CN114531263A - 网络与安全服务的安全功能之间的流元数据交换 - Google Patents
网络与安全服务的安全功能之间的流元数据交换 Download PDFInfo
- Publication number
- CN114531263A CN114531263A CN202110871478.1A CN202110871478A CN114531263A CN 114531263 A CN114531263 A CN 114531263A CN 202110871478 A CN202110871478 A CN 202110871478A CN 114531263 A CN114531263 A CN 114531263A
- Authority
- CN
- China
- Prior art keywords
- flow
- security
- meta
- wan
- security service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/036—Updating the topology between route computation elements, e.g. between OpenFlow controllers
- H04L45/037—Routes obligatorily traversing service-related nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了提供网络与安全服务的安全功能之间的流元数据交换的技术。在一些实施例中,用于提供网络与安全服务的安全功能之间的流元数据交换的系统/过程/计算机程序产品包括:在安全服务的网络网关处从软件定义的广域网(SD‑WAN)设备接收流;检查流以确定与流相关联的元信息;以及将与流相关联的元信息传送给SD‑WAN设备。
Description
背景技术
防火墙通常保护网络免受未授权访问,同时准许授权的通信通过防火墙。防火墙通常是设备或设备的集合、或者是在诸如计算机之类的设备上执行的软件,其提供用于网络访问的防火墙功能。例如,防火墙可以集成到设备(例如,计算机、智能电话或其他类型的能够进行网络通信的设备)的操作系统中。防火墙还可以集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据装置(例如,安全装置或其他类型的专用设备)中或作为其上的软件被执行。
防火墙通常基于规则的集合拒绝或准许网络传输。这些规则的集合通常被称为策略。例如,防火墙可以通过应用规则或策略的集合来过滤入站流量。防火墙还可以通过应用规则或策略的集合来过滤出站流量。防火墙还可以能够执行基本路由功能。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1A-1B是根据一些实施例的包括示例SD-WAN架构和安全服务的系统环境图。
图2是图示根据一些实施例的提供网络与安全服务的安全功能之间的流元数据交换的示例部件的系统图。
图3是图示根据一些实施例的用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的示例部件的系统图。
图4A图示了根据一些实施例的网络网关的实施例。
图4B是数据装置的实施例的逻辑部件的功能图。
图5是图示根据一些实施例的提供网络与安全服务的安全功能之间的流元数据交换的过程的流程图。
图6是图示根据一些实施例的用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的过程的流程图。
图7是图示根据一些实施例的用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的过程的另一流程图。
具体实施方式
本发明可以以多种方式来实现,包括被实现为过程;装置;系统;物质的组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实施方式或本发明可以采用的任何其他形式可以被称为技术。通常,所公开的过程的步骤的顺序可以在本发明的范围内更改。除非另有说明,否则被描述为被配置成执行任务的诸如处理器或存储器之类的部件可以被实现为被临时配置成在给定时间执行该任务的通用部件或被制造为执行该任务的特定部件。如本文中所使用的那样,术语“处理器”指代被配置成处理数据(诸如计算机程序指令)的一个或多个设备、电路和/或处理核。
下面连同图示本发明的原理的附图一起提供本发明的一个或多个实施例的详细描述。结合这样的实施例描述了本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限制,并且本发明涵盖许多替代方案、修改和等同物。在以下描述中阐述了许多具体细节以便提供对本发明的透彻理解。这些细节是出于示例的目的而提供的,并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求来实践本发明。出于清楚性目的,未详细描述与本发明相关的技术领域中已知的技术材料,使得不会不必要地使本发明模糊不清。
高级或下一代防火墙
恶意软件是通常用于指代恶意的软件(例如,包括各种敌对、侵入性和/或以其他方式不想要的软件)的通用术语。恶意软件可以是代码、脚本、活动内容和/或其他软件的形式。恶意软件的示例使用包括破坏计算机和/或网络操作、窃取专有信息(例如,机密信息,诸如身份、金融和/或知识产权相关信息),和/或获得对私有/专有计算机系统和/或计算机网络的访问。不幸的是,随着技术被开发以帮助检测和减轻恶意软件,恶意作者发现规避这种努力的方式。因此,存在对用于识别和减轻恶意软件的技术的改进的持续需要。
防火墙通常保护网络免受未授权访问,同时准许授权的通信通过防火墙。防火墙通常是设备或设备的集合、或者是在设备上执行的软件,其提供用于网络访问的防火墙功能。例如,防火墙可以集成到设备(例如,计算机、智能电话或其他类型的能够进行网络通信的设备)的操作系统中。防火墙还可以集成到各种类型的设备或安全设备上或作为在其上的软件应用而被执行,所述设备诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据装置(例如,安全装置或其他类型的专用设备,并且在一些实施方式中,某些操作可以在专用硬件(诸如ASIC或FPGA)中实现)。
防火墙通常基于规则的集合拒绝或准许网络传输。这些规则的集合通常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用规则或策略的集合来过滤入站流量以防止不想要的外部流量到达受保护的设备。防火墙还可以通过应用规则或策略的集合来过滤出站流量(例如,允许、阻止、监视、通知或日志记录,和/或可以在防火墙规则或防火墙策略中指定其他动作,其可以基于各种准则而触发,诸如本文中所描述的那样)。防火墙还可以通过类似地应用规则或策略的集合来过滤本地网络(例如,内联网)流量。
安全设备(例如,安全装置、安全网关、安全服务和/或其他安全设备)可以执行各种安全操作(例如,防火墙、反恶意软件、入侵防止/检测、代理和/或其他安全功能)、联网功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载均衡、和/或其他联网功能)、和/或其他安全和/或联网相关操作。例如,可以基于源信息(例如,IP地址和端口)、目的地信息(例如,IP地址和端口)和协议信息(例如,基于层-3 IP的路由)来执行路由。
基本分组过滤防火墙通过检查通过网络发送的各个分组来过滤网络通信流量(例如,分组过滤防火墙或第一代防火墙,其是无状态分组过滤防火墙)。无状态分组过滤防火墙通常检查单独的分组本身并基于所检查的分组应用规则(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)。
应用防火墙还可以执行应用层过滤(例如,使用应用层过滤防火墙或第二代防火墙,其在TCP/IP栈的应用级别上工作)。应用层过滤防火墙或应用防火墙通常可以识别某些应用和协议(例如,使用超文本传输协议(HTTP)的网络浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、以及各种其他类型的应用和其他协议,诸如Telnet、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻止试图通过标准端口进行通信的未授权协议(例如,通常可以使用应用防火墙来识别尝试通过使用该协议的非标准端口来潜行通过(sneak through)的未授权的/超出策略的协议)。
有状态防火墙还可以执行基于状态的分组检查,其中,在与该网络传输的分组的流/分组流相关联的一系列分组的上下文内检查每个分组(例如,有状态防火墙或第三代防火墙)。该防火墙技术通常被称为有状态分组检查,因为它维护通过防火墙的所有连接的记录,并且能够确定分组是新连接的开始、现有连接的一部分还是无效分组。例如,连接的状态本身可以是触发策略内的规则的准则之一。
如以上所讨论的,高级或下一代防火墙可以执行无状态和有状态分组过滤和应用层过滤。下一代防火墙还可以执行另外的防火墙技术。例如,有时被称为高级或下一代防火墙的某些较新的防火墙还可以识别用户和内容。特别地,某些下一代防火墙正在将这些防火墙可以自动地识别的应用的列表扩展到数千个应用。这种下一代防火墙的示例可以在商业上从Palo Alto网络公司(例如,Palo Alto网络的PA系列防火墙)获得。
例如,Palo Alto网络的下一代防火墙使得企业能够使用各种识别技术来识别和控制应用、用户和内容——不仅仅是端口、IP地址和分组,诸如以下各项:用于准确应用识别的应用-ID、用于(例如,由用户或用户群组进行)用户识别的用户-ID、以及用于实时内容扫描的内容-ID(例如,控制网络冲浪并限制数据和文件传输)。这些识别技术允许企业使用业务相关概念来安全地启用应用使用,而不是遵循由传统端口阻挡防火墙所提供的传统方法。此外,例如,作为专用装置实现的下一代防火墙的专用硬件通常提供比在通用硬件上执行的软件(例如,诸如由Palo Alto网络公司提供的安全装置,其利用与单程软件引擎紧密集成的专用的功能特定处理来在最小化等待时间的同时最大化网络吞吐量)的应用检查的高的性能级别。
高级或下一代防火墙还可以使用虚拟化防火墙来实现。这样的下一代防火墙的示例在商业上可从Palo Alto网络公司(例如Palo Alto网络的防火墙,其支持各种商业虚拟化环境,包括例如,VMware® ESXi™和NSX™、Citrix® Netscaler SDX™、KVM/OpenStack(Centos/RHEL、Ubuntu®)和亚马逊网络服务(AWS))获得。例如,虚拟化防火墙可以支持在物理形式因子装置中可用的类似或完全相同的下一代防火墙和高级威胁防止特征,从而允许企业安全地使得应用能够流入和跨越其私有、公共和混合云计算环境。诸如VM监视、动态地址群组和基于REST的API之类的自动化特征允许企业主动监视VM改变,从而动态地将该上下文馈送到安全策略中,由此消除当VM改变时可能发生的策略滞后。
对于演进的SD-WAN环境中的安全解决方案的技术挑战
安全服务提供者提供各种商业上可获得的基于云的安全解决方案,包括各种防火墙、VPN和其他安全相关服务。例如,一些安全服务提供者在跨世界的多个地理区域中具有其自己的数据中心以向他们的客户提供这样的基于云的安全解决方案。
通常,基于云的安全服务由世界各地的不同位置/区域中的基于云的安全服务提供者提供。然而,客户(例如,给定的基于云的安全服务提供者的企业客户)可以在彼此以及与使用各种SD-WAN连接(例如,通过SD-WAN结构)的基于云的安全服务和因特网进行网络通信的各种位置/区域中具有总部、分支和/或其他办公室。因此,这通常引入了在每个办公室位置(例如,分支、总部等)处以及在基于云的安全服务处的每个SD-WAN设备处提供的另一层安全监视。因此,该网络/安全架构创建计算资源的低效使用和/或对于不一致的安全监视和实施的可能性,如下面进一步描述的那样。
计算资源(例如,CPU和存储器/存储装置)的这种低效使用的示例是,安全监视可以包括提供应用的准确识别(例如,在本文中也被称为应用ID)。网络网关防火墙(例如,在基于云的安全服务中和/或在企业网络基础设施内,诸如在用于提供这样的基于云的安全服务的私有云中,和/或其组合)和SD-WAN设备(例如,总部和分支办公室站点中的客户驻地装备(CPE)SD-WAN设备)可以利用这样的应用ID信息(例如,和/或与如下所述的流相关联的其他元信息)以用于执行安全监视/实施和/或网络功能(例如,安全策略实施和/或网络路由等)。例如,确定流(例如,新流)的应用ID信息还可以扩展到执行应用层网关(ALG)功能。
然而,应用ID确定过程在计算资源(例如,存储器和CPU资源)方面通常是昂贵的。因此,在设备/计算元件/位置处执行应用ID确定过程可以降低两个平台(例如,在企业网络上的安全服务和CPE SD-WAN设备处的网络网关防火墙)的可扩展性。
类似地,执行用于确定与流相关联的用户ID、设备ID、内容ID和/或其他元数据的过程在计算资源(例如,存储器和CPU资源)方面也通常是昂贵的。例如,来自分支办公室的网络流量(例如,不同的流)可以通过SD-WAN设备,然后到基于云的安全服务。因此,与每个流相关联的昂贵元数据确定(例如,应用ID、用户ID、设备ID、内容ID和/或与流相关联的其他元数据)通常将被执行两次,这是计算资源的低效使用,如以上类似地描述的那样。
如下面还将进一步描述的那样,执行用于确定与每个流相关联的这样的元数据确定(例如,应用ID、用户ID、设备ID、内容ID和/或与流相关联的其他元数据)的过程在一些情况下可以在SD-WAN设备(例如,企业网络上的CPE SD-WAN设备)和(例如,在基于云的安全服务处的)网络网关防火墙处不一致地执行。例如,可以在SD-WAN设备(例如,企业网络上的CPE SD-WAN设备)和(例如,在基于云的安全服务处的)网络网关防火墙处稍微不同地执行应用ID、用户ID、设备ID、内容ID和/或与流相关联的其他元数据,这可以导致不一致的网络路由/应用层网关实施和/或安全策略监视/实施,这对于企业网络/安全策略实施通常是不期望的。
用于提供网络与安全服务的安全功能之间的流元数据交换的技术的概述
因此,公开了用于提供网络与安全服务的安全功能之间的流元数据交换的各种技术。
在一些实施例中,用于提供网络与安全服务的安全功能之间的流元数据交换的系统/过程/计算机程序产品包括:在安全服务的网络网关处从软件定义的广域网(SD-WAN)设备接收流;检查流以确定与流相关联的元信息;以及将与流相关联的元信息传送到SD-WAN设备。
例如,用于确定与每个流相关联的这样的元数据信息(例如,应用ID、用户ID、设备ID、内容ID和/或与流相关联的其他元数据)的过程可以使用所公开的技术在计算设备/元件/位置中的一个处(例如,在基于云的安全服务处,诸如经由Prisma访问提供的,其是来自总部位于加利福尼亚州圣克拉拉市中的Palo Alto网络公司的商业上可获得的基于云的安全服务,或者另一商业上可获得的基于云的安全服务,其可以类似地用于实现所公开的技术,并且基于云的安全服务可以使用私有云、一个或多个公共云服务提供者、和/或其任何组合来提供)被执行。然后,与每个流相关联的所确定的元数据信息可以被传送(例如,安全地和高效地传送,诸如使用各种技术,包括将这样的元信息封装在如下面进一步描述的分组报头中)到SD-WAN设备(例如,商业上可获得的SD-WAN设备,诸如来自总部位于加利福尼亚州圣克拉拉市中的Palo Alto网络公司的商业上可获得的SD-WAN设备,其提供流量工程、监视和故障排除等,或者另一商业上可获得的SD-WAN设备,其可以类似地用于实现所公开的技术)。在示例实施方式中,与每个流相关联的这样确定的元数据信息在流上(例如,使用TCP选项)带内或带外传送,诸如下面将进一步描述的那样。因此,SD-WAN设备/计算元件然后可以使用与给定流相关联的元数据信息来执行安全策略实施、网络路由和/或其他动作,而不必执行检查(例如,深度分组检查(DPI))以独立地确定这样的元数据信息(例如,应用ID、用户ID、设备ID、内容ID和/或与流相关联的其他元数据),这更高效并且减少了在SD-WAN设备/计算元件处的CPU和存储器资源的使用。
在示例企业网络中,其中SD-WAN功能由SD-WAN用户驻地装备(CPE)元件/设备提供并且安全功能由基于云的安全服务在云中提供,然后在通过SD-WAN CPE和基于云的安全服务的流上确定/提取的元数据可以在SD-WAN CPE和基于云的安全服务之间交换以丰富功能性和/或避免性能计算昂贵的功能,诸如用于检查/DPI,其用于确定应用ID、用户ID、设备ID、内容ID和/或与执行多于一次/在SD-WAN CPE和基于云的安全服务中的每个处执行的流相关联的其他元数据。
在该示例中,如果SD-WAN CPE已经执行了应用识别(应用 ID),则SD-WAN CPE可以将应用ID传送到基于云的安全服务,以避免云安全功能再次必须执行应用识别。类似地,如果云安全功能已经执行应用层网关(ALG)功能,则它可以将预测流传送到SD-WAN CPE。
因此,使用所公开的技术来提供显著的性能改进,所述技术用于提供网络与安全服务的安全功能之间的流元数据交换,这还可以促进对于执行云安全服务的降低的计算成本和SD-WAN设备/元件的更好的可扩展性(例如,由此还允许有较低成本的分支SD-WAN设备/元件解决方案)。
因此,如下面将进一步描述的那样,公开了用于提供网络与安全服务的安全功能之间的流元数据交换的各种技术。
另外,如现在将在下面进一步描述的那样,所公开的技术还促进提供与跨这些联网和安全功能的每个流相关联的元数据信息(例如,应用ID、用户ID、设备ID、内容ID和/或与流相关联的其他元数据)中的一致性的独特且集成的安全解决方案。
用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的技术的概述
在企业网络中,其中流量工程允许有策略来准许特定类型的流量被列入白名单并且被允许退出分支或移动设备(例如,拆分隧道配置,诸如对于某些类型的流量,诸如Netflix或YouTube,将被列入白名单),安全监视可以被损害,因为列入白名单的流量将绕过云安全功能。企业通常配置网络/安全策略以允许应用的子集退出,例如,直接到因特网的分支,这可以使用SD-WAN流量转发策略来执行。
因此,此类应用的流上的安全上下文不存在于网络/安全日志记录数据中(例如,从总部位于加利福尼亚州圣克拉拉市的Palo Alto网络公司商业上可获得的CortexTM数据湖或另一商业上可获得的网络/安全日志记录数据解决方案,其可类似地用于实现所公开的技术),因为此类流将被路由以绕过基于云的安全服务并退出,例如,直接到因特网的分支。这种所产生的这样的流上的可见性的缺乏能够导致企业的安全态势的缺口。在以下场景中可能出现类似的问题:(1)直接(通过SD-WAN结构)在企业站点之间传递的流;以及(2)用于端点设备的VPN客户端上的拆分隧道配置,其允许流从端点设备退出到因特网。在这两种情况下,流绕过安全服务处的安全监视,这导致由于这样的网络/安全策略配置而在网络/安全日志记录数据中没有这样的应用的流上的安全上下文的这个技术问题。
因此,公开了用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的各种技术。
在一些实施例中,用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的系统/过程/计算机程序产品包括:在软件定义的广域网(SD-WAN)设备处接收流;检查流以确定流是否与拆分隧道相关联;以及在SD-WAN设备处监视流以收集与流相关联的安全信息以用于向安全服务报告。
在一些实施例中,用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的系统/过程/计算机程序产品包括:在软件定义的广域网(SD-WAN)设备处接收流;检查流以确定流是否与拆分隧道相关联;以及将来自SD-WAN设备的流镜像到安全服务,其中安全服务监视从SD-WAN设备镜像的流以收集与流相关联的安全信息以用于报告。
例如,该盲点可以通过使在端点设备上的分支SD-WAN和/或VPN客户端(例如,商业上可获得的VPN客户端,诸如从总部位于加利福尼亚州圣克拉拉市的Palo Alto网络公司可获得的全球保护客户端或另一商业上可获得的VPN客户端解决方案,其可以类似地用于实现所公开的技术)收集和导出关于流的安全信息(例如,包括与将由云安全功能本身所收集的信息等同/一致的安全信息)来补救。可以将类似的技术应用于通过站点到站点隧道的站点到站点企业流量,由此绕过云安全功能。
例如,所公开的技术可以包括将SD-WAN设备/元件配置成收集具有安全上下文的流数据并将其发送到基于云的安全服务(例如,在基于云的安全服务处,诸如经由PrimaAccess提供,其是从总部位于加利福尼亚州圣克拉拉市的Palo Alto网络公司商业上可获得的基于云的安全服务,或者另一商业上可获得的基于云的安全服务,其可类似地用于实现所公开的技术,并且基于云的安全服务可以使用私有云、一个或多个公共云服务提供者和/或其任何组合来提供)。
作为另一示例,所公开的技术可以包括将SD-WAN设备/元件配置成将与所选择的应用(例如,应用ID)相关联的流量流镜像到基于云的安全服务,使得可以在那些流上收集安全上下文(例如,SD-WAN设备/元件可以通过IPfix/NetFlow或使用其他安全通信机制来导出流数据,如下面进一步描述的那样)。
在这些示例中,与基于云的安全服务相关联的数据摄取和处理层可以融合来自SD-WAN设备/元件和基于云的安全服务的数据,以提供一致的安全上下文来促进对于网络的安全洞察与基于云的安全服务解决方案的安全功能的一致监视和分析。
正使用这些公开的技术来为网络的安全洞察与安全服务的安全功能提供一致监视和分析的情况下,企业客户不需要部署、管理和监视分支中的另一设备和端点设备(例如,移动设备,诸如膝上型电脑或智能电话)上的服务。例如,SD-WAN设备或VPN客户端在数据平面中并且执行拆分隧道的功能。因此,SD-WAN设备或VPN客户端可以确定哪些流被发送到云、因特网或另一个企业站点,由此绕过云安全服务,并且因此,SD-WAN设备或VPN客户端可以智能地被配置用于收集在这些示例不同路径上路由的流量的数据(例如,以变化的粒度级别),以促进对于网络的安全洞察与基于云的安全服务解决方案的安全功能的一致监视和分析。
因此,所公开的技术还促进提供一致的安全上下文和监视的独特且集成的安全解决方案,而不管流量如何在企业网络中流动。
因此,如下面将进一步描述的那样,公开了用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的各种技术。
包括示例SD-WAN架构和安全服务的系统环境
图1A-1B是根据一些实施例的包括示例SD-WAN架构和安全服务的系统环境图。这些示例系统图通常图示了用于利用与安全服务(例如,基于云的安全服务)通信的SD-WAN连接来保护分支办公室和总部站点的安全服务。
随着组织在不同的地理位置上发展,选择网络成为成本、性能和安全的精细平衡行为。软件定义的WAN(SD-WAN)通过将联网硬件(数据平面)与其控制机制(控制平面)分离来简化WAN的管理和操作。SD-WAN技术允许公司使用低成本互联网访问来构建更高性能的WAN。随着SD-WAN的采用,组织越来越多地直接连接到因特网,从而引入保护远程网络和移动用户的安全挑战。另外,软件即服务(SaaS)应用的部署已经显著增加,其中许多组织直接连接到这样的基于云的SaaS应用,从而引入附加的安全挑战。SD-WAN技术的采用在成本节约方面引入了许多益处,并且使得组织能够灵活和优化。然而,其也使分支办公室和用户成为网络攻击以及其他技术安全挑战的目标,如以上类似地描述的那样。
SD-WAN安全通常被期望与联网一样灵活,但是如下面将描述的那样,在诸如图1A和1B中所示出的各种企业网络环境中将传统的安全方法适配于这种演进的SD-WAN联网也在技术上具有挑战性。在传统校园网络设计中,在因特网周边存在可以保护分支的网络安全装置的完整堆栈,这在通过核心网络使所有流量通过因特网周边处的网络安全装置的这样的完整堆栈的情况下是真实的。然而,SD-WAN不总是使用该网络架构,诸如在SD-WAN被配置成集成云/SaaS应用的情况下。
传统方法的替代方案是在分支办公室处部署网络安全装置。然而,这种传统方法使部署复杂化,因为它使安全设备/元件更靠近分支办公室。
SD-WAN技术通常使用软件定义的联网(SDN)的原理并且分离控制平面和数据平面。基于该原理,SD-WAN部署通常包括以下部件:(1)管理员用来集中地配置WAN拓扑并定义流量路径规则的控制器;以及(2)物理或虚拟的SD-WAN边缘设备,其驻留在每个站点处并且充当SD-WAN结构的连接和端接点。
在示例SD-WAN类型1部署(例如,分支和总部部署)中,在每个分支站点处,组织可以部署一个或多个SD-WAN边缘设备并且连接它们以形成SD-WAN结构或SD-WAN覆盖。管理员使用基于云中或组织的驻地的SD-WAN控制器来管理和配置这些边缘设备,并在每个站点处定义流量转发策略。
参考图1A,对于示例部署(例如,分支、总部和区域数据中心部署),在每个数据中心(例如,包括在每个分支和总部站点处的(一个或多个)SD-WAN边缘设备之间的IPsec隧道)和安全服务120(例如,基于云的安全服务,诸如经由Prisma访问提供的那样,其是从总部位于加利福尼亚州圣克拉拉市中的Palo Alto网络公司的商业上可获得的基于云的安全服务)处的SD-WAN边缘设备102A、102B和102C中的每一个之间建立IPsec隧道。该示例系统图是用于将来自每个分支站点的流量与如在110处所示出的一个WAN链路(类型1)固定的示例部署。SD-WAN结构110和安全服务120各自与因特网140通信。安全服务120与数据存储130(例如,用于网络/安全日志记录数据的数据存储,诸如从总部位于美国加利福尼亚州圣克拉拉市中的Palo Alto网络公司商业上可获得的CortexTM数据湖)通信。
具体地,该架构在区域数据中心中添加SD-WAN设备,以及在每个分支和总部站点处添加SD-WAN设备。这些区域数据中心可以是公共或私有云环境。区域数据中心处的SD-WAN设备聚合该区域中的较小站点的网络流量。例如,当存在具有到因特网的较低带宽连接的多个区域分支站点时,组织可以使用该部署。
参考图1B,对于另一示例部署(例如,分支、总部和区域数据中心),在每个数据中心处的SD-WAN边缘设备(例如,包括SD-WAN设备102D和102E处)和安全服务120(例如,基于云的安全服务,诸如经由Prisma访问提供的那样,其是从总部位于加利福尼亚州圣克拉拉市中的Palo Alto网络公司商业上可获得的基于云的安全服务)之间建立IPsec隧道。该示例系统图是用于利用区域枢纽(hub)/POP架构来保护SD-WAN部署的示例部署。如所示,在每个区域数据中心或枢纽106A和106B与安全服务120之间建立IPsec隧道。
当今的常见网络架构是通过MPLS链路或专用的加密VPN链路在企业的总部和分支之间隧道传输流量。随着越来越多的服务是基于云的(例如,包括SaaS解决方案,诸如Microsoft Office 365®、Salesforce®等),并且更多的信息在因特网上可获得,在将流量路由到其最终目的地之前将流量隧道传输回到聚合点通常较无意义。从分支本地中断流量(例如,与驻地处(on-premises)装置相反)通常允许流量更快地到达其目的地并且引起带宽的更高效使用。然而,允许直接在分支中的设备与因特网之间的流量也引入了如以上类似地描述的新技术安全挑战。
具体地,在这些和其他示例SD-WAN架构和安全服务中,流可以被配置成通过安全服务120或绕过安全服务120,并且被路由到区域数据中心或枢纽或因特网,而不经过安全服务120。因此,这些和其他示例SD-WAN架构和安全服务引起上述技术安全问题,因为在出口SD-WAN设备/元件以及安全服务两者处通过安全服务的流量被低效地检查/监视(例如,DPI或其他监视/检查活动)。此外,这些和其他示例SD-WAN架构和安全服务引起上述技术安全问题,因为绕过安全服务的流量不被一致地检查/监视,并且不会收集网络的安全洞察与安全服务的安全功能的分析。
因此,所公开的技术可以在这些示例SD-WAN架构和安全服务中执行,如下面将关于图2进一步描述的那样。
图2是图示根据一些实施例的提供网络与安全服务的安全功能之间的流元数据交换的示例部件的系统图。
参考图2,在202处示出了由网络网关保护的/网络网关后面的设备,在204A、204B和204C处示出了驻地处网络网关(例如,安全平台,诸如从Palo Alto网络公司商业上可获得的网络网关防火墙解决方案,或者另一种商业上可获得的安全平台解决方案,其可以类似地被配置成实现如本文中所公开的网络网关),并且在206A、206B和206C处示出了云设备(例如,SD-WAN CPE设备/元件,诸如从Palo Alto网络公司商业上可获得的SD-WAN解决方案,或者另一种商业上可获得的SD-WAN解决方案,其可以类似地被配置成实现所公开的技术)。
具体地,图2图示了用于在网络和安全服务的安全功能之间传送流元数据交换的示例机制。如所示,在该示例中,分组被嵌入附加的流元数据信息,诸如应用ID信息。如所示,分组208包括IP报头210、UDP报头212、应用ID封装214、内部IP报头216和内部UDP/TCP报头218。与流相关联的附加类型的元数据信息(例如,用户ID、设备ID、内容ID和/或与流相关联的其他元数据)可以类似地被封装并且被包括在分组报头中。
例如,用于确定与每个流相关联的这样的元数据信息(例如,应用ID、用户ID、设备ID、内容ID和/或与流相关联的其他元数据)的过程可以在计算设备/元件/位置中的一个处(例如,在基于云的安全服务处,诸如图1A和1B中所示出的安全服务120处)使用所公开的技术来执行。然后可以将与每个流相关联的所确定的元数据信息传送(例如,安全且高效地传送)到SD-WAN设备(例如,如图1A和1B所示出的SD-WAN设备102A、102B或102C)。在示例实施方式中,与每个流相关联的这样确定的元数据信息在流上带内传送(例如,使用如上所述的封装的分组报头信息,诸如在图2中示出的那样)或带外传送。因此,SD-WAN设备/计算元件然后可以使用与给定流相关联的元数据信息来执行安全策略实施和/或其他动作,而不必本地执行检查(例如,深度分组检查(DPI))以独立地确定这样的元数据信息(例如,应用ID、用户ID、设备ID、内容ID和/或与流相关联的其他元数据),这更高效并且减少了在SD-WAN设备/计算元件处的CPU和存储器资源的使用。
在示例企业网络中,其中SD-WAN功能由SD-WAN用户驻地装备(CPE)元件/设备提供并且安全功能由基于云的安全服务在云中提供,则在通过SD-WAN CPE和基于云的安全服务的流上确定/提取的元数据可以在SD-WAN CPE和基于云的安全服务之间交换以丰富功能性和/或避免性能计算昂贵的功能,诸如用于检查/DPI,其用于确定应用ID、用户ID、设备ID、内容ID和/或与执行多于一次/在SD-WAN和基于云的安全服务中的每个处执行的流相关联的其他元数据。
在该示例中,如果SD-WAN CPE已经执行了应用识别(应用 ID),则SD-WAN CPE可以将应用ID传送到基于云的安全服务,以避免云安全功能再次必须执行应用识别。类似地,如果云安全功能已经执行应用层网关(ALG)功能,则它可以将预测流传送到SD-WAN CPE。
可以类似地实现各种其他分组报头(例如,以封装用户ID、设备ID、内容ID和/或其他元流信息),以促进网络与安全服务的安全功能之间的各种其他流元数据交换,以执行所公开的用于提供网络与安全服务的安全功能之间的流元数据交换的技术,如鉴于各种公开的实施例对于本领域的普通技术人员来说现在将是显而易见的那样。
因此,使用所公开的用于提供网络与安全服务的安全功能之间的流元数据交换的技术来提供显著的性能改进,这可以促进用于执行云安全服务的降低的计算成本和SD-WAN设备/元件的更好的可扩展性(例如,由此允许有更低成本的分支SD-WAN设备/元件解决方案)。
另外,如现在将在下面进一步描述的那样,所公开的技术还促进提供与跨这些联网和安全功能的每个流相关联的元数据信息(例如,应用ID、用户ID、设备ID、内容ID和/或与流相关联的其他元数据)中的一致性的独特且集成的安全解决方案。
图3是图示根据一些实施例的用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的示例部件的系统图。
参考图3,YouTube服务340的网络流量被列入白名单,并且被配置成从诸如302A处所示的来自SD-WAN设备/元件的分支/总部路由到因特网,并且绕过如312a处所示出的安全服务320。在企业网络中,其中流量工程允许有策略来准许特定类型的流量被列入白名单并允许退出分支或端点设备(例如,拆分隧道配置,诸如对于某些类型的流量,诸如Netflix或YouTube将被列入白名单),安全监视可以被损害,因为列入白名单的流量将绕过云安全功能。企业通常允许应用的子集退出,例如,直接到因特网的分支,这可以使用SD-WAN流量转发策略来执行。
由此,此类应用的流上的安全上下文不存在于网络/安全日志记录数据(例如,从总部位于美国加利福尼亚州圣克拉拉市的Palo Alto网络公司商业上可获得的Cortex™数据湖)中,因为此类流将被路由以绕过基于云的安全服务并退出,例如,直接到因特网的分支。这种所产生的这样的流上的可见性的缺乏能够导致企业的安全态势的缺口。在以下场景中可能出现类似的问题:(1)直接(通过SD-WAN结构)在企业站点之间流动的流;以及(2)用于端点设备的VPN客户端上的拆分隧道配置,其允许流直接从端点设备退出到因特网。
例如,该盲点可以通过使诸如302A处示出的分支CPE SD-WAN(例如,和/或VPN客户端)收集和导出流上的安全信息(其等同于由云安全功能本身所收集的信息)、以及将流上的这样的安全信息传送到安全服务320(例如,诸如针对在312n处示出的流那样,该流被配置成绕过安全服务的拆分隧道流量,所述安全服务诸如使用安全通信连接的如以上类似描述的312a处示出的那样,所述安全通信连接诸如带外通信机制或与安全服务的其他周期性连接或能够类似地被实现来执行所公开技术的其他类似安全通信机制)来补救,然后其可以存储用于在数据存储330中日志记录的安全信息(例如,网络/安全日志记录数据存储,诸如使用从总部位于加利福尼亚州圣克拉拉市的Palo Alto网络公司商业上可获得的Cortex™数据湖,其可以用于针对此类企业网络活动的安全服务的报告和分析)。
可以将类似的技术应用于通过站点到站点隧道通信的站点到站点企业流量,从而跳过诸如在314a和316a处所示出的云安全功能,诸如针对通过SD-WAN结构304到数据中心306的流量,其包括用于企业的电子邮件服务器308。例如,所公开的技术可以包括将SD-WAN设备/元件配置成收集和发送具有安全上下文的流数据到基于云的安全服务,诸如314n处所示出的那样(例如,使用安全通信连接,诸如带外通信机制或与安全服务的其他周期性通信连接,或者其他类似的安全通信机制或可以类似地被实现以执行所公开的技术的其他类似的安全通信机制)。
作为另一示例,所公开的技术可以包括将SD-WAN设备/元件配置成将属于所选择的应用的流量流镜像到诸如318m处所示出的基于云的安全服务,使得可以在那些流上类似地收集安全上下文(例如,建立类似于原本会通过安全服务的新流的到安全服务的安全通信连接,或者可以类似地实现以执行所公开的技术的其他类似的安全通信机制)。
相反,诸如到Salesforce服务350的某些流将通过安全服务320从SD-WAN设备302A和302B路由,并且因此,不会需要进一步的动作来确保这样的流被一致地监视,并且它们的流数据被日志记录在数据存储330中。
在这些示例中,与基于云的安全服务相关联的数据摄取和处理层可以融合来自SD-WAN设备/元件和基于云的安全服务的数据,以提供一致的安全上下文,以促进对于网络的安全洞察与基于云的安全服务解决方案的安全功能的一致监视和分析。
在使用这些公开的技术以用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的情况下,企业客户不需要部署、管理和监视分支中的另一设备和端点设备上的服务(例如,移动设备,诸如膝上型电脑或智能电话)。例如,SD-WAN设备或VPN客户端在数据平面中并且执行拆分隧道的功能。因此,SD-WAN设备或VPN客户端可以确定哪些流被发送到云、因特网或另一个企业站点,由此绕过云安全服务,并且因此,SD-WAN设备或VPN客户端可以智能地配置用于(例如,以变化的粒度级别)收集在这些示例不同路径上路由的流量的数据,以促进对于网络的安全洞察与基于云的安全服务解决方案的安全功能的一致监视和分析。
因此,所公开的技术还促进提供一致的安全上下文和监视的独特且集成的安全解决方案,而不管流量如何在企业网络中流动。
在图4A中示出了网络网关204的实施例(例如,诸如图2中的204A-C处所示出的网络网关)。在各种实施例中,所示出的示例是网络网关被实现为数据装置的情况下可以被包括在网络网关204中的物理部件的表示。具体地,数据装置包括高性能多核中央处理单元(CPU)402和随机存取存储器(RAM)404。数据装置还包括存储装置410(诸如一个或多个硬盘或固态存储单元)。在各种实施例中,数据装置存储(无论是在RAM 404、存储装置410和/或其他适当的位置中)信息,所述信息在监视企业网络和实现所公开的技术中使用。这样的信息的示例包括应用标识符、内容标识符、用户标识符、所请求的URL、IP地址映射、策略和其他配置信息、签名、主机名/URL分类信息、恶意软件简档、和机器学习模型。数据装置还可以包括一个或多个可选的硬件加速器。例如,数据装置可以包括被配置成执行加密和解密操作的密码引擎406,以及被配置成执行匹配、充当网络处理器和/或执行其他任务的一个或多个现场可编程门阵列(FPGA)408。
本文中描述为由数据装置执行的功能性可以以各种方式提供/实现。例如,数据装置可以是专用设备或设备的集合。由数据装置提供的功能性还可以被集成到通用计算机、计算机服务器、网关和/或网络/路由设备中,或者作为其上的软件被执行。在一些实施例中,被描述为由数据装置提供的至少一些服务替代地(或附加地)通过在客户端设备上执行的软件被提供给客户端设备(例如,端点设备,诸如膝上型电脑、智能电话等)。
每当数据装置被描述为执行任务时,单个部件、部件的子集或数据装置的所有部件可以协作以执行任务。类似地,每当数据装置的部件被描述为执行任务时,子部件可以执行任务和/或部件可以结合其他部件来执行任务。在各种实施例中,数据装置的部分由一个或多个第三方提供。取决于诸如可用于数据装置的计算资源的量之类的因素,可以省略数据装置的各种逻辑部件和/或特征,并且相应地适配本文中描述的技术。类似地,在可适用的情况下,数据装置的实施例中可以包括附加的逻辑部件/特征。在各种实施例中,包括在数据装置中的部件的一个示例是被配置成识别应用(例如,使用用于基于分组流分析来识别应用的各种应用签名)的应用识别引擎。例如,应用识别引擎可以确定会话涉及什么类型的流量,诸如网络浏览——社交联网;网络浏览——新闻;SSH等等。
所公开的系统处理架构可以与不同部署场景中的不同类型的云一起使用,诸如以下各项:(1)公共云;(2)驻地处的私有云;以及(3)内部高端物理防火墙。可以分配一些处理能力以执行私有云(例如,使用Palo Alto网络PA-5200系列防火墙装置中的管理平面(MP))。
图4B是数据装置的实施例的逻辑部件的功能图。所示出的示例是在各种实施例中可以包括在网络网关204(例如,诸如图2中的204A-C处所示出的网络网关)中的逻辑部件的表示。除非另有说明,否则网络网关204的各种逻辑部件通常可以以各种方式实现,包括作为(例如,在可适用的情况下以Java、Python等编写的)一个或多个脚本的集合。
如所示,网络网关204包括防火墙,并且包括管理平面432和数据平面434。管理平面负责管理用户交互,诸如通过提供用于配置策略和查看日志数据的用户界面。数据平面负责管理数据,诸如通过执行分组处理和会话处理。
网络处理器436被配置成从客户端设备(诸如客户端设备204)接收分组,并且将它们提供给数据平面434以用于处理。每当流模块438将分组识别为新的会话的一部分时,其创建新的会话流。随后的分组将基于流查找被识别为属于该会话。如果可适用,则SSL解密由SSL解密引擎440应用。否则,省略由SSL解密引擎440进行的处理。解密引擎440可以帮助网络网关204检查和控制SSL/TLS和SSH加密流量,并且因此帮助停止可能以其他方式保持隐藏在加密流量中的威胁。解密引擎440还可以帮助防止敏感内容离开企业/受保护客户的网络。可以基于诸如以下参数选择性地控制(例如,启用或禁用)解密:URL类别、流量源、流量目的地、用户、用户群组和端口。除了解密策略(例如,指定要解密哪些会话)之外,可以分配解密简档以控制由策略控制的会话的各种选项。例如,可能需要使用特定密码套件和加密协议版本。
应用识别(应用-ID)引擎442被配置成确定会话涉及什么类型的流量。作为一个示例,应用识别引擎442可以识别接收到的数据中的GET请求,并且推断会话需要HTTP解码器。在一些情况下,例如,网络浏览会话,所识别的应用可以改变,并且这样的改变将由网络网关204注意到。例如,用户可以最初浏览到企业维基(其基于访问的URL被分类为“网络浏览——生产力”),然后随后浏览到社交联网站点(其基于访问的URL被分类为“网络浏览——社交联网”)。不同类型的协议具有对应的解码器。
基于由应用识别引擎442做出的确定,分组由威胁引擎444发送到适当的解码器,该解码器被配置成将分组(其可以无序地被接收)组装成正确的顺序、执行令牌化、并提取出信息。威胁引擎444还执行签名匹配以确定对分组应该发生什么。根据需要,SSL加密引擎446还可以重新加密解密的数据。使用转发模块448转发分组以用于传输(例如,到目的地)。
还如图4B中所示,策略452被接收并存储在管理平面432中。策略可以包括可以使用域和/或主机/服务器名称来指定的一个或多个规则,并且规则可以应用一个或多个签名或其他匹配准则或启发法,诸如用于基于来自所监视的会话流量流的各种提取的参数/信息的订户/IP流的安全策略实施。接口(I/F)通信器450被提供用于管理通信(例如,经由(REST)API、消息或网络协议通信或其他通信机制)。
用于提供网络与安全服务的安全功能之间的流元数据交换的示例过程
图5是图示根据一些实施例的提供网络与安全服务的安全功能之间的流元数据交换的过程的流程图。
在一个实施例中,使用上述(例如,诸如上面关于图1A-4B所描述的)系统架构来执行过程500。
当在安全服务的网络网关处从软件定义的广域网(SD-WAN)设备接收到流时,该过程开始于502处。例如,安全服务可以是如以上类似地描述的基于云的安全服务。
在504处,检查流以确定与流相关联的元信息被执行。例如,流可以被确定为安全服务的网络网关处的新的流,并且可以使用深度分组检查(DPI)来确定新的流的应用ID,如以上类似地描述的那样。
在506处,执行与到SD-WAN设备的流相关联的元信息的传送。例如,应用ID信息(例如,或与流相关联的其他检查/提取的元信息,诸如用户ID、设备ID、内容ID等)可以被封装和包括在分组报头中,如以上类似地描述的那样。SD-WAN设备然后可以使用与流相关联的元信息来实施路由策略或安全策略,也如以上类似地描述的那样。
在一些实施例中,SD-WAN设备将与另一个流相关联的元信息传送到安全服务。
用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的示例过程
图6是图示根据一些实施例的用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的过程的另一流程图。
在一个实施例中,使用(例如,诸如上面关于图1A-4B所描述的)上述系统架构来执行过程600。
当在软件定义的广域网(SD-WAN)设备处接收到流时,过程在602处开始。
在604处,检查流以确定流是否与拆分隧道相关联被执行。例如,SD-WAN设备可以被配置成使用安全策略(例如,针对列入白名单的流量/流)来实现拆分隧道,并且如果流与拆分隧道相关联,则可以允许流基于安全策略绕过安全服务,如以上类似地描述的那样。
在606处,在SD-WAN设备处监视流,以收集与用于向安全服务进行报告的流相关联的安全信息。例如,与流相关联的收集的安全信息可以包括入口IP地址、出口IP地址、入口端口号、出口端口号、协议和会话数据使用和时间相关的统计,如以上类似地描述的那样。与流相关联的收集的安全信息可以在与流相关联的会话结束之后被报告给安全服务和/或这样的信息可以被周期性地报告给安全服务,也如以上类似地描述的那样。
在一些实施例中,另一流是绕过安全服务的站点到站点隧道,并且SD-WAN设备收集与另一流相关联的安全信息以用于向安全服务报告,如以上类似地描述的那样。
图7是图示根据一些实施例的用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的过程的另一流程图。
在一个实施例中,使用(例如,诸如上面关于图1A-4B所描述的)上述系统架构来执行过程700。
当在软件定义的广域网(SD-WAN)设备处接收到流时,过程在702处开始。
在704处,检查流以确定流是否与拆分隧道相关联被执行。例如,SD-WAN设备可以被配置成使用安全策略(例如,针对列入白名单的流量/流)来实现拆分隧道,并且如果流与拆分隧道相关联,则可以允许流基于安全策略绕过安全服务,如以上类似地描述的那样。
在706处,将流从SD-WAN设备镜像到安全服务,其中安全服务监视从SD-WAN设备镜像的流,以收集与流相关联的安全信息以用于报告。例如,安全服务可以监视从SD-WAN设备镜像的流,以收集与流相关联的各种安全信息,其可以包括入口IP地址、出口IP地址、入口端口号、出口端口号、协议、和会话数据使用和时间相关的统计,如以上类似地描述的那样。
虽然出于清楚理解的目的已经相当详细地描述了前述实施例,但是本发明不限于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的而非限制性的。
Claims (27)
1.一种系统,包括:
处理器,其被配置成:
在安全服务的网络网关处从软件定义的广域网(SD-WAN)设备接收流,其中所述流包括与会话相关联的网络分组的集合;
检查所述流以确定和提取与所述流相关联的元信息,其中与所述流相关联的所述元信息包括以下各项中的一个或多个:与所述流相关联的应用识别、与所述流相关联的用户识别、与所述流相关联的设备识别、与所述流相关联的内容识别、以及与所述流相关联的其他元数据;以及
将所提取的与所述流相关联的元信息传送到所述SD-WAN设备,其中所述SD-WAN基于策略利用与所述流相关联的所述元数据,而不必使用所述SD-WAN设备的计算资源来执行深度分组检查以便获得与所述流相关联的所述元数据,其中所述策略包括路由策略或安全策略,并且其中所述SD-WAN设备使用与所述流相关联的所述元信息来实施所述路由策略或所述安全策略;以及
存储器,其耦合到所述处理器且被配置成为所述处理器提供指令。
2.根据权利要求1所述的系统,其中所述流被确定为所述安全服务的所述网络网关处的新的流,并且其中所述元信息包括与所述流相关联的应用识别。
3.根据权利要求1所述的系统,其中所述元信息包括与使用深度分组检查确定的所述流相关联的应用识别。
4.根据权利要求1所述的系统,其中所述元信息包括与所述流相关联的用户识别。
5.根据权利要求1所述的系统,其中所述元信息包括与所述流相关联的设备识别。
6.根据权利要求1所述的系统,其中所述安全服务是基于云的安全服务。
7.根据权利要求1所述的系统,其中所述安全服务是使用公共云服务提供者提供的基于云的安全服务。
8.根据权利要求1所述的系统,其中所述安全服务是使用多个公共云服务提供者提供的基于云的安全服务。
9.根据权利要求1所述的系统,其中所述SD-WAN设备将与另一个流相关联的元信息传送给所述安全服务。
10.一种方法,包括:
在安全服务的网络网关处从软件定义的广域网(SD-WAN)设备接收流,其中所述流包括与会话相关联的网络分组的集合;
检查所述流以确定和提取与所述流相关联的元信息,其中与所述流相关联的所述元信息包括以下各项中的一个或多个:与所述流相关联的应用识别、与所述流相关联的用户识别、与所述流相关联的设备识别、与所述流相关联的内容识别、以及与所述流相关联的其他元数据;以及
将所提取的与所述流相关联的元信息传送到所述SD-WAN设备,其中所述SD-WAN基于策略利用与所述流相关联的所述元数据,而不必使用所述SD-WAN设备的计算资源来执行深度分组检查以便获得与所述流相关联的所述元数据,其中所述策略包括路由策略或安全策略,并且其中所述SD-WAN设备使用与所述流相关联的所述元信息来实施所述路由策略或所述安全策略。
11.根据权利要求10所述的方法,其中所述流被确定为所述安全服务的所述网络网关处的新的流,并且其中所述元信息包括与所述流相关联的应用识别。
12.根据权利要求10所述的方法,其中所述元信息包括与使用深度分组检查确定的所述流相关联的应用识别。
13.根据权利要求10所述的方法,其中所述元信息包括与所述流相关联的用户识别。
14.根据权利要求10所述的方法,其中所述元信息包括与所述流相关联的设备识别。
15.一种计算机程序产品,所述计算机程序产品体现在非暂时性有形计算机可读存储介质中并且包括用于执行以下操作的计算机指令:
在安全服务的网络网关处从软件定义的广域网(SD-WAN)设备接收流,其中所述流包括与会话相关联的网络分组的集合;
检查所述流以确定和提取与所述流相关联的元信息,其中与所述流相关联的所述元信息包括以下各项中的一个或多个:与所述流相关联的应用识别、与所述流相关联的用户识别、与所述流相关联的设备识别、与所述流相关联的内容识别、以及与所述流相关联的其他元数据;以及
将所提取的与所述流相关联的元信息传送到所述SD-WAN设备,其中所述SD-WAN基于策略利用与所述流相关联的所述元数据,而不必使用所述SD-WAN设备的计算资源来执行深度分组检查以便获得与所述流相关联的所述元数据,其中所述策略包括路由策略或安全策略,并且其中所述SD-WAN设备使用与所述流相关联的所述元信息来实施所述路由策略或所述安全策略。
16.根据权利要求15所述的计算机程序产品,其中所述流被确定为所述安全服务的所述网络网关处的新的流,并且其中所述元信息包括与所述流相关联的应用识别。
17.根据权利要求15所述的计算机程序产品,其中所述元信息包括与使用深度分组检查确定的所述流相关联的应用识别。
18.根据权利要求15所述的计算机程序产品,其中所述元信息包括与所述流相关联的用户识别。
19.根据权利要求15所述的计算机程序产品,其中所述元信息包括与所述流相关联的设备识别。
20.根据权利要求15所述的计算机程序产品,其中所述安全服务是基于云的安全服务。
21.根据权利要求15所述的计算机程序产品,其中所述安全服务是使用公共云服务提供者提供的基于云的安全服务。
22.根据权利要求15所述的计算机程序产品,其中所述安全服务是使用多个公共云服务提供者提供的基于云的安全服务。
23.根据权利要求15所述的计算机程序产品,其中所述SD-WAN设备将与另一个流相关联的元信息传送给所述安全服务。
24.根据权利要求10所述的方法,其中所述安全服务是基于云的安全服务。
25.根据权利要求10所述的方法,其中所述安全服务是使用公共云服务提供者提供的基于云的安全服务。
26.根据权利要求10所述的方法,其中所述安全服务是使用多个公共云服务提供者提供的基于云的安全服务。
27.根据权利要求10所述的方法,其中所述SD-WAN设备将与另一个流相关联的元信息传送给所述安全服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310545987.4A CN116633607A (zh) | 2020-10-30 | 2021-07-30 | 网络与安全服务的安全功能之间的流元数据交换 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/086,186 US11095612B1 (en) | 2020-10-30 | 2020-10-30 | Flow metadata exchanges between network and security functions for a security service |
| US17/086,191 US11785048B2 (en) | 2020-10-30 | 2020-10-30 | Consistent monitoring and analytics for security insights for network and security functions for a security service |
| US17/086186 | 2020-10-30 | ||
| US17/086191 | 2020-10-30 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310545987.4A Division CN116633607A (zh) | 2020-10-30 | 2021-07-30 | 网络与安全服务的安全功能之间的流元数据交换 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114531263A true CN114531263A (zh) | 2022-05-24 |
| CN114531263B CN114531263B (zh) | 2023-05-23 |
Family
ID=76807514
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310545987.4A Pending CN116633607A (zh) | 2020-10-30 | 2021-07-30 | 网络与安全服务的安全功能之间的流元数据交换 |
| CN202110871478.1A Active CN114531263B (zh) | 2020-10-30 | 2021-07-30 | 网络与安全服务的安全功能之间的流元数据交换的方法、系统与介质 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310545987.4A Pending CN116633607A (zh) | 2020-10-30 | 2021-07-30 | 网络与安全服务的安全功能之间的流元数据交换 |
Country Status (3)
| Country | Link |
|---|---|
| EP (2) | EP3993331B1 (zh) |
| JP (3) | JP6980944B1 (zh) |
| CN (2) | CN116633607A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116318839A (zh) * | 2023-02-07 | 2023-06-23 | 东莞市鸣鹿信息科技有限公司 | 基于dpi技术的sd-wan流量识别方法、系统、设备 |
| CN118337871A (zh) * | 2024-06-17 | 2024-07-12 | 北京火山引擎科技有限公司 | 应用访问控制方法、装置、设备、存储介质及程序产品 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI820973B (zh) * | 2022-10-18 | 2023-11-01 | 財團法人資訊工業策進會 | 資訊安全預警裝置以及方法 |
| WO2024105524A1 (en) | 2022-11-14 | 2024-05-23 | Palo Alto Networks, Inc. | Centralized identity redistribution |
| NL2033723B1 (en) * | 2022-11-14 | 2024-05-28 | Palo Alto Networks Inc | Centralized identity redistribution |
| US20240179125A1 (en) * | 2022-11-30 | 2024-05-30 | Cisco Technology, Inc. | Service optimization in networks and cloud interconnects |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103907330A (zh) * | 2011-10-17 | 2014-07-02 | 迈克菲公司 | 在网络环境中用于重定向的防火墙发现的系统和方法 |
| US20170093681A1 (en) * | 2015-09-28 | 2017-03-30 | Juniper Networks, Inc. | Providing application metadata using export protocols in computer networks |
| US20190036814A1 (en) * | 2017-07-31 | 2019-01-31 | Cisco Technology, Inc. | Traffic steering with path ordering |
| US20200195557A1 (en) * | 2018-12-13 | 2020-06-18 | Fortinet, Inc. | Dynamic service-based load balancing in a software-defined wide area network (sd-wan) |
| CN111614605A (zh) * | 2019-02-26 | 2020-09-01 | 瞻博网络公司 | 基于sdn虚拟防火墙的安全组信息的边界防火墙的自动配置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4333723B2 (ja) | 2006-09-29 | 2009-09-16 | 株式会社日立製作所 | 通信ログ管理システム |
| US8423631B1 (en) | 2009-02-13 | 2013-04-16 | Aerohive Networks, Inc. | Intelligent sorting for N-way secure split tunnel |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US10749711B2 (en) * | 2013-07-10 | 2020-08-18 | Nicira, Inc. | Network-link method useful for a last-mile connectivity in an edge-gateway multipath system |
| US10476901B2 (en) | 2014-06-18 | 2019-11-12 | Nippon Telegraph And Telephone Corporation | Network system, control apparatus, communication apparatus, communication control method, and communication control program |
| US20160050182A1 (en) * | 2014-08-14 | 2016-02-18 | Cisco Technology Inc. | Diverting Traffic for Forensics |
| CA3014178C (en) * | 2016-02-10 | 2022-08-02 | Hughes Network Systems, Llc | System and method for policy-based multipath wan transports for improved quality of service over broadband networks |
| US10333948B2 (en) | 2016-02-29 | 2019-06-25 | Palo Alto Networks, Inc. | Alerting and tagging using a malware analysis platform for threat intelligence made actionable |
| EP3518479B1 (en) | 2017-08-30 | 2021-12-01 | NTT Communications Corporation | Network control device, communication system, network control method, program, and recording medium |
| US11201800B2 (en) * | 2019-04-03 | 2021-12-14 | Cisco Technology, Inc. | On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints |
-
2021
- 2021-07-05 EP EP21183807.3A patent/EP3993331B1/en active Active
- 2021-07-05 EP EP23164673.8A patent/EP4221092A1/en active Pending
- 2021-07-21 JP JP2021121005A patent/JP6980944B1/ja active Active
- 2021-07-30 CN CN202310545987.4A patent/CN116633607A/zh active Pending
- 2021-07-30 CN CN202110871478.1A patent/CN114531263B/zh active Active
- 2021-11-17 JP JP2021186746A patent/JP7224422B2/ja active Active
-
2023
- 2023-02-07 JP JP2023016506A patent/JP7568351B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103907330A (zh) * | 2011-10-17 | 2014-07-02 | 迈克菲公司 | 在网络环境中用于重定向的防火墙发现的系统和方法 |
| US20170093681A1 (en) * | 2015-09-28 | 2017-03-30 | Juniper Networks, Inc. | Providing application metadata using export protocols in computer networks |
| US20190036814A1 (en) * | 2017-07-31 | 2019-01-31 | Cisco Technology, Inc. | Traffic steering with path ordering |
| US20200195557A1 (en) * | 2018-12-13 | 2020-06-18 | Fortinet, Inc. | Dynamic service-based load balancing in a software-defined wide area network (sd-wan) |
| CN111614605A (zh) * | 2019-02-26 | 2020-09-01 | 瞻博网络公司 | 基于sdn虚拟防火墙的安全组信息的边界防火墙的自动配置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116318839A (zh) * | 2023-02-07 | 2023-06-23 | 东莞市鸣鹿信息科技有限公司 | 基于dpi技术的sd-wan流量识别方法、系统、设备 |
| CN118337871A (zh) * | 2024-06-17 | 2024-07-12 | 北京火山引擎科技有限公司 | 应用访问控制方法、装置、设备、存储介质及程序产品 |
| CN118337871B (zh) * | 2024-06-17 | 2024-08-30 | 北京火山引擎科技有限公司 | 应用访问控制方法、装置、设备、存储介质及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022073936A (ja) | 2022-05-17 |
| EP3993331B1 (en) | 2023-05-03 |
| JP7568351B2 (ja) | 2024-10-16 |
| JP6980944B1 (ja) | 2021-12-15 |
| JP2023098874A (ja) | 2023-07-11 |
| CN114531263B (zh) | 2023-05-23 |
| EP3993331A1 (en) | 2022-05-04 |
| JP7224422B2 (ja) | 2023-02-17 |
| CN116633607A (zh) | 2023-08-22 |
| JP2022074146A (ja) | 2022-05-17 |
| EP4221092A1 (en) | 2023-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750563B2 (en) | Flow metadata exchanges between network and security functions for a security service | |
| US12143423B2 (en) | Consistent monitoring and analytics for security insights for network and security functions for a security service | |
| US11949654B2 (en) | Distributed offload leveraging different offload devices | |
| CN114531263B (zh) | 网络与安全服务的安全功能之间的流元数据交换的方法、系统与介质 | |
| JP7503219B2 (ja) | コンテナ化されたアプリケーションのセキュリティ | |
| US12231399B2 (en) | Distributed traffic steering and enforcement for security solutions | |
| US20240372829A1 (en) | Networking and security split architecture | |
| US12267298B2 (en) | Distributed traffic steering and enforcement for security solutions | |
| US20250112893A1 (en) | Centralized identity redistribution | |
| US20250039138A1 (en) | Wildcard based private application access | |
| US20250031124A1 (en) | Extending local cellular wan capabilities to a connected device | |
| US20240291820A1 (en) | Systems and methods for performing split tunneling via different tunnels | |
| US20240214363A1 (en) | Cloud-based tunnel protocol systems and methods for multiple ports and protocols | |
| US20250039151A1 (en) | Load balancing secure network traffic | |
| WO2024105524A1 (en) | Centralized identity redistribution | |
| WO2025024378A1 (en) | Load balancing secure network traffic | |
| CN119563303A (zh) | 中心化身份重分发 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |