要配置本地基础设施(例如防火墙或SD-WAN控制器),这样才能以最优化且安全的方式将流量从分支位置传输至总部的SWG。IPSec的另一个好处在于,所有Web流量都会被加密,这也进一步保护了内部IP地址等私密信息。
HTTP/S流量转发
除了配置IPsec隧道,我们还可以在本地部署HTTP/S代理,通常这种代理是以虚拟机的形式部署的。这样的代理可以将所有HTTP和HTTPS流量通过TLS加密隧道转发至云端SWG,优势之一在于可以部署多个转发器,借此对大规模流量实现负载均衡,从而改善可扩展性。此外这种方式还有助于提高服务的可靠性。
HTTP/S流量转发还能简化从本地SWG的过渡,因为这种转发器可以看作本地安全设备的替代品。一旦过渡到基于云的SWG并确认一切都能正常工作,即可剔除转发器,直接通过IPSec处理所有流量。
代理链
如上文所述,基于云的SWG是最主要的部署方法,然而对于依然在本地使用安全设备,但希望迁移到云端安全设备的企业来说,切换过程本身就是一个巨大的挑战。
为简化迁移过程,企业可以通过代理链(Proxy chaining)配置现有安全设备,使其将HTTP和HTTPS流量转发至云服务。借此企业可以充分测试新服务,当确保一切都能如期工作时,即可移除本地设备,并激活IPsec或HTTP/S流量转发。
选择适合的形式和方法
在了解了将流量陆续转移至云端SWG的不同方法后,大家很可能会问:企业是否需要选择一种特定的方法?根据具体用例和所需的保护程度来选择适合的方法是否能获得更多收益?
一个用例
让我们以Acme Manufacturing为例来回答这些问题。Acme在全球范围内有上万名员工,在芝加哥和伦敦设立了大型总部,此外还有数十个分支办公室以及四个大型制造厂。只要工作角色允许,Acme的员工现在都会远程办公。此外,虽然Acme已经开始转向云计算,但他们的总部依然运行了自己的数据中心。
对于这家制造业公司来说,某一种具体的方法是无法满足所有需求的。下表根据不同用例列出了Acme选择的不同方法,并介绍了每种方法所能提供的保护程度。
| 用例 | 流量转发方法 | 提供的安全保护 |
|---|---|---|
| 总部和工厂 | HTTP转发器 | 完整检查并控制员工的所有HTTP和HTTPS流量 |
| 分支位置 | IPsec隧道(通常通过SD-WAN的集成) | 完整检查并控制员工的所有HTTP和HTTPS流量 |
| 来宾Wi-Fi | DNS重定向 | 为访客提供基于DNS的简单保护 |
| 数据中心 | DNS转发 | 为服务器流量提供基于DNS的"城墙" |
| 远程员工 | 客户端软件 | 选择性或完整的代理保护 |
根据用例选择适合的方法,每种方法提供了不同的流量转发方式和保护程度
总结
鉴于工作方式不断变化,每个企业需要支持的用例多种多样,因此通过多种方法将流量转向云端安全Web网关是一种非常重要的能力。为实现所需安全程度,很多企业会同时使用多种方法。
Akamai Secure Internet Access Enterprise是一种基于云的SWG,可支持多种流量传输方式,从而最大限度实现部署灵活性。在这一系列的下篇文章中,我们将探讨SD-WAN如何通过集成能力,利用Akamai的映射,将流量自动路由至距离用户最近的Secure Internet Access Enterprise接入点,从而实现最优化的性能。