Paloalto Prisma SASE介紹
本文將介紹Palotalto SASE的解決方案 — Prisma SASE 解決方案包括:
- Security policies
- anti-spyware
- vulnerability protection
- WildFire and antivirus
- DNS security
- URL access management
- file blocking
- HTTP header insertion
- Data Loss Prevention (DLP)
- Profile groups
- SaaS應用程式管理
- 使用者和應用程式的解密
- 服務品質 (QoS) 和應用程式覆蓋的附加網路服務
- 用於identity services for authentication、CIE(Cloud Identity Engine) 和identity redistribution的身分服務
以上這些都是Prisma SASE 透過安全的開箱即用配置(out-of-the-box configurations)的功能。
Prisma SASE 主要有三個關鍵基礎,分別是:
- Security as a Service —
Prisma Access 是 Palo Alto Networks 雲端交付的安全平台,可無縫連接並保護任何使用者從任何裝置存取任何應用程式。 - Network as a Service —
Palo Alto 的SD-WAN解決方案 。 - Digital Experience Management —
Palo Alto Networks 將 ADEM((Autonomous Digital Experience Management)) 原生地納入 SASE 解決方案的一部分,可以透過自動修復提供segment-wise insights,以便 IT 可以擴展以緩解安全性和可用性之間的權衡犧牲。
SASE的組件
SASE解決方案其實是一堆技術組合起來的。包括了:
- SD-WANs
- SWGs(secure web gateway)
- CASBs(cloud access security brokers )— 這包含了網路流量的deep inspection與protection
- ZTNA(Zero-Trust Network Access)
- FWaaS(firewall as a service)
SD-WANs與SWGs(secure web gateway)
Prisma SASE 為行動員工提供安全性,因為network service edge位於最終用戶所在的位置。 Prisma SD-WAN 作為 SD-WAN 解決方案,並包含 SWG。
- SD-WAN — 網路硬體與其軟體控制層是分開的
- 第一代 SD-WAN — 識別應用程式並使用政策(policies)來引導流量、成本合理性。
- 第二代 SD-WAN — 具有整合安全性的網路,並允許在每個位置進行internet breakout(也就是DIA — direct internet access),將使用者直接連接到雲端和 SaaS 應用程式。
- SWG(secure web gateway) 將透過為終端使用者上網提供保護,保護行動員工免受來自網路的威脅。
- SWG 可以強制執行公司和(或)監管政策合規性。
- SWG 可以作為地端硬體、虛擬設備、cloud-based的服務或雲端和地端設備的混合組合來實現。
- SWG 包括 URL filtering、anti-malware 、anti-virus protection、SaaS application discovery and control還有DLP 功能。
Cloud Access Security Broker (CASBs)
CASB 可以是地端服務,也可以是雲端服務,它們在使用者與雲端服務之間提供安全政策(Security Policy)檢查點。
CASB 解決的是企業使用雲端服務時出現的任何安全缺陷。 CASB 解決了傳統固定網路邊界內部和外部採用的雲端服務的安全性問題,以及增加cloud-to-cloud直接存取的實施。 CASB 位於兩者之間,允許雲端服務在基於雲端的資料和(或)應用程式之間實施安全性策略。
CASB提供以下的服務:
- 透過雲端服務的API 檢查雲端服務中的資料、應用程式和使用者行為
- 在使用者和雲端服務之間進行Operate inline,或RBI(Remote Browser Isolation)作為替代方案
- 支援提供可見性並執行任何使用者、裝置或位置的存取控制的能力
- 與企業現有的identity provider、SIEM 工具和 UEM(unified endpoint management) 產品的整合
- 監控使用者、第三方應用程式和資料的運作時進行各種分析
- 使用多種方法識別並回應惡意和(或)不需要的sessions
- 區分企業和個人的雲端服務,並限制或阻檔它們之間的資料交換的能力
ZTNA(Zero-Trust Network Access)
資安首要的是要是
- 辨識防護面(protection surface)
- 敏感資料的儲存位置
- 確定誰需要存取該資料
- 實施必要的安全防護方法來使用 ZTNA 保護資料。
這些可能包括MFA、least privilege access、unified policies、micro-segmentation等。 傳統網段可能允許內部邊界內的某些 IP 位址具有一定程度的隱含信任(就是直接信任這些位置來的連線),但是對於 ZTNA,則根本不存在任何信任。 無論如何,所有使用者和設備都會受到徹底的處理和檢查。
ZTNA包含:
- Least-privileged access
- Continuous trust verification
- Continuous security
- Protects All data
- Secures All apps
App-ID、User-ID 和Device-ID 提供豐富的背景脈絡和更精細的方法來允許存取應用程式。 但 Prisma Access 並不是「一勞永逸」的方法。 Prisma Access 的 App-ID 功能是有狀態的(Stateful),並持續收集有關 TCP session、application handshakes、application behavior、stateful protocols等的資訊。 同時,User-ID 和Device-ID 控制項類似地持續收集有關使用者和裝置的資訊。
當App-ID、User-ID 和Device-ID存取控制組合在一起時,可以使用其背景脈絡資訊來就如何最好地在任何裝置上讓使用者做出更好的決策。 還可以深入了解使用者對他們請求的特定應用程式的存取情況,同時不斷收集其他背景資訊,例如使用者或應用程式行為或Device-ID 更改,以便能夠即時對這些更改做出反應。 這是基於 L3/L4 網路方法與真正基於應用程式的方法之間的根本區別。
一旦授予應用程式存取權限,Prisma SASE 保護就會啟動。 它將不斷評估使用者行為和應用程式行為,以驗證沒有發生任何變更。 如果有任何變化,Prisma SASE 將做出適當反應。 然而,Prisma SASE 並不止於此。 它可以對所有流量(甚至是允許的連接)進行持續深入的檢查,以防止所有威脅,包括zero-day威脅。 它還將透過單一 DLP 策略為企業中使用的所有應用程式(包括自有的應用程式和 SaaS)提供持續保護。
更多的Zero Trust資訊請參閱本部落格零信任的IT環境架構與零信任成熟度模型一文。
FWaaS(Firewall as a Service)
NGFW(Next-generation firewalls)提供只有檢查port/protocol更多的應用程式的deep packet inspections。由於行動員工現在需要直接存取Internet,傳統防火牆無法提供大規模保護,導致安全狀況減弱。 Prisma SASE 在其 SASE 模型中整合了最有效的 FWaaS。
FWaaS提供以下功能:
- 傳統stateful防火牆
- Application-aware, deep packet contect inspection
- UTM(Unified threat management),包含IDS/IPS
- 整個攻擊面的先進可見性
- 靈活應對不斷變化的威脅態勢
傳統網路設計的挑戰
這裡我們將講述安全範圍的擴展,以及遠端網路、行動用戶和網路安全等傳統設計作為一個整體如何努力緩解這些挑戰。
邊界已模糊
傳統上,安全邊界與組織的邊界防火牆是保持一致的,但Covid-19 之後,員工已經分散在各個地方。 現在,企業開始大規模使用SaaS服務,這導致安全範圍擴大。 邊界的位置已移動到遠端使用者的實體位置以及應用程式和資料所在的位置。
現在,員工和應用程式分散更加廣泛,問題就出現了:我們能否使用與保護與公司網路相同的安全措施來保護遠端網路和使用者的安全? 對於大型、分散式的企業來說,在管理快速和持續的變化的同時向所有地點和使用者提供安全性在維運上變得具有挑戰性。
遠端網路的傳統MPLS或IPSec設計
MPLS安全、穩定但很貴,IPSec便宜但不穩定(延遲性高)。分公司人員透過MPLS連回資料再出Internet延遲性很高,基本上MPLS的投資效率變差。
行動使用者的傳統設計
我們使用強制所有行動用戶連線通過資料中心以實施安全策略的傳統解決方案。這種設計通常會導致高延遲,因為前往目的地(如Internet)的流量首先透過資料中心進行引導。 由於回程,這種設計需要在資料中心位置提供額外的頻寬,這可能會導致更高的網路成本。
傳統的安全方法
大多數想要進行變革的組織都受到現有網路和安全基礎設施的限制,這些基礎設施分散且不靈活。
組織發現自己正在收集多種單點技術,這些技術跨不同群組運行以存取不同的應用程式。 使用者導航到的每個位置的安全性都有根本不同,因為它會根據使用者訪問的應用程式而變化。 例如,行動用戶可能使用遠端存取來存取資料中心,使用 CASB 或Proxy來存取 SaaS 應用程序,以及使用 Web proxy來使用Internet。 他們還可能有不是web型態的危險流量。 這些不同的系統會造成安全態勢(Security posture)的差距,進而降低使用者的安全性。
傳統安全方法的問題:
- 不夠敏捷 —
例如,要新設一個分公司,但可能需要數週時間來設定 MPLS 線路或設定防火牆以新增至網際網路的路由。 - 安全態勢不一致 —
由於多種產品造成的差距導致安全態勢不一致。 每個安全產品都只專注於安全領域的一小部分,並且不提供統一的解決方案。 部署多個產品可能會導致整個組織的保護不一致。 - 高維運成本與複雜度 —
管理、產品授權、訓練和複雜性方面的開銷而導致維運成本高昂。 部署多個安全產品會產生額外的管理間接成本。 不同的工具、不同的使用者管理和不同的日誌記錄都會導致更多的作業。 - 使用者體驗差 —
使用者在部署多個安全產品後可能會遇到較差的使用者體驗。 例如,使用者可能需要確定何時開啟或關閉 VPN 連線以及該連線是否必須透過代理程式。 當使用者體驗變差時,他們會嘗試迴避安全措施。
Prisma SASE Infra組件與功能
下面的表格列出了 Prisma Access 基礎架構組件並描述了如何管理它們。我們必須了解所使用的任何插件(Plugin)可能需要的任何插件要求。
Prisma SASE的更新發布頻率
以下表格描述了 Prisma Access 如何更新其基礎架構組件,包括內容(Content)和軟體更新。 這些表格還顯示了 Prisma Access 是否自動更新軟體。如果有任何更新不是自動的,我們可以了解如何套用這些基礎架構更新。 也可以從中心檢查所有雲端服務的狀態。
完整的實作
服務連線已上線,它將提供企業存取節點 (SC-CAN — corporate access node) 並提供與資料中心的連線。 當行動用戶加入時,將根據行動用戶的數量配置一個或多個安全處理節點 (MU-SPN —security processing nodes )。 當遠端網路存取時,它們將提供多個遠端網路安全處理節點(RN-SPN — remote network security processing nodes)。 在 Prisma Access 中,會自動設定full-mesh網路。
公司網路內部的所有內容都是可信賴流量。 公司網路以外的所有內容都是不受信任流量。 我們可以設定所有安全性政策,以確保所有日誌都轉送至 Cortex Data Lake。
