[go: up one dir, main page]

CN119563303A - 中心化身份重分发 - Google Patents

中心化身份重分发 Download PDF

Info

Publication number
CN119563303A
CN119563303A CN202380044468.8A CN202380044468A CN119563303A CN 119563303 A CN119563303 A CN 119563303A CN 202380044468 A CN202380044468 A CN 202380044468A CN 119563303 A CN119563303 A CN 119563303A
Authority
CN
China
Prior art keywords
security
user
context information
user context
platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202380044468.8A
Other languages
English (en)
Inventor
N·沙阿
S·韩
S·拉玛钱德兰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Networks Inc
Original Assignee
Palo Alto Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Palo Alto Networks Inc filed Critical Palo Alto Networks Inc
Priority claimed from PCT/IB2023/061381 external-priority patent/WO2024105524A1/en
Publication of CN119563303A publication Critical patent/CN119563303A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

公开了用于为安全服务提供中心化身份重分发的技术。在一些实施例中,用于为安全服务提供中心化身份重分发的系统/过程/计算机程序产品包括:在安全平台处从云安全服务接收用户上下文信息(例如,IP‑用户映射、用户‑标签映射、IP‑标签映射、IP‑端口‑用户映射、IP‑设备ID映射、5G用户上下文信息和/或其它用户上下文信息/数据);以及使用用户上下文信息在安全平台处应用安全策略。

Description

中心化身份重分发
本公开涉及一种同步蜜网配置以反映目标网络环境的系统和方法。
背景技术
防火墙通常保护网络免受未授权的接入,同时准许已授权的通信通过防火墙。防火墙通常是为网络接入提供防火墙功能的一个设备或一组设备、或在诸如计算机的设备上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话或其它类型的具有网络通信能力的设备)的操作系统中。防火墙也可以被集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据应用设备(appliance)(例如,安全应用设备或其它类型的专用设备)中,或者作为软件在该计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据应用设备(例如,安全应用设备或其它类型的专用设备)上执行。
防火墙通常基于一组规则来拒绝或准许网络传输。这些规则组常常被称为策略。例如,防火墙可以通过应用一组规则或策略来过滤入站流量(traffic)。防火墙还可以通过应用一组规则或策略来过滤出站流量。防火墙还可以能够执行基本的路由功能。
US2022/070223A1根据其摘要陈述了用于安全平台的技术,该安全平台具有组合的所选流量的外部内联处理。在一些实施例中,一种用于向安全平台提供组合的所选流量的外部内嵌处理的系统/方法/计算机程序产品包括:在安全平台处监控会话的网络流量;选择与该会话相关联的被监控的网络流量的子集以发送给基于云的安全服务,用于基于安全策略的分析,其中被监控的网络流量的所选子集被代理到基于云的安全服务;以及从基于云的安全服务接收基于安全策略的分析的结果,并以基于安全策略的分析的结果为基础来执行响应动作。
EP3993331A1根据其摘要陈述了用于为安全服务提供网络和安全功能之间的流元数据交换的技术。在一些实施例中,一种用于为安全服务提供网络和安全功能之间的流元数据交换的系统/过程/计算机程序产品包括:在安全服务的网络网关处从软件定义的广域网(SD-WAN)设备接收流;检查该流以确定与该流相关联的元信息;以及将与该流相关联的元信息传达给SD-WAN设备。
US2019/0089678A1根据其摘要陈述了用于基于进程风险的出站/入站横向流量投注(punting)的技术。在一些实施例中,一种用于基于进程风险的出站/入站横向流量投注的系统/过程/计算机程序产品包括:在企业网络上的网络设备处接收来自在EP设备上执行的端点(EP)代理的进程识别(ID)信息,在其中该进程ID信息识别与企业网络上的EP设备上的出站或入站网络会话相关联的进程,并且EP代理选择网络会话以投注到网络设备来进行检查;在该网络设备处监控与该网络会话相关联的网络通信,以识别该网络会话的应用程序识别(APP ID);以及使用进程ID信息和APP ID基于安全策略来执行动作。
发明内容
根据一个方面,提供了一种系统。该系统包括:处理器,其被配置为:在安全平台处从云安全服务接收用户上下文信息;使用所述用户上下文信息在所述安全平台处应用安全策略;以及存储器,其被耦合到所述处理器并且被配置为向所述处理器提供指令。
在一个实施例中,所述安全平台包括物理防火墙、虚拟机防火墙或基于容器的防火墙。
在一个可选实施例中,所述用户上下文信息包括IP-用户映射、用户-标签映射、IP-标签映射、IP-端口-用户映射和IP-设备ID映射中的至少一个。
在一个实施例中,所述安全平台订阅用于中心化身份重分发(redistribution)的段(segment)。
根据另一个方面,提供了一种方法,该方法包括:
在安全平台处从云安全服务接收用户上下文信息;以及
使用所述用户上下文信息在所述安全平台处应用安全策略。
在一个实施例中,所述安全平台包括物理防火墙、虚拟机防火墙或基于容器的防火墙。
在一个可选实施例中,所述用户上下文信息包括IP-用户映射、用户-标签映射、IP-标签映射、IP-端口-用户映射和IP-设备ID映射中的至少一个。
在一个实施例中,所述安全平台订阅用于中心化身份重分发的段。
根据另一个方面,提供了一种计算机程序产品,该计算机程序产品以有形的计算机可读存储介质来体现,并且包括用于执行如本文中定义的方法的计算机指令。
根据另一个方面,提供了一种处理器实施的方法,其包括:在已认证的安全平台处产生用户上下文信息和/或在所述安全平台处从一个或多个源获得用户上下文信息;以及将所述用户上下文信息发送到云安全服务。将会清楚的是,这个方法可以在如上所述的相同系统中实施。
在一个实施例中,所述安全平台是SD-WAN网络中的边缘设备,其中所述边缘设备被配置为充当所述SD-WAN网络的连接和/或终结点,其中所述边缘设备进一步被配置为经由IPsec隧道连接至所述安全服务。
在一个实施例中,所述安全平台包括物理防火墙、虚拟机防火墙或基于容器的防火墙。
在一个实施例中,所述安全平台发布用于中心化身份重分发的段,其中,优选地,所述段是安全平台或防火墙的分组。
根据又一个方面,提供了一种系统,其中该系统包括:处理器,其被配置为:在云安全服务处从安全平台接收用户上下文信息;将所述用户上下文信息存储在所述云安全服务的数据存储中,以用于将所述用户上下文信息重分发到另一个安全平台;以及存储器,其被耦合到所述处理器并且被配置为向所述处理器提供指令。
在一个实施例中,所述用户上下文信息包括IP-用户映射、用户-标签映射、IP-标签映射、IP-端口-用户映射和IP-设备ID映射中的至少一个。
在一个实施例中,所述另一个安全平台订阅用于中心化身份重分发的段,以从所述云安全服务接收所述用户上下文信息,并且其中所述云安全服务向所述另一个安全平台发布所述用户上下文信息。
根据另一个方面,提供了一种组件,该组件包括如本文中定义的系统。
根据另一个方面,提供了一种方法,该方法包括:在安全平台处从云安全服务接收用户上下文信息;以及将所述用户上下文信息存储在所述云安全服务的数据存储中,以用于将所述用户上下文信息重分发到另一安全平台。
根据另一方面,提供了一种计算机程序产品,该计算机程序产品以有形的计算机可读存储介质来体现,并且包括用于执行如本文中定义的方法的计算机指令。
附图说明
在以下详细描述和附图中公开本发明的各种实施例。
图1A-1B是根据一些实施例的包括示例SD-WAN架构和安全服务的系统环境图。
图2是根据一些实施例的用于针对安全服务的中心化身份重分发的云用户上下文架构。
图3A图示根据一些实施例的用于为安全服务提供中心化身份重分发的用户上下文信息以段分组和共享的架构概览。
图3B图示根据一些实施例的用于为安全服务提供中心化身份重分发的用户上下文信息以段分组和共享的另一架构概览。
图3C图示根据一些实施例的用于为安全服务提供中心化身份重分发的防火墙守护进程的架构。
图3D图示根据一些实施例的用于为安全服务提供中心化身份重分发的能够被上传和下载至云的IP用户映射的架构。
图3E图示根据一些实施例的用于为安全服务提供中心化身份重分发的IP用户映射工作流。
图3F图示根据一些实施例的用于为安全服务提供中心化身份重分发的能够被上传和下载至云的IP标签映射的架构。
图3G图示根据一些实施例的用于使用段为安全服务提供中心化身份重分发的架构。
图3H图示根据一些实施例的用于为安全服务提供中心化身份重分发的基于云的用户-ID组件架构。
图4A图示根据一些实施例的网络网关的实施例。
图4B是数据应用设备的实施例的逻辑组件的功能图。
图5是图示根据一些实施例的用于为安全服务提供中心化身份重分发的过程的流程图。
图6是图示根据一些实施例的用于为安全服务提供中心化身份重分发的过程的另一流程图。
图7是图示根据一些实施例的用于为安全服务提供中心化身份重分发的过程的另一流程图。
具体实施方式
本发明可以以许多方式来实施,包括作为过程;装置;系统;物质的组成;在计算机可读存储介质上体现的计算机程序产品;和/或处理器(诸如被配置为执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器)来实施。在本说明书中,这些实施方式或者本发明可以采取的任何其它形式可以被称为技术。通常,在本发明的范围内,所公开的过程的步骤的顺序可以改变。除非另有说明,否则被描述为被配置成执行任务的诸如处理器或存储器的组件可以被实施为被临时配置成在给定时间执行任务的通用组件,或者被制造成执行该任务的具体组件。如本文中所使用的,术语“处理器”指代被配置为处理诸如计算机程序指令的数据的一个或多个设备、电路和/或处理核。
下面连同图示本发明的原理的附图来提供本发明的一个或多个实施例的详细描述。结合这样的实施例来描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求来限制,并且本发明涵盖许多替代、修改和等同物。为了提供对本发明的全面理解,在以下描述中阐述许多具体细节。这些细节是出于示例的目的而提供的,并且本发明可以根据权利要求来实行,而没有这些具体细节中的一些或全部。为了清楚的目的,没有详细描述与本发明相关的技术领域中已知的技术材料,使得不会不必要地使本发明含糊难懂。
高级或下一代防火墙
恶意软件是一个通用术语,其通常用于指代有恶意的软件(例如,包括多种敌意的、侵入性的和/或另外不想要的软件)。恶意软件可以处于代码、脚本、活动内容和/或其它软件的形式。恶意软件的示例使用包括破坏计算机和/或网络操作、窃取专有信息(例如,机密信息,诸如身份、财务和/或知识产权相关信息)、和/或获得对私有/专有计算机系统和/或计算机网络的访问。不幸的是,随着帮助检测和减轻恶意软件的技术的发展,邪恶的作者找到了规避这样的努力的方法。因此,存在对改进用于识别和减轻恶意软件的技术的持续需要。
防火墙通常保护网络免受未授权的接入,同时准许已授权的通信通过防火墙。防火墙通常是为网络接入提供防火墙功能的一个设备或一组设备、或在设备上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话或其它类型的具有网络通信能力的设备)的操作系统中。防火墙也可以被集成到各种类型的设备或安全设备或者数据应用设备(例如,安全应用设备或其它类型的专用设备,并且在一些实施方式中,某些操作可以在诸如ASIC或FPGA的专用硬件中实施)中,或者作为软件应用程序在各种类型的设备或安全设备或者数据应用设备(例如,安全应用设备或其它类型的专用设备,并且在一些实施方式中,某些操作可以在诸如ASIC或FPGA的专用硬件中实施)上执行,所述各种类型的设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)。
防火墙通常基于一组规则来拒绝或准许网络传输。这些规则组常常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用一组规则或策略来过滤入站流量,以防止不想要的外部流量到达受保护的设备。防火墙还可以通过应用一组规则或策略来过滤出站流量(例如,允许、阻止、监控、通知或记录、和/或可以在防火墙规则或防火墙策略中指定其它动作,其可以基于诸如本文中描述的各种标准来触发)。防火墙还可以通过类似地应用一组规则或策略来过滤本地网络(例如,内联网)流量。
安全设备(例如,安全应用设备、安全网关、安全服务和/或其它安全设备)可以执行各种安全操作(例如,防火墙、反恶意软件、入侵阻止/检测、代理和/或其它安全功能)、联网功能(例如,路由、服务质量(QoS)、网络相关资源的工作负荷平衡和/或其它联网功能)、和/或其它安全和/或联网相关操作。例如,可以基于源信息(例如,IP地址和端口)、目的地信息(例如,IP地址和端口)和协议信息(例如,基于层-3IP的路由)来执行路由。
基本数据包(packet)过滤防火墙通过检查在网络上传输的各个数据包来过滤网络通信流量(例如,数据包过滤防火墙或第一代防火墙,其是无状态数据包过滤防火墙)。无状态数据包过滤防火墙通常检查各个数据包它们本身,并且基于检查的数据包应用规则(例如,使用数据包的源和目的地地址信息、协议信息和端口号的组合)。
应用防火墙还可以执行应用层过滤(例如,使用应用层过滤防火墙或第二代防火墙,其在TCP/IP堆栈的应用层级上工作)。应用层过滤防火墙或应用防火墙通常可以识别某些应用程序和协议(例如,使用超文本传输协议(HTTP)的web浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、以及各种其它类型的应用程序和其它协议,诸如Telnet、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻止试图通过标准端口进行通信的未授权的协议(例如,试图通过使用针对那个协议的非标准端口偷偷通过的未授权的/不符合策略的协议通常可以使用应用防火墙来识别)。
有状态防火墙还可以执行基于有状态的数据包检查,在其中在与那个网络传输的数据包的流/数据包流相关联的一系列数据包的上下文内检查每一个数据包(例如,有状态防火墙或第三代防火墙)。这个防火墙技术通常被称为有状态数据包检查,因为它维护通过防火墙的所有连接的记录,并且能够确定数据包是新连接的开始、现有连接的一部分还是无效数据包。例如,连接的状态本身可以是触发策略内的规则的标准之一。
如上文所讨论的,高级或下一代防火墙可以执行无状态和有状态数据包过滤和应用层过滤。下一代防火墙还可以执行附加的防火墙技术。例如,某些较新的防火墙(有时被称为高级或下一代防火墙)也可以识别用户和内容。特别地,某些下一代防火墙正在将这些防火墙可以自动识别的应用程序的列表扩展到数千个应用程序。这样的下一代防火墙的示例是商业上从派拓网络(Palo Alto Networks)有限公司可得到的(例如,派拓网络的PA系列下一代防火墙、派拓网络的VM系列虚拟化下一代防火墙和CN系列容器下一代防火墙)。
作为一个示例,也可以使用虚拟化防火墙来实施高级或下一代防火墙。这样的下一代防火墙的示例是商业上从派拓网络有限公司可得到的(例如,派拓网络的防火墙,其支持各种商业虚拟化环境,包括例如ESXiTM和NSXTMNetScaler SDXTM、KVM/OpenStack(Centos/RHEL、)和亚马逊Web服务(AWS))。例如,虚拟化防火墙可以支持相似或完全相同的下一代防火墙和物理形状因数应用设备中可用的高级威胁阻止特征,从而允许企业安全地启用流入和流经它们的私有、公有和混合云计算环境的应用程序。诸如VM监控、动态地址组和基于REST的API的自动化特征允许企业主动地监控VM变化,动态地将那个上下文馈送到安全策略中,由此消除当VM变化时可能出现的策略滞后。
例如,派拓网络的下一代防火墙使得企业和服务提供商能够使用各种识别技术来识别和控制应用程序、用户和内容(不仅仅是端口、IP地址和数据包),该识别技术诸如以下各项:用于准确应用程序识别的App-IDTM(例如,应用程序ID)、用于用户识别(例如,按用户或用户组)的用户-IDTM(例如,用户ID)、以及用于实时内容扫描的Content-IDTM(例如,内容ID)(例如,控制web冲浪并限制数据和文件传输)。这些识别技术允许企业使用与业务相关的概念来安全地启用应用程序使用,而不是遵循由传统端口阻塞防火墙提供的传统方法。此外,实施为例如专属应用设备的对于下一代防火墙的专用硬件通常为应用程序检查提供比在通用硬件上执行的软件更高的性能水平(例如,诸如由派拓网络有限公司提供的安全应用设备,其利用与单通道软件引擎紧密集成的专属、功能特定的处理,以将网络吞吐量最大化,同时将对于派拓网络的PA系列下一代防火墙的等待时间(latency)最小化)。
用于提供中心化身份重分发的技术的概述
针对用户上下文的重分发的现有方法通常需要针对每一种数据类型的单独协议。这些方法针对更多的数据类型不是容易地可扩展的。此外,这些方法通常需要复杂的配置(例如,代理-客户端)部署,并且不会提供这样的用户上下文数据的集中可视性。此外,这样的现有方法提供了受限的可扩展性(例如,基于安全平台/防火墙资源受限的可扩展性)。
因此,当前的安全架构存在技术挑战。具体来说,存在对在任何安全架构中具有已认证的用户身份的需要,以确保对资源的安全访问并执行零信任(例如,在企业网络计算环境中)。
例如,对于无限制的劳动力(例如,地理上分发的用户、和/或混合/远程用户),安全架构是高度分发式的,并且将本地学习的身份上下文(例如,IP-用户、用户-标签、IP-标签、IP-端口-用户、IP-设备ID和/或各种其它身份上下文)分发至整个安全架构以进行安全的一致应用是一项重要的技术挑战。此外,部署和调试用户上下文重分发的问题也是一个复杂的技术挑战。
因此,所需要的事物是一种提供实时用户上下文重分发以用于安全策略的及时且有效执行的解决方案。
还希望提供可用于对安全实体/设备(例如,防火墙、网关等)以及SD-WAN环境的消费(consumption)的用户上下文。
还希望提供高度可用且稳健的(多个)重分发点(例如,以避免产生单点故障)。
还希望提供一种针对可扩展用于其它上下文类型(例如,5G数据、设备-ID等)的身份上下文的重分发的解决方案。
因此,公开了用于中心化身份重分发的各种技术。
在一些实施例中,用于针对安全服务的中心化身份重分发的系统/过程/计算机程序产品包括:在安全平台处从云安全服务接收用户上下文信息(例如,IP-用户映射、用户-标签映射、IP-标签映射、IP-端口-用户映射、IP-设备ID映射、5G用户上下文信息和/或其它用户上下文信息/数据);以及使用用户上下文信息在安全平台处应用安全策略。在一个示例中,安全系统基于用户上下文信息的类型在策略中应用用户上下文信息。一些用户上下文信息(诸如用户-标签映射、IP-标签映射、IP-端口映射、IP-端口-用户映射)可以例如被用来直接应用策略,而一些类型(诸如5G数据、设备-ID)被用来确定在策略中使用的对象的成员资格。
在一些实施例中,用于针对安全服务的中心化身份重分发的系统/过程/计算机程序产品包括:将用户上下文信息(例如,IP-用户映射、用户-标签映射、IP-标签映射、IP-端口-用户映射、IP-设备ID映射、5G用户上下文信息和/或其它用户上下文信息/数据)从安全平台发送至云安全服务;以及将用户上下文信息存储在云安全服务的数据存储中,以用于将用户上下文信息重分发到另一安全平台。所公开的用于中心化身份重分发的技术允许在安全平台处学习用户上下文信息,并且在与学习了用户上下文信息的安全平台不同的安全平台处使用所述用户上下文信息来应用安全策略。将清楚的是,安全平台可以被配置为既发送用户上下文信息又接收用户上下文信息。
例如,所公开的用于中心化身份重分发的技术可以跨所有安全平台(包括物理防火墙以及虚拟机(VM)和容器防火墙)来实施。
作为另一示例,可以实施所公开的用于中心化身份重分发的技术,以促进对于身份信息/数据的基于段的流控制。
此外,所公开的用于中心化身份重分发的技术可以简化和统一用户上下文的重分发。例如,所公开的用于中心化身份重分发的技术可以简化和统一用户上下文的重分发,并且可以提供集中位置/源来消费所有用户上下文信息。
此外,所公开的用于中心化身份重分发的技术通常不需要现有企业客户部署的任何变化。例如,所公开的技术可以促进跨区域的基于云的身份重分发,在其中添加/删除安全平台(例如,防火墙、设备等)是简单的,并且通常不需要任何配置变化。
最后,所公开的用于中心化身份重分发的技术促进减少每一个安全平台(例如,防火墙、网关/设备等)上的CPU和存储器资源使用,因为大多数处理/合并可以被实施为使用云资源来执行,并且例如仅从中心化/单个源接收数据。
因此,公开了如下文还将进一步描述的用于针对安全服务的中心化身份重分发的各种技术。
包括用于针对安全服务的中心化身份重分发的示例云用户上下文架构的系统环境
图1A-1B是根据一些实施例的包括示例SD-WAN架构和安全服务的系统环境图。这些示例系统图概括地图示用于利用与安全服务(例如,基于云的安全服务)通信的SD-WAN连接来保护分支机构和总部站点的安全服务。
随着组织跨不同地理位置的发展,选择一个网络成为成本、性能和安全性的微妙的平衡行为。软件定义的WAN(SD-WAN)通过将联网硬件(数据平面)与其控制机制(控制平面)分离,简化了WAN的管理和操作。SD-WAN技术允许公司使用较低成本的互联网接入来构建更高性能的WAN。随着SD-WAN的采用,组织越来越多地直接连接到互联网,为保护远程网络和移动用户引入了安全挑战。此外,软件即服务(SaaS)应用程序的部署已显著增加,随着许多组织直接连接到这样的基于云的SaaS应用程序,引入了附加的安全挑战。SD-WAN技术的采用引入了成本节约方面的许多益处,并使得组织能够是敏捷和最优化的。然而,它也使分支机构和用户成为网络攻击和其它技术安全挑战的目标,如上文类似地描述的。
SD-WAN安全通常希望与联网一样灵活,但是在各种企业网络环境中,使传统安全方法适应这样的演进SD-WAN联网也是技术上有挑战性的,诸如在如将在下文描述的图1A和图1B中示出的。在传统的园区网络设计中,在互联网边界处存在可以保护分支的一整堆网络安全应用设备,如果使所有流量都度过核心网络以通过互联网边界处的这样一整堆网络安全应用设备,则情况确实如此。然而,SD-WAN并不总是使用这个网络架构,诸如如果SD-WAN被配置为集成云/SaaS应用程序。
传统方法的替代是在分支机构处部署网络安全应用设备。然而,这个传统方法使部署复杂化,因为它导致安全设备/元件更靠近分支机构。
SD-WAN技术通常使用软件定义网络(SDN)的原理,并且使控制平面和数据平面分离。基于这个原理,SD-WAN部署通常包括以下组件:(1)管理员用来集中配置WAN拓扑并定义流量路径规则的控制器;以及(2)物理的或虚拟的SD-WAN边缘设备,其驻留在每个站点处并充当SD-WAN构造(Fabric)的连接点和终结点。
在示例SD-WAN类型1部署(例如,分支和总部部署)中,在每一个分支站点处,组织可以部署一个或多个SD-WAN边缘设备,并连接它们以形成SD-WAN构造或SD-WAN叠加。管理员使用基于云的或基于组织的内部部署(premise)的SD-WAN控制器来管理和配置这些边缘设备并定义每一个站点处的流量转发策略。
参考图1A,对于一个示例部署(例如,分支、总部和区域数据中心部署),在每一个数据中心处的SD-WAN边缘设备102A、102B和102C中的每一个与安全服务120(例如,诸如经由Prisma接入(PA)提供的基于云的安全服务,其是一种商业上从总部在加利福尼亚州圣克拉拉的派拓网络有限公司可得到的基于云的安全服务)之间设置IPSec隧道(例如,包括在每一个分支和总部站点处的(多个)SD-WAN边缘设备之间的IPSec隧道)。这个示例系统图是一个用于利用如110处示出的一个WAN链路(类型1)保护来自每一个分支站点的流量的示例部署。SD-WAN构造110和安全服务120每一个与互联网140通信。安全服务120与数据存储130(例如,用于网络/安全记录数据的数据存储,诸如商业上从总部在加利福尼亚州圣克拉拉的派拓网络有限公司可得到的CortexTM数据湖)通信。
具体而言,这个架构在区域数据中心中添加SD-WAN设备,连同在每一个分支和总部站点处添加SD-WAN设备。这些区域数据中心可以是公有或私有云环境。区域数据中心处的SD-WAN设备为那个区域中的较小站点聚合网络流量。例如,当存在多个具有与互联网的较低带宽连接的区域分支站点时,组织可以使用这个部署。
参考图1B,对于另一示例部署(例如,分支、总部和区域数据中心),在每一个数据中心处的SD-WAN边缘设备(例如,包括在SD-WAN设备102D和102E处)与安全服务120(例如,诸如经由Prisma接入(PA)提供的基于云的安全服务,其是一种商业上从总部在加利福尼亚州圣克拉拉的派拓网络有限公司可得到的基于云的安全服务)之间设置IPSec隧道。这个示例系统图是一个利用区域集线器/POP架构来保护SD-WAN部署的示例部署。如示出的,在每一个区域数据中心或集线器106A和106B与安全服务120之间建立IPSec隧道。
当今常见的网络架构是通过MPLS链路或专属加密VPN链路在企业的总部和分支之间隧道中转(tunnel)流量。随着越来越多的服务是基于云的(例如,包括SaaS解决方案,诸如微软办公软件 等),并且互联网上更多的信息是可用的,在将流量路由到其最终目的地之前,将流量隧道中转回到聚合点通常没有多大意义。从分支本地分出流量(例如,与内部部署的应用设备相反)通常允许流量更快地到达其目的地,并更高效地使用带宽。然而,允许直接在分支中的设备与互联网之间的流量也会引入新的技术安全挑战,如上文类似描述的。
具体而言,在这些和其它示例SD-WAN架构和安全服务中,流可以被配置为通过安全服务120,或绕过安全服务120并被路由至区域数据中心或集线器或互联网,而不通过安全服务120。因此,这些和其它示例SD-WAN架构和安全服务引起上述技术安全问题,因为通过安全服务的流量在出口SD-WAN设备/元件以及安全服务两者处被低效地检查/监控(例如DPI或其它监控/检查活动)。此外,这些和其它示例SD-WAN架构和安全服务引起上述技术安全问题,因为绕过安全服务的流量没有被一致地检查/监控,并且将不会收集对安全服务的网络和安全功能的安全洞察力的分析。
因此,可以在这些示例SD-WAN架构和安全服务中执行所公开的用于中心化身份重分发的技术,如下文将关于图2进一步描述的。
图2是根据一些实施例的用于针对安全服务的中心化身份重分发的云用户上下文架构。用户-ID组件通常是安全策略(例如,防火墙策略)的中心组件,并且用户-ID组件是许多安全设计原理的支柱。所公开的用于中心化身份重分发的技术提供了能够消费用户上下文并向所有下游消费者提供用户上下文的全局上下文,如现在将关于图2进一步描述的。
参考图2,用户-ID中介代理(broker)服务202是提供应用程序编程接口(API)网关的云组件。用户-ID中介代理服务包括一个或多个中介代理豆荚(pod)204。用户-ID中介代理服务可以经由API(例如,REST API)接受来自任何已授权实体(例如,包括非PAN-OS实体/防火墙)的数据,该已授权实体诸如云身份引擎(CIE)206(例如,如将在下文进一步描述的云原生单点登录(SSO)和目录服务,其促进中心化可视性和通道/段配置)。用户-ID中介代理服务可以接受任何数据类型的数据,并且容易地可扩展用于更多数据类型(例如,用户-ID、设备-ID、5G数据等)。如图2中示出的,边缘用户-ID服务210是与安全平台214A、214B和214C(例如,派拓网络防火墙和/或其它兼容设备/实体)交互的另一云组件。
还如图2中示出的,边缘用户-ID服务包括如示出的边缘豆荚212A、212B和212C。边缘用户-ID服务通过通信协议(例如,gRPC)从这些设备/实体接受和发送数据(例如,用户上下文/身份信息/数据)。边缘用户-ID服务和用户-ID中介代理服务经由数据存储共享数据,如大表(BigTable)208示出的(例如,边缘用户-ID服务和用户-ID中介代理服务可以将数据存储在大表中,这可以使用商业上从谷歌可得到的谷歌云大表数据存储解决方案来实施,或者可以类似地实施另一云数据存储)。如下文进一步描述的,可以使用发布和订阅分发模型(例如,发布和订阅段,诸如将在下文关于图3A进一步描述的)来分发用户上下文/身份信息。
图3A图示根据一些实施例的用于为安全服务提供中心化身份重分发的用户上下文信息以段分组和共享的架构概览。在这个示例中,防火墙(设备)上的传入流量基于其IP地址归属于已识别的用户。用户上下文信息(例如,IP-标签、IP-用户映射、IP-端口-用户、IP-隔离、用户-标签等)与通过基于云的重分发服务可得到的IP地址相关联(例如,周期性地(诸如每两秒或某个其它周期性间隔)提供对于时间敏感的用户上下文数据的重分发,以用于为安全策略的及时且有效执行提供实时用户上下文重分发),诸如上文关于图2类似描述的。云用户ID(CUID)302(例如,在图2中的202处示出的云中的用户-ID中介代理服务的示例实施方式)是在多个云区域中托管的多租户重分发服务。如在304A、304B、304C、304D、304E和304F处示出的安全平台(例如,防火墙和/或其它安全设备/实体)可以被分组成“段”,并且用户上下文/身份信息/数据的重分发可以被限制以停留在段内,诸如对于美国(US)区域、欧洲(EU)区域和亚太(AP)区域的远程网络(RN),诸如在306A、306B和306C处示出的。
在这个示例实施方式中,产生用户-上下文信息的任何已认证的安全平台(例如,防火墙和/或其它安全设备/实体,诸如图3A中的304A、304B、304C、304D、304E和304F处示出的)可以被配置为发布至CUID中的段。此外,任何已认证的安全平台(例如,防火墙和/或其它安全设备/实体)可以订阅(多个)段(例如,如图3A中示出的RN US 306A、RN EU 306B和/或RN AP 306C)来消费对于特定租户的用户上下文信息。
图3B图示根据一些实施例的用于为安全服务提供中心化身份重分发的用户上下文信息以段分组和共享的另一架构概览。在这个示例实施方式中,配置是中心化的,并且做出贡献的安全平台(例如,防火墙和/或其它安全设备/实体)通常不需要知道任何与重分发相关的配置。CUID 302的配置可以经由集线器322使用CIE接口(例如,GUI)320来执行。如上文关于图3A类似地描述的,CUID可以复制数据以使用户上下文信息/数据跨段(例如,可以配置区域和/或另一分段)可用,从而确保安全接入,而不管用户的位置。
参考图3B,CUID 302包括分支A段324A和分支B段324B。分支A防火墙326A与分支A段324A进行不同用户上下文数据类型的发布/订阅通信。分支B防火墙326B与分支B段324B进行不同用户上下文数据类型的发布/订阅通信。数据中心防火墙328与所有分支(其包括如图3B中示出的这个示例实施方式中的分支A段324A和分支B段324B)进行不同用户上下文数据类型的发布/订阅通信。
图3C图示根据一些实施例的用于为安全服务提供中心化身份重分发的防火墙守护进程的架构。在这个示例实施方式中,云服务用户-ID中介代理(例如,如图2中的202处示出的云中的用户-ID中介代理服务)与CIE(例如,诸如图2中示出的云身份引擎206)通信/交互。边缘用户-ID服务(例如,如图2中的210处示出的云中的边缘用户-ID服务)基于分发(例如,发布/订阅)模型(例如,用于安全服务的防火墙和/或其它安全设备/实体)从所有安全平台收集用户上下文信息/数据,并将用户上下文信息/数据分发到所有安全平台。还如上文关于图2类似地描述的,用户-ID中介代理和边缘用户-ID使用大表(例如,如图2中示出的大表208)来存储这样的用户上下文/身份数据。如上文关于图3A和图3B类似地描述的,可以使用段来对安全平台(例如,防火墙和/或用于安全服务的其它安全设备/实体)进行分组,以约束对于(多个)特定租户的数据流。边缘用户-ID经由中介代理从CIE接收安全平台到段的映射。CIE查询中介代理以获得对于可视性要求的用户上下文/身份数据。
参考图3C,中介代理/边缘-用户-ID 330与安全平台(例如,防火墙和/或其它安全设备/实体)的管理平面332通信。具体而言,安全平台的管理平面的身份云守护进程(ICD)334与中介代理/边缘-用户-ID通信,以传达IP-用户映射(例如,PAN-OS用户ID)(上传/下载)并传达其它数据类型(上传/下载)。ICD 334与用户-ID组件340(例如,在对于PAN-OS防火墙的这个示例实施方式中的PAN-OS用户-ID组件,其与如342处示出的PAN-OS防火墙的数据平面(DP)通信)通信,以将数据上传到边缘用户-ID服务。此外,ICD 334从边缘用户-ID服务提取数据,并基于数据类型将其发送到用户-ID组件340或IoT组件338。Redis组件336是存储器中(in-memory)的数据存储(例如,Redis组件可以使用作为Redis数据库的极简C客户端库的Hiredis来实施,或者可以类似地使用另一商业上可得到的或开源的redis解决方案)。主机信息配置文件(HIP)信息可以使用类似的技术经由云类似地被重分发并使得可用。
图3D图示根据一些实施例的用于为安全服务提供中心化身份重分发的能够被上传和下载至云的IP用户映射的架构。如示出的,用户-ID组件340从各种源(例如,系统日志(Syslog)、XMLAPI、活动目录(AD)、代理、强制网络门户(CP)(例如,当用户发起与认证策略规则匹配的web流量(HTTP或HTTPS)时,PAN-OS防火墙可以被配置为提示用户通过强制网络门户(CP)进行认证,这确保我们确切地知道谁正在访问例如敏感应用程序和数据;然后基于在认证期间收集的用户信息,防火墙可以创建新的IP地址到用户名映射,或者更新对于那个用户的现有映射;例如,这个用户映射的方法在其中防火墙不能通过诸如监控服务器的其它技术学习映射的环境中可以是有用的,例如,您可能有未登录到您所监控的域服务器的用户,例如Linux客户端上的用户)、VPN(诸如商业上从总部在加利福尼亚州圣克拉拉市的派拓网络有限公司可得到的全局保护(GlobalProtect,GP)等)接收IP用户映射350。如示出的,用户-ID组件340更新至LRU缓存的映射。IP地址可以被用作LRU缓存的关键(key)。用户-ID组件340发布对Redis列表的更新,其可以被用作如示出的上传队列。列表的关键名称是“UPLOADQ”。“UPLOADQ”是一个IP地址的列表。ICD 334从“UPLOADQ”消费IP用户映射。如示出的,ICD 334将IP用户映射上传到边缘(即,中介代理/边缘-用户-ID)330。还如示出的,ICD 334从边缘330下载IP用户映射。ICD 334将IP用户映射保存到LRU缓存(例如,LRU缓存大小可以默认被实施为500K缓存,或者可以类似地在IP用户映射组件350中实施一些其它缓存大小)。ICD 334将IP用户映射发布到Redis列表,其被用作下载队列。列表的关键名称是“DOWNLOADQ”(例如,“DOWNLOADQ”是IP地址的列表)。用户-ID组件340消费“DOWNLOADQ”。用户-ID组件340将IP用户映射推送到DP 342。
图3E图示根据一些实施例的用于为安全服务提供中心化身份重分发的IP用户映射工作流。图3E图示对于云用户-ID IP用户映射的上传工作流以及未知查询和下载工作流的示例实施方式。
图3F图示根据一些实施例的用于为安全服务提供中心化身份重分发的能够被上传和下载至云的IP标签映射的架构。如示出的,可以使用所公开的中心化身份重分发技术来类似地重分发IP标签映射。例如,IP标签映射可以被保持在用户-ID存储器中,并保存在磁盘上,如在350处类似地示出的。用户-ID组件可以从各种源获得IP标签映射(例如,可以类似地使用VM监控、XMLAPI、自动标记、代理、Panorama(其是商业上从总部在加利福尼亚州圣克拉拉的派拓网络有限公司可得到的管理平台)和/或各种其它源)。用户-ID组件将IP标签映射发布到Redis“UPLOADQ”。ICD消费“UPLOADQ”。ICD将IP标签映射上传到边缘。ICD从边缘下载IP标签映射。ICD向“DOWNLOADQ”发布更新。用户-ID组件消费“DOWNLOADQ”。用户-ID组件将对XML文件的更新保存在本地磁盘上,然后通知如在352处示出的开发服务器(Devsrvr)。
在另一示例实施方式中,可以使用所公开的中心化身份重分发技术来类似地重分发IP-端口用户映射(例如,和/或用户上下文信息,诸如其它用户映射)。
图3G图示根据一些实施例的用于使用段为安全服务提供中心化身份重分发的架构。每当用户上下文数据(例如,用户上下文信息)被安全平台发布到边缘(即,中介代理/边缘-用户-ID)时,用户上下文数据就与由CIE配置的段(例如,段通常指代安全平台/防火墙的分组,并且在本文中也被称为通道,诸如图3F中示出的)相关联(例如,被存储在由CIE配置的段中)。属于同一段的所有安全平台将接收这个所发布的数据(例如,每一个防火墙正向该段发布数据并向该段订阅用户上下文数据,并且边缘将在大表数据存储中的不同段之间提供逻辑分离)。
在一个示例实施方式中,边缘(即,中介代理/边缘-用户-ID)检测段的任何变化,并将(多个)安全平台移动到新段。在改变之后,边缘将来自新段的所有数据下载到(多个)安全平台。云中现有的旧段数据未被触动。(多个)安全平台上来自旧段的现有数据保持未被触动。有超时的数据将会超时。没有超时的数据(比如IP主机或IP标签)可以保留在(多个)安全平台上。每当(多个)安全平台长时间段地(例如,一分钟或一些其它预定或可配置的时间段)失去与边缘的连接时,可以执行以下重新同步操作:(1)当(多个)安全平台重新连接时,边缘可以将对于该段的所有数据转储(dump)到(多个)安全平台;以及(2)(多个)安全平台可以向边缘发布所有新数据。
图3H图示根据一些实施例的用于为安全服务提供中心化身份重分发的基于云的用户-ID组件架构。在这个示例实施方式中,DAS(设备关联服务)为客户提供了用来将一组设备(例如,安全平台,诸如网络网关防火墙(NGFW)、Prisma接入(PA)、软件定义的广域网(SD-WAN)等)与单个租户ID(被称为TSGID)相关联的解决方案。因此,它将使安全平台的序列号与TSGID相关联。执行器(enforcer)组件查询实例存储(例如对于DAS的前端)以获得给定序列号的TSGID。一旦防火墙连接到边缘,就由边缘来查询执行器实例以获得TSGID。TSGID提供了全局租户ID,以将由DAS一起生成的所有设备分组。如本文中使用的,段TSGID通常指代客户的全局租户ID,其可以跨客户能够使用的所有安全服务来使用(例如,所有安全平台/防火墙和服务(服务租户id)可以被映射到这个全局TSGID,其可以被用来在大表后端中的客户之间提供数据分离)。
在一个示例实施方式中,对于NGFW(例如,安全平台/防火墙)的工作流以客户将CIE、CDL和FAWKES首次引导(onboarding)至TSG来开始。然后,DAS可以被用来将防火墙设备与TSG相关联。然后,CIE可以被用来为由DAS提供的这些关联设备中的每一个配置段。这个配置被推送到边缘并且对所有区域全局可用,如图3H中示出的。最后,防火墙可以基于地理定位服务(例如,使用AWS地理定位服务或另一地理定位服务)连接到部署在特定区域中的边缘。一旦边缘连接,边缘就将基于由CIE推送的配置来上传/下载数据。
在另一示例实施方式中,对于PA(例如,商业上从总部在加利福尼亚州圣克拉拉的派拓网络有限公司可得到的Prisma接入安全解决方案)的工作流以客户将CIE、CDL和FAWKES首次引导至TSG来开始。然后,DAS可以被用来将PA实例与TSG相关联。然后,SaaS代理可以将设备的列表推送到CIE。CIE可以在这些设备上配置段。这个配置被推送到了边缘并且对所有区域全局可用。PA防火墙可以基于地理定位服务(例如,使用AWS地理定位服务或另一地理定位服务)连接到部署在特定区域中的边缘。一旦边缘连接,边缘就将基于由CIE推送的配置来上传/下载数据。
在一个示例实施方式中,可执行数据复制,以复制用户上下文信息,如现在将描述的。在一些用例中,SD-WAN和PA可以要求跨区域(例如,US、APAC、EU等)复制数据。例如,用户上下文信息(诸如在EU区域中创建的特定IP用户映射)应该可用于在美国区域中的安全平台上使用(例如,诸如对于其中US中的数据中心安全平台需要被来自不同区域的用户访问的用例)。这样的用例中的数据复制可以使用上述大表复制特征来实施。例如,在EU区域中创建的任何IP-用户映射可以被配置为使用谷歌云平台(GCP)自动同步到US区域(例如,这可以由段上的全局复制配置来控制)。
因此,所公开的用于中心化身份重分发的技术可以跨不同的安全平台(包括物理、VM和容器防火墙)来实施,并且如上文类似描述的不要求对现有客户部署进行任何改变。所公开的用于中心化身份重分发的技术还可以通过提供用于消费所有用户上下文信息的中央源(例如,使用发布和订阅通信模型,包括对于例如IP-标签和用户-标签重分发的发布和订阅通信模型)来简化和统一用户上下文的重分发。
此外,所公开的用于中心化身份重分发的技术促进跨段的基于云的身份重分发,并且为身份数据(例如,区域,诸如上文关于图3A和图3B类似描述的)提供基于段的流控制。
此外,对于身份数据的基于段的流控制促进减少每一个安全平台(例如,防火墙或其它安全设备/实体)上的CPU和存储器资源,因为大多数处理/合并/存储在云中执行,并且仅从一个源接收数据。此外,添加/删除安全平台(例如,防火墙或其它安全设备/实体)是简单的,并且不需要任何配置变化。
图4A中示出网络网关214的实施例(例如,诸如图2中214A-C处示出的网络网关)。在各种实施例中,如果网络网关被实施为数据应用设备,则示出的示例是可以被包括在网络网关214中的物理组件的表示。具体而言,数据应用设备包括高性能多核中央处理单元(CPU)402和随机存取存储器(RAM)404。数据应用设备还包括存储装置410(诸如一个或多个硬盘或固态存储单元)。在各种实施例中,数据应用设备存储(无论是在RAM 404、存储装置410和/或其它适当的位置中)在监控企业网络和实施所公开的技术中使用的信息。这样的信息的示例包括应用程序标识符、内容标识符、用户标识符(例如,用户身份/上下文信息/数据,诸如本文中类似地描述的)、请求的URL、IP地址映射、策略和其它配置信息、签名、主机名/URL分类信息、恶意软件配置文件和机器学习模型。数据应用设备还可以包括一个或多个可选的硬件加速器。例如,数据应用设备可以包括:加密引擎406,其被配置为执行加密和解密操作;以及一个或多个现场可编程门阵列(FPGA)408,其被配置为执行匹配、充当网络处理器和/或执行其它任务。
本文中描述为由数据应用设备执行的功能可以以多种方式来提供/实施。例如,数据应用设备可以是专属设备或设备组。由数据应用设备提供的功能也可以被集成到通用计算机、计算机服务器、网关和/或网络/路由设备中或者作为软件在通用计算机、计算机服务器、网关和/或网络/路由设备上执行。在一些实施例中,通过在客户端设备上执行的软件,至少一些被描述为由数据应用设备提供的服务被作为代替(或附加地)提供给客户端设备(例如,诸如膝上型电脑、智能电话等的端点设备)。
每当数据应用设备被描述为执行任务时,数据应用设备的单个组件、组件子集或所有组件可以协作来执行该任务。类似地,每当数据应用设备的组件被描述为执行任务时,子组件可以执行该任务和/或组件可以结合其它组件来执行该任务。在各种实施例中,数据应用设备的部分由一个或多个第三方来提供。取决于诸如对数据应用设备可用的计算资源量的因素,可以省略数据应用设备的各种逻辑组件和/或特征,并且相应地改编本文中描述的技术。类似地,在适用的情况下,附加的逻辑组件/特征可以被包括在数据应用设备的实施例中。在各种实施例中,包括在数据应用设备中的组件的一个示例是应用程序识别引擎,其被配置为识别应用程序(例如,使用各种应用程序签名来基于数据包流分析识别应用程序)。例如,应用程序识别引擎可以确定会话涉及什么类型的流量,诸如Web浏览—社交联网;Web浏览-新闻;SSH;等等。
所公开的系统处理架构可以在不同部署场景中与不同类型的云使用,诸如以下各项:(1)公有云;(2)私有云内部部署;以及(3)高端物理防火墙内部。可以分配一些处理能力来执行私有云(例如,使用派拓网络PA系列防火墙应用设备中的管理平面(MP))。
图4B是数据应用设备的实施例的逻辑组件的功能图。示出的示例是在各种实施例中可以被包括在网络网关214中的逻辑组件的表示(例如,诸如图2中214A-C处示出的网络网关)。除非另有说明,否则网络网关214的各种逻辑组件通常是以多种方式可实施的,包括作为一个或多个脚本的集合(例如,在适用的情况下,以Java、python等编写)。
如示出的,网络网关214包括防火墙,并且包括管理平面432和数据平面434。管理平面负责管理用户交互,诸如通过提供用于配置策略和查看日志数据的用户界面。数据平面负责管理数据,诸如通过执行数据包处理和会话处置。
网络处理器436被配置为从客户端设备(诸如客户端设备(例如,端点设备,诸如用户的笔记本电脑、智能手机、平板电脑等))接收数据包,并将它们提供给数据平面434以进行处理。每当流模块438将数据包识别为新会话的一部分时,它就创建新会话流。基于流查找,后续数据包将被识别为属于该会话。如果适用的话,由SSL解密引擎440应用SSL解密。否则,省略通过SSL解密引擎440的处理。解密引擎440可以帮助网络网关214检查和控制SSL/TLS和SSH加密流量,并且因此帮助停止否则可能保持隐藏在加密流量中的威胁。解密引擎440还可以帮助阻止敏感内容离开企业/安全客户的网络。可以基于诸如URL分类、流量源、流量目的地、用户、用户组和端口的参数来选择性地控制(例如,启用或禁用)解密。除了(例如,指定解密哪些会话的)解密策略之外,可以指派解密配置文件来控制对于由策略控制的会话的各种选项。例如,可以要求使用特定的密码套件和加密协议版本。
应用程序识别(APP-ID)引擎442被配置为确定会话涉及什么类型的流量。作为一个示例,应用程序识别引擎442可以识别接收的数据中的GET请求,并推断该会话需要HTTP解码器。在一些情况下,例如web浏览会话,所识别的应用程序可以改变,并且这样改变将被网络网关214注意。例如,用户可能最初浏览到企业维基(基于被访问的URL而分类为“Web浏览-生产力”),然后随后浏览到社交网络网站(基于被访问的URL而分类为“Web浏览-社交网络”)。不同类型的协议具有对应的解码器。
基于由应用程序识别引擎442作出的确定,由威胁引擎444将数据包发送至适当的解码器,该解码器被配置为将数据包(其可能是无序接收的)组装成正确的顺序,执行凭证化(tokenization),并提取出信息。威胁引擎444还执行签名匹配,以确定应该对该数据包进行什么。根据需要,SSL加密引擎446可以重新加密已解密的数据。使用转发模块448来转发数据包以用于传输(例如,到目的地)。
还如图4B中示出的,策略452(例如,安全/防火墙策略)被接收并存储在管理平面432中。策略可以包括一个或多个规则,其可以使用域名和/或主机/服务器名来指定,并且规则可以应用诸如针对基于从被监控的会话流量流提取的各种参数/信息对订户/IP流的安全策略实施的一个或多个签名或其它匹配标准或试探法。为管理通信提供接口(I/F)通信器450(例如,经由(REST)API、消息或网络协议通信或其它通信机制)。
用于为安全服务提供中心化身份重分发的示例过程
图5是图示根据一些实施例的用于为安全服务提供中心化身份重分发的过程的流程图。在一个实施例中,使用上述(例如,诸如上文关于图1-4B描述的)系统架构来执行过程500。
当在安全服务的安全平台处接收流时,该过程在502处开始。例如,安全服务可以是如上文类似描述的基于云的安全服务。
在504处,使用上述中心化身份重分发技术,在安全平台处从云安全服务接收用户上下文信息(例如,IP-用户映射、用户-标签映射、IP-标签映射、IP-端口-用户映射、IP-设备ID映射、5G用户上下文信息和/或其它用户上下文信息/数据)。
在506处,使用用户上下文信息来在安全平台处应用安全策略。
图6是图示根据一些实施例的用于为安全服务提供中心化身份重分发的过程的另一流程图。在一个实施例中,使用上述(例如,诸如上文关于图1-4B描述的)系统架构来执行过程600。
当在安全服务的安全平台处接收流时,该过程在602处开始。例如,安全服务可以是如上文类似描述的基于云的安全服务。
在604处,将用户上下文信息(例如,IP-用户映射、用户-标签映射、IP-标签映射、IP-端口-用户映射、IP-设备ID映射、5G用户上下文信息和/或其它用户上下文信息/数据)从安全平台发送至云安全服务。
在606处,将用户上下文信息存储在云安全服务的数据存储中,以用于使用上述中心化身份重分发技术将用户上下文信息重分发到另一安全平台。
图7是图示根据一些实施例的用于为安全服务提供中心化身份重分发的过程的另一流程图。在一个实施例中,使用上述(例如,诸如上文关于图1-4B描述的)系统架构来执行过程700。
虽然为清楚理解的目的,已经稍稍详细地描述了前述实施例,但是本发明不限于所提供的细节。存在许多实施本发明的替代方式。所公开的实施例是说明性的,并且不是约束性的。

Claims (15)

1.一种处理器实施的方法,包括:
在安全平台处从云安全服务接收(504)用户上下文信息,其中,所述用户上下文信息包括IP-用户映射、用户-标签映射、IP-标签映射、IP-端口-用户映射和IP-设备ID映射中的至少一个;以及
使用所述用户上下文信息在所述安全平台处应用(506)安全策略。
2.根据权利要求1所述的方法,其中,所述安全平台包括物理防火墙、虚拟机防火墙或基于容器的防火墙。
3.根据权利要求1或2所述的方法,其中,所述安全平台是SD-WAN网络中的边缘设备(102A,102B,102C),其中,所述边缘设备被配置为充当所述SD-WAN网络的连接和/或终结点,并且其中,所述边缘设备(102A,102B,102C)进一步被配置为经由IPsec隧道连接到所述云安全服务(120)。
4.根据权利要求1、2或3所述的方法,其中,所述安全平台订阅用于中心化身份重分发的段,其中,优选地,所述段是安全平台或防火墙的分组。
5.根据前述权利要求中的任一项所述的方法,其中,所述安全平台是安全服务的已认证平台,并且其中,所述方法进一步包括:在接收到所述用户上下文信息之前,在所述安全平台处接收传入流量;
其中,所述用户上下文信息与所述传入流量的IP地址相关联;以及
其中,应用所述安全策略包括通过将所述用户上下文信息与所述IP地址相关联来将所述传入流量归属于所识别的用户。
6.一种处理器实施的方法,包括:
在已认证的安全平台处产生用户上下文信息,和/或在所述安全平台处从一个或多个源获得用户上下文信息;以及
将所述用户上下文信息发送到云安全服务。
7.根据权利要求6所述的方法,其中,所述安全平台是SD-WAN网络中的边缘设备(102A,102B,102C),其中,所述边缘设备被配置为充当所述SD-WAN网络的连接和/或终结点,其中,所述边缘设备(102A,102B,102C)进一步被配置为经由IPsec隧道连接到所述云安全服务(120)。
8.一种处理器实施的方法,包括:
在云安全服务处从安全平台接收(604)用户上下文信息,其中,所述用户上下文信息包括IP-用户映射、用户-标签映射、IP-标签映射、IP-端口-用户映射和IP-设备ID映射中的至少一个;以及
将所述用户上下文信息存储(606)在所述云安全服务的数据存储中,以用于将所述用户上下文信息重分发到另一安全平台。
9.根据权利要求8所述的方法,其中,所述另一安全平台订阅用于中心化身份重分发的段,以从所述云安全服务接收所述用户上下文信息,并且其中,所述方法进一步包括:向所述另一安全平台发布所述用户上下文信息,并且其中,优选地,所述段是安全平台或防火墙的分组。
10.一种系统,包括:
处理器;以及
存储指令的存储器,当被所述处理器执行时,所述指令促使所述处理器执行根据权利要求1-5中的任一项所述的方法。
11.一种系统,包括:
处理器;以及
存储指令的存储器,当被所述处理器执行时,所述指令促使所述处理器执行根据权利要求6或7所述的方法。
12.一种系统,包括:
处理器;以及
存储指令的存储器,当被所述处理器执行时,所述指令促使所述处理器执行根据权利要求8或9所述的方法。
13.一种组件,包括根据权利要求10所述的系统和根据权利要求12所述的系统。
14.根据权利要求13所述的组件,进一步包括根据权利要求11所述的系统,并且其中优选地,根据权利要求10和11所述的系统的安全平台两者被配置为连接到根据权利要求12所述的系统的云安全平台,并且其中,在根据权利要求11所述的系统的安全平台处产生和/或获得的用户上下文信息在根据权利要求12所述的云安全系统处被接收和存储,并且由根据权利要求10所述的系统的安全平台从所述云安全系统来接收。
15.一种计算机程序产品,所述计算机程序产品以有形的计算机可读存储介质来体现,并且包括计算机指令,当被处理器执行时,所述计算机指令促使所述处理器执行权利要求1-9中的任一项所述的方法。
CN202380044468.8A 2022-11-14 2023-11-10 中心化身份重分发 Pending CN119563303A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US202263425189P 2022-11-14 2022-11-14
US63/425189 2022-11-14
PCT/IB2023/061381 WO2024105524A1 (en) 2022-11-14 2023-11-10 Centralized identity redistribution

Publications (1)

Publication Number Publication Date
CN119563303A true CN119563303A (zh) 2025-03-04

Family

ID=91958066

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202380044468.8A Pending CN119563303A (zh) 2022-11-14 2023-11-10 中心化身份重分发

Country Status (4)

Country Link
US (1) US20250112893A1 (zh)
KR (1) KR20250034285A (zh)
CN (1) CN119563303A (zh)
NL (1) NL2033723B1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20250141886A1 (en) * 2023-10-31 2025-05-01 Palo Alto Networks, Inc. Data centric approach for supporting multiple inline cloud services

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10931637B2 (en) * 2017-09-15 2021-02-23 Palo Alto Networks, Inc. Outbound/inbound lateral traffic punting based on process risk
US12200016B2 (en) * 2020-08-31 2025-01-14 Palo Alto Networks, Inc. Security platform with external inline processing of assembled selected traffic
EP4221092A1 (en) * 2020-10-30 2023-08-02 Palo Alto Networks, Inc. Flow metadata exchanges between network and security functions for a security service

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20250141886A1 (en) * 2023-10-31 2025-05-01 Palo Alto Networks, Inc. Data centric approach for supporting multiple inline cloud services

Also Published As

Publication number Publication date
KR20250034285A (ko) 2025-03-11
US20250112893A1 (en) 2025-04-03
NL2033723B1 (en) 2024-05-28

Similar Documents

Publication Publication Date Title
US12309144B2 (en) Utilizing endpoint security posture, identification, and remote attestation for restricting private application access
US12316679B2 (en) Policy enforcement using host profile
US11968179B2 (en) Private application access with browser isolation
US12238070B2 (en) Cloud-based web application and API protection from untrusted users and devices
US12368698B2 (en) Systems and methods for providing scalable per-client private application access directories
US11949654B2 (en) Distributed offload leveraging different offload devices
US12368697B2 (en) Private service edge nodes in a cloud-based system for private application access
US11838271B2 (en) Providing users secure access to business-to-business (B2B) applications
US11477165B1 (en) Securing containerized applications
US12155630B2 (en) Systems and methods for providing private application access via client to client and server to client communication through a cloud-based system
US12231399B2 (en) Distributed traffic steering and enforcement for security solutions
US12244613B2 (en) Maintaining dependencies in a set of rules for security scanning in could-based web applications and API protection
US8892665B1 (en) Encrypted peer-to-peer detection
US20210336932A1 (en) Sub-clouds in a cloud-based system for private application access
JP7652400B2 (ja) IoTデバイスのアプリケーションワークロードキャプチャ
US20240386098A1 (en) Application server protection by maintaining cross-session inspection context
US12355589B2 (en) Systems and methods for Virtual Private Network (VPN) brokering to enterprise resources
US20250112893A1 (en) Centralized identity redistribution
US20250267159A1 (en) Active Directory Security Enforcement and Threat Insights on Zero Trust Networks
WO2024105524A1 (en) Centralized identity redistribution
US20250267158A1 (en) Systems and methods for active directory protection in zero trust networks
US20250383762A1 (en) Systems and methods for providing interactive visualizations of traffic characteristics within a network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination