網(wǎng)絡(luò )攻擊與互聯(lián)網(wǎng)采用了相同的方式�����,利用域名系統(DNS)來(lái)分布惡意軟件���、控制僵尸網(wǎng)絡(luò )和收集登錄信息����。隨著(zhù)云計算服務(wù)�、BYOD和遠程辦公的增加��,攻擊面已經(jīng)超越了傳統的企業(yè)網(wǎng)絡(luò )邊界���。
這種設備和網(wǎng)絡(luò )的多樣性創(chuàng )造了一個(gè)環(huán)境�,企業(yè)必須容納在任何地方漫游的任何設備�。然而�,現在的安全平臺無(wú)法應對這樣的情況���。這催生了新的網(wǎng)絡(luò )安全平臺:安全云網(wǎng)關(guān)(Secure Cloud Gateway���,SCG)����,安全云網(wǎng)關(guān)利用基于DNS的基礎來(lái)提供更***的安全性��、提高覆蓋范圍和更深層次的可視性���。
合法的網(wǎng)頁(yè)瀏覽只會(huì )發(fā)生在兩個(gè)協(xié)議(端口)對:HTTP(80)和H TTPS(443)��。而惡意軟件偶爾會(huì )通過(guò)非標準端口來(lái)***設備�����,僵尸網(wǎng)絡(luò )通常使用非web協(xié)議來(lái)攻擊網(wǎng)絡(luò )和竊取數據��。安全云網(wǎng)關(guān)利用DNS來(lái)保護所有端口��、協(xié)議和應用程序���。
’現在�,威脅是的��,但攻擊目標無(wú)處不在��。個(gè)人設備越來(lái)越多地連接到企業(yè)網(wǎng)絡(luò )���,而員工經(jīng)常將包含敏感數據的企業(yè)設備帶到安全邊界之外�����。通過(guò)利用DNS��,安全云網(wǎng)關(guān)可以為設備提供安全保障����,無(wú)論這些設備在什么位置���。
網(wǎng)絡(luò )威脅的外觀(guān)和行為變化無(wú)常�����,不過(guò)��,他們通常是源自限定數量的互聯(lián)網(wǎng)主機����,有些網(wǎng)絡(luò )攻擊還通常共用相同的犯罪基礎設施���。為了獲取準確的安全情報�����,安全云網(wǎng)關(guān)使用DNS基礎設施和Anycast路由技術(shù)來(lái)跨互聯(lián)網(wǎng)映射每個(gè)連接請求��。
雖然絕大多數web域名可以被歸為安全或者惡意�����,但有些互聯(lián)網(wǎng)主機很難分類(lèi)�����。這是因為它們同時(shí)包含安全和惡意web內容���,或者它們的互聯(lián)網(wǎng)來(lái)源很可疑�����。然而��,對每個(gè)web連接進(jìn)行深度檢查會(huì )***降低性能�����。此外����,重定向每個(gè)web連接會(huì )降低可管理性����。安全云網(wǎng)關(guān)可以識別高風(fēng)險或可疑域名���,并利用DNS重定向來(lái)路由它們進(jìn)行更深度檢查��。
與安全Web網(wǎng)關(guān)(SWG)設備或者通過(guò)代理發(fā)送web連接的服務(wù)不同����,安全云網(wǎng)關(guān)只會(huì )路由可疑web連接進(jìn)行深度檢查�����。這種概念被稱(chēng)為智能代理�,下面是它的工作原理��。
情境1:一名員工試圖訪(fǎng)問(wèn)站點(diǎn)#1�����,安全云網(wǎng)關(guān)已經(jīng)確定該站點(diǎn)是惡意的����,根據對該主機的風(fēng)險評分����。也許這個(gè)域名與已知用于犯罪攻擊的基礎設施有關(guān)�����,或者該域名總是在其他惡意主機請求后被請求����。安全云網(wǎng)關(guān)將該IP地址返回到其***頁(yè)面�,而不是惡意域名�,從而保護該企業(yè)的網(wǎng)絡(luò )和數據��。
情境2:?jiǎn)T工試圖訪(fǎng)問(wèn)站點(diǎn)#2�����,安全云網(wǎng)關(guān)持續分析該站點(diǎn)內容主機的互聯(lián)網(wǎng)來(lái)源—從空間(例如地理�、網(wǎng)絡(luò ))和時(shí)間(例如請求量�����、共同出現率)���?��;谝阎獢祿退惴L(fēng)險預測�����,安全云網(wǎng)關(guān)確定站點(diǎn)#2域名風(fēng)險很低��,便會(huì )將IP地址直接連接到該站點(diǎn)的主機���。員工在訪(fǎng)問(wèn)該站點(diǎn)時(shí)�����,不會(huì )遇到任何延遲或者干擾���。
情境3:?jiǎn)T工試圖訪(fǎng)問(wèn)站點(diǎn)#3��,安全云網(wǎng)關(guān)已經(jīng)確定該站點(diǎn)的內容主機是高風(fēng)險����,并將該IP地址返回到其代理服務(wù)器����。代理服務(wù)器提供更深度的檢查�����,包括檢查互聯(lián)網(wǎng)來(lái)源��、域名和IP地址����。在這些檢查后�,如果內容被認為是安全的��,將會(huì )被發(fā)送到瀏覽器�����,連接員工到該域名�。如果內容是惡意的���,安全云網(wǎng)關(guān)發(fā)回阻止訪(fǎng)問(wèn)頁(yè)面��,員工被阻止訪(fǎng)問(wèn)該惡意域名�����。
集成情報與執行 有效的安全性同時(shí)需要情報和執行來(lái)抵御***威脅和的攻擊��。沒(méi)有即時(shí)執行的情報將無(wú)法阻止惡意軟件或抵御僵尸網(wǎng)絡(luò )�。與此同時(shí)�,沒(méi)有預測性情報的執行也無(wú)法阻止相當復雜的攻擊���。安全云網(wǎng)關(guān)以新的方式整合了情報和執行�。
可操作的情報需要相當大的覆蓋范圍和可視性�����。安全云網(wǎng)關(guān)使用DNS基礎設施��,可以收集巨量的數據����,這足以預測新興互聯(lián)網(wǎng)的互聯(lián)網(wǎng)來(lái)源���,即使二進(jìn)制文件或者漏洞利用是未知的�����。這些收集的數據能夠反映所有設備的使用模型�,無(wú)論這些設備的位置�、所有者類(lèi)型�,無(wú)論通過(guò)什么端口或協(xié)議�����。 與此同時(shí)��,執行需要具有相當大廣度和深度的安全技術(shù)�。使用遞歸DNS��,安全云網(wǎng)關(guān)可以跨65535個(gè)網(wǎng)絡(luò )端口和無(wú)線(xiàn)數量的協(xié)議及應用程序對流量執行安全政策���。
為了提供***威脅保護�,安全云網(wǎng)關(guān)重定向高風(fēng)險web請求到其智能代理(Intelligent Proxy)��,以執行更深的檢查來(lái)檢測和阻止隱藏在web會(huì )話(huà)中的惡意內容�。
不是使用傳統代理服務(wù)器或者內線(xiàn)架構���,安全云網(wǎng)關(guān)采用了基于云計算的基礎設施��,整合多個(gè)安全執行技術(shù)與互聯(lián)網(wǎng)規模的威脅情報收集功能���,這使安全云網(wǎng)關(guān)能夠應對不斷變化的攻擊和新出現的威脅���,而不需要**性能和可管理性�����。
