Secure Web Gateway – metodologie wdrożenia

Home / Aktualności / Secure Web Gateway – metodologie wdrożenia

Niektórzy mówią, że rozwiązania typu bezpieczna bramka internetowa (Secure Web Gateway) to technologia, która obecnie przeżywa zmierzch. Niemniej organizacje dalej nie rozszyfrowują ruchu na firewallu i korzystają z ograniczonych możliwości filtrowania w swoich firewallach – co ogranicza widoczność działom bezpieczeństwa IT i możliwości korzystania z sieci użytkownikom końcowym. W tym artykule opowiemy o metodach wdrożenia Secure Web Gateway – które czynią ją skutecznym rozwiązaniem do zapewnienia bezpieczeństwa sieciowego.

W przypadku bram internetowych istnieje tylko kilka sprawdzonych wdrożeń, które są skuteczne i zapewniają pełne bezpieczeństwo. W tym artykule omówimy cztery najczęstsze typy wdrożeń bezpiecznych bramek sieciowych. Czasem określane jako forward proxy, urządzenia te służą do zabezpieczania dostępu do sieci dla wewnętrznych użytkowników końcowych organizacji. Cztery powszechnie używane scenariusze wdrażania bram internetowych to inline, explicit, transparent i SPANPort. Każde z tych wdrożeń ma swoje zalety i wady.

Wdrożenie inline – najprostsze i najłatwiejsze do opisania. Dobre dla mniejszych wdrożeń, takich jak oddział firmy, ze względu na łatwość wdrożenia i absolutne bezpieczeństwo, które zapewnia. W przypadku wdrożenia inline brama sieciowa jest umieszczana bezpośrednio na ścieżce całego ruchu sieciowego przychodzącego i wychodzącego z Internetu. Ważne by upewnić się, że Twoja brama internetowa jest zdolna do omijania ruchu sieciowego, którego ma nie przetwarzać. W wielu przypadkach możesz wybrać opcję „proxy” (zmiana trasy) lub „exclude” (omiń) dla określonego protokołu. Dla każdego protokołu przepuszczanego przez bramkę sieciową, oznacza to, że bramka internetowa zakończy ruch od klienta do serwera lokalnie, i ponownie nawiąż nowe połączenie działając jako klient, aby uzyskać żądane informacje.

Zalety
  • Łatwość wdrożenia i gwarantowana pewność, że cały ruch sieciowy zostanie przekierowany przez bramę. Nie ma szans, aby użytkownik ominął elementy sterujące ustawione przez administratora, o ile jest to jedyna dostępna ścieżka do Internetu. Cały ruch HTTP związany z Internetem będzie przetwarzane i obsługiwane przez bramę internetową.
  • Możliwość monitorowania wszystkich portów pod kątem ruchu „call-for-home” generowanego przez złośliwe oprogramowanie ibotnety na zainfekowanych komputerach. Ta świadomość pozwala na remediację zainfekowanych systemów obniżających ryzyko dostępu do sieci dla organizacji.

Wady
  • Pojedynczy punkt awarii. Parzysty z technologiami takimi jak „fail to wire”, które umożliwiają przepływ całego ruchu gdy urządzenie ulegnie awarii, wiele organizacji czuje się niekomfortowo z jednym urządzeniem filtrującym w strumieniu danych do Internetu. Chociaż mało prawdopodobne, częściowa awaria urządzenia może spowodować awarię przepływu pracy. Dla małej organizacji lub w oddziale krótkotrwałe zakłócenie może nie być pilnym problemem, ale w większej organizacji może mieć katastrofalne skutki.
  • Konieczność zarządzania wszystkimi protokołami udostępnianymi przez bramę internetową. Administrator IT będzie musiał administrować listą protokołów, które są i nie są filtrowane przez bezpieczne proxy. Tak naprawdę to efekt uboczny tego, że jest to najbezpieczniejszy rodzaj wdrożenia.


Wdrożenie explicit – powszechnie stosowane w większych sieciach, gdzie projekt sieci wymaga braku pojedynczego punktu awarii. To wdrożenie umożliwia umieszczenie bramy internetowej w sieci, w dowolnym miejscu dostępnym dla wszystkich użytkowników, a samo rozwiązanie ma dostęp do Internetu. Explicit wykorzystuje wyraźną definicję w przeglądarce internetowej. Aby to ułatwić administrator dystrybuuje pliki PAC lub WPADdla konfiguracji proxy w przeglądarkach użytkowników końcowych. Klient ma wyraźnie zdefiniowane proxy w swoich ustawieniach przeglądarki internetowej. Podczas wdrażania explicit proxy niezwykle ważne jest, aby firewall był prawidłowo skonfigurowany, aby uniemożliwić użytkownikom ominięcie serwera proxy.Zapora musi być skonfigurowana tak, aby umożliwić komunikację za pomocą HTTP i HTTPS tylko serwerowi proxy. Wszystkie inne hosty/adresy IP należy zablokować. Ponadto wszystkie inne porty muszą być zablokowane, aby uniemożliwić użytkownikom końcowym konfigurowanie własnego serwera proxy wewnętrznie, celem uzyskania dostępu do Internetu przez HTTP na porcie innym niż powszechnie używane (80 i 443).`


Zalety:
  • Zawężenie ruchu przetwarzanego przez bramę internetową (możesz np. ograniczyć ruch tylko do ruchu opartego na HTTP) co pozwala efektywniej zarządzać przepływnością połączeń sieciowych i skupić się na najbardziej wrażliwych protokołach/kanałach.
  • Mniej potencjalnych zakłóceń działania sieci. Brama internetowa może być umieszczone w dowolnym miejscu sieci, które jest dostępne dla wszystkich użytkowników końcowych tak długo, jak może połączyć się z Internetem.

Wady:
  • Dodatkowa administracja IT, ponieważ każda stacja kliencka wymaga zmiany konfiguracji. Chociaż istnieje pewna redukcja tego narzutu z PAC i WPAD, każdy błąd w konfiguracji systemu użytkownika końcowego będzie skutkować wezwaniem pomocy technicznej, aby administrator naprawił sytuację.
  • Wdrożenie explicit w dużej mierze zależy od prawidłowo skonfigurowanej sieci i firewalla. Doświadczony użytkownik może wykorzystać każdą dziurę w sieci lub zaporze sieciowej, aby ominąć bramę internetową.
  • W celu potencjalnych połączeń typu “call-home” , monitorowanie portu musi być wykonywane przez urządzenie sieciowe z dostępem do całego ruchu sieciowego. Brama sieciowa w trybie explicit może wykrywać i blokować ruch „call-home” tylko dla protokołów zdefiniowanych i zarządzanych, takich jak HTTP i HTTPS.


Wdrożenie transparent umożliwia wdrożenie bramy internetowej w dowolnej lokalizacja sieciowej (połączonej z internetem), podobnie jak w trybie explicit. Wdrożenie zmniejszają potrzebę zmiany konfiguracji sieci do wdrożenia. Ponadto nie ma administracyjnych narzutów na konfigurację systemów użytkownika końcowego, ponieważ routing HTTP i ruch HTTPS jest zazwyczaj wykonywany przez router.

Wdrożenie w trybie transparent jest często stosowane, gdy organizacja:
  • Jest zbyt duża dla wdrożenia inline.
  • Nie chce dodatkowej pracy i kosztów niezbędnych dla wdrożenia explicit.


Wdrożenia transparent opierają się na protokole WCCP (Web Caching Communications Protocol), aprotokół obsługiwany przez wiele urządzeń sieciowych. Alternatywnie – za pomocą routingu opartego na zasadach (PBR – Policy-Based Routing).


Zalety
  • Zawężenie ruchu przetwarzanego przez proxy orazmożliwość łatwiejszego wdrożenia redundancji bramy sieciowej.
  • Nie wymaga zmian dla użytkownika końcowego.

Wady:
  • Zależy od dostępności: WCCP lub PBR oraz ich obsługi przez bramę internetową, zazwyczaj dostępne tylko w bardziej wyrafinowanych rozwiązaniach.
  • Konfiguracja może być trudniejsze, ponieważ wymaga kompatybilności obsługiwanych wersji WCCP między routerem a bramą sieciową.
  • Do wdrożenia trybu transparentnego wymagana jest wiedza specjalistyczna, która może być problemem dla mniejszych organizacji (polecamy się na przyszłość!)



Wdrożenie na SPAN (Switched Port Analyzer) porcie – metoda czasami nazywana resetowaniem TCP, ponieważ opiera się na resetach TCP w celu wdrożenia reguł bramy internetowej. Brama internetowa jest wdrażana przez dołączenie jej do SPAN na switchu W przeciwieństwie do pozostałych trzech metod wdrażania, które przetwarzają ruch sieciowy i wdrażają polityki w oparciu o odpowiedź, brama wdrożona na porcie SPAN egzekwuje polityki poprzez wymuszanie resetu TCP, aby zapobiec zakończeniu pobierania złośliwych/niedozwolonych treści.


Zalety
  • Korzystne w przypadku wdrożeń na dużą skalę ponieważ tryb monitorowania zwykle zużywa mniej zasobów niż inline, explicit czy transparent, z których wszyscy muszą aktywnie przetwarzać ruch.
  • Przydatne, jeśli uważasz, że Twój sprzęt może być niewystarczający dla skutecznego zabezpieczenia Twojego ruchu sieciowego.
  • Pozwala na monitorowanie portów w celu wykrywania prób połączenia “call-home” na większości portów.

Wady
  • Nie widzi całego ruchu. Uszkodzone pakiety sieciowe, pakiety poniżej minimalnego rozmiaru i warstwa 1i 2 błędy są zwykle usuwane przez przełącznik.
  • Może wprowadzać opóźnienia w sieci. Architektura oprogramowania przełączników low-end wprowadza opóźnienie poprzez kopiowanie łączonych pakietów. Jeśli dane są agregowane przez światłowód gigabitowy port, opóźnienie jest wprowadzane, gdy sygnał jest konwertowany z elektrycznego na optyczny. Każde opóźnienie w sieci może być krytyczne, ponieważ resety TCP są używane y egzekwować politykę.
  • Może mieć problemy, gdy występuje przeciążenie ruchu. Zazwyczaj port odrzuca pakiety i powoduje utratę niektórych danych. W sytuacjach dużego obciążenia sieci większość bram sieciowych podłączonych do SPAN port nie będzie w stanie odpowiedzieć wystarczająco szybko, aby powstrzymać złośliwe oprogramowanie przed rozprzestrzenianie się w sieci korporacyjnej.
  • Pasywnie monitoruje ruch. Brama w trybie inline, explicit i transparent monitoruje i egzekwuje polityki w trybie rzeczywistym.


Chociaż istnieją cztery popularne metodologie wdrażania do wyboru wdrażając bezpieczną bramę internetową, tak naprawdę są tylko trzy jasne wspólne wybory dla działów IT. Wybór między inline, explicit i transparent musi być dokonany w oparciu o potrzeby i zasoby organizacji i działu IT. Z doświadczenie nie polecamy ostatniego z wdrożeń, ze względu na brak realnej możliwości zastosowania analizy zagrożeń, podstawiania zmienionych żądań i zapytań czy optymalizacji dostarczania treści internetowych poprzez buforowanie, dzielenie strumienia i przepustowość.



Powiązane posty

2020... świt czy zmierzch bramek internetowych?
Jak chronić dokumenty w pochmurnej infrastrukturze
Różnorodne koncepcje wdrożeniowe „Zero Trust Network”
Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.
Akceptuję Więcej informacji