CN109964196B - 多因素认证作为网络服务 - Google Patents

多因素认证作为网络服务 Download PDF

Info

Publication number
CN109964196B
CN109964196B CN201780070946.7A CN201780070946A CN109964196B CN 109964196 B CN109964196 B CN 109964196B CN 201780070946 A CN201780070946 A CN 201780070946A CN 109964196 B CN109964196 B CN 109964196B
Authority
CN
China
Prior art keywords
authentication
user
firewall
factor
profile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201780070946.7A
Other languages
English (en)
Other versions
CN109964196A (zh
Inventor
A.S.墨菲
K.加尼森
P.M.V.B.R.曼加姆
S.S.詹德雅拉
M.沃尔特
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Networks Inc
Original Assignee
Palo Alto Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US15/281,913 external-priority patent/US10547600B2/en
Priority claimed from US15/281,946 external-priority patent/US10701049B2/en
Priority claimed from US15/281,939 external-priority patent/US10367784B2/en
Priority claimed from US15/281,929 external-priority patent/US10225243B2/en
Application filed by Palo Alto Networks Inc filed Critical Palo Alto Networks Inc
Publication of CN109964196A publication Critical patent/CN109964196A/zh
Application granted granted Critical
Publication of CN109964196B publication Critical patent/CN109964196B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

公开了用于多因素认证作为网络服务的技术。在一些实施例中,用于多因素认证作为网络服务的系统、过程和/或计算机程序产品包括监视防火墙处的会话,基于新会话应用认证简档,以及基于认证简档执行动作。

Description

多因素认证作为网络服务
背景技术
防火墙通常保护网络免受未授权的访问,同时允许授权通信通过防火墙。防火墙通常是设备或设备的集合,或在诸如计算机之类的设备上执行的软件,其为网络访问提供防火墙功能。例如,防火墙可以被集成到设备的操作系统(例如,计算机、智能电话或其他类型的具有网络通信能力的设备)中。防火墙还可以被集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据装置(例如,安全装置或其他类型的专用设备)中或作为软件在其上执行。
防火墙通常基于规则的集合拒绝或允许网络传输。这些规则的集合通常被称为策略。例如,防火墙可以通过应用规则的集合或策略来过滤入站流量。防火墙还可以通过应用规则的集合或策略来过滤出站流量。防火墙还可以能够执行基本路由功能。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1是根据一些实施例的用于执行多因素认证作为网络服务的架构的功能图。
图2图示了根据一些实施例的数据装置。
图3是根据一些实施例的数据装置的架构的功能图。
图4是根据一些实施例的实现用于执行多因素认证作为网络服务的认证策略流的防火墙的流程图。
图5A是根据一些实施例的防火墙的流程图,该防火墙实现用于执行多因素认证的认证策略流,作为用于尝试访问基于浏览器的资源的网络服务。
图5B-D是根据一些实施例的用于防火墙的认证入口的屏幕图,该防火墙实现用于执行多因素认证的认证策略流,作为用于尝试访问基于浏览器的资源的网络服务。
图6A是根据一些实施例的防火墙的流程图,该防火墙实现用于执行多因素认证的认证策略流,作为用于尝试访问非基于浏览器的资源的网络服务。
图6B-D是根据一些实施例的用于防火墙的认证入口的屏幕图,该防火墙实现用于执行多因素认证的认证策略流,作为用于尝试访问非基于浏览器的资源的网络服务。
图7图示了根据一些实施例的用于配置MFA服务器简档的示例屏幕截图。
图8图示了根据一些实施例的用于配置认证简档的示例屏幕截图。
图9是根据一些实施例的经由MFA提供替代认证方法的认证入口的屏幕图。
图10是根据一些实施例的用于配置用于对网络服务执行多因素认证的认证策略的规则的界面的示例屏幕截图。
图11是根据一些实施例的用于配置用于对网络服务执行多因素认证的认证策略的实施动作的界面的示例屏幕截图。
图12是根据一些实施例的用于配置用于对网络服务执行多因素认证的认证策略的应用的界面的示例屏幕截图。
图13是根据一些实施例的用于监视用于对网络服务执行多因素认证的认证策略的实施的界面的示例屏幕截图。
图14是根据一些实施例的用于对网络服务执行多因素认证的日志查看器的界面的示例屏幕截图。
图15是根据一些实施例的用于执行多因素认证作为网络服务的数据装置的组件图。
图16是根据一些实施例的用于执行多因素认证作为网络服务的过程的流程图。
图17是根据一些实施例的用于执行客户端的基于拦截的多因素认证注册作为网络服务的过程的流程图。
图18是根据一些实施例的用于执行对网络上的受损凭证的检测的过程的流程图。
图19是根据一些实施例的用于执行基于时间的网络认证挑战的过程的流程图。
具体实施方式
本发明可以以多种方式实现,包括作为过程;装置;系统;物质的成分;在计算机可读存储介质上实现的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现或者本发明可以采取的任何其他形式可以被称为技术。一般来说,在本发明的范围内,所公开的过程的步骤的顺序可以被改变。除非另有说明,否则被描述为被配置成执行任务的诸如处理器或存储器的组件可以被实现为被临时配置成在给定时间执行任务的通用组件或者被制造为执行任务的特定组件。如本文中所使用的那样,术语‘处理器’是指被配置成处理诸如计算机程序指令的数据的一个或多个设备、电路和/或处理核。
下面连同图示本发明的原理的附图一起提供对本发明的一个或多个实施例的详细描述。结合这样的实施例描述了本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限制,并且本发明包含多个替换方案、修改和等同物。在以下描述中阐述了多个具体细节,以便提供对本发明的透彻理解。这些细节被提供用于示例的目的,并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求来实施本发明。为了清楚的目的,在与本发明相关的技术领域中已知的技术材料尚未被详细描述,使得不会不必要地模糊本发明。
防火墙通常保护网络免受未授权的访问,同时允许授权通信通过防火墙。防火墙通常是设备或设备的集合,或在设备上执行的软件,其为网络访问提供防火墙功能。例如,防火墙可以被集成到设备的操作系统(例如,计算机、智能电话或其他类型的具有网络通信能力的设备)中。防火墙还可以被集成到各种类型的设备或安全设备中或作为软件应用在各种类型的设备或安全设备上执行,所述各种类型的设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据装置(例如,安全装置或其他类型的专用设备)。
防火墙通常基于规则的集合拒绝或允许网络传输。这些规则的集合通常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用规则的集合或策略来过滤入站流量,以防止不需要的外部流量到达保护的设备。防火墙还可以通过应用规则的集合或策略来过滤出站流量(例如,允许、阻止、监视、通知或日志记录和/或可以在防火墙/安全规则或防火墙/安全策略中指定其他动作,所述动作可以基于各种标准来触发,诸如本文中描述的那样)。
安全设备(例如,安全装置、安全网关、安全服务和/或其他安全设备)可以包括各种安全功能(例如,防火墙、反恶意软件、入侵预防/检测、代理和/或其他安全功能)、联网功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载平衡和/或其他联网功能)和/或其他功能。例如,路由功能可以基于源信息(例如,源IP地址和端口)、目的地信息(例如,目的地IP地址和端口)和协议信息。
基本分组过滤防火墙通过检查通过网络传输的各个分组(例如,分组过滤防火墙或第一代防火墙,其是无状态分组过滤防火墙)来过滤网络通信流量。无状态分组过滤防火墙通常检查各个分组本身并基于检查的分组应用规则(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)。
应用防火墙还可以执行应用层过滤(例如,使用应用层过滤防火墙或第二代防火墙,其在TCP/IP栈的应用层上工作)。应用层过滤防火墙或应用防火墙通常可以标识某些应用和协议(例如,使用超文本传输协议(HTTP)的web浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输以及各种其他类型的应用和其他协议,诸如Telnet、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻止尝试通过标准端口进行通信的未授权协议(例如,尝试通过使用用于该协议的非标准端口偷偷通过的未授权/超出策略的协议通常可以使用应用防火墙来标识)。
状态防火墙还可以执行基于状态的分组检查,其中每个分组在与该网络传输的分组的流/分组流相关联的一系列分组的上下文中被检查(例如,状态防火墙或第三代防火墙)。该防火墙技术通常被称为状态分组检查,因为它维护通过防火墙的所有连接的记录,并且能够确定分组是新连接的开始、现有连接的一部分还是无效分组。例如,连接的状态本身可以是触发策略中规则的标准之一。
高级或下一代防火墙可以执行无状态和状态分组过滤和应用层过滤,如上所述。下一代防火墙还可以执行附加防火墙技术。例如,某些较新的防火墙(有时称为高级防火墙或下一代防火墙)也可以标识用户和内容。特别是,某些下一代防火墙正在将这些防火墙可以自动标识的应用的列表扩展到数千个应用。这样的下一代防火墙的示例从Palo AltoNetworks公司商业上可获得(例如,Palo Alto Networks的PA系列下一代防火墙和PaloAlto Networks的VM系列虚拟化下一代防火墙)。
例如,Palo Alto Networks的下一代防火墙使得企业能够使用各种标识技术来标识和控制应用、用户和内容——不只是端口、IP地址和分组,诸如以下内容:用于准确的应用标识的App-IDTM(例如,App ID)、用于用户标识(例如,通过用户或用户组)的User-IDTM(例如,用户ID)和用于实时内容扫描(例如,控制web冲浪并限制数据和文件传输)的Content-IDTM(例如,内容ID)。这些标识技术允许企业使用业务相关概念安全地使能应用使用,而不是遵循由惯例的端口阻止防火墙提供的惯例的方法。此外,被实现为例如专用装置的用于下一代防火墙的专用硬件通常提供比在通用硬件上执行的软件更高的应用检查的性能水平(例如,诸如由Palo Alto Networks公司提供的安全装置,其利用与单程(singlepass)软件引擎紧密集成的专用功能特定处理,以最大化网络吞吐量,同时最小化PaloAlto Networks的PA系列下一代防火墙的延迟)。
使用凭证对于网络和服务访问的技术和安全挑战
存在对于使用凭证的网络和服务访问的技术和安全挑战。例如,受损的凭证是导致数据漏洞(breach)的主要媒介之一。受损的凭证(例如,丢失或被盗的凭证)可能被用于冒充有效的行动者,目的是获得对关键资源的访问、损害网络安全和/或泄露数据。在某些情况下,受损凭证是由未授权的用户(例如,其可以通过使用被盗/丢失的凭证来访问资源)使用的丢失或被盗的凭证。在其他情况下,端点受损(例如,受损端点通常是指在其上具有安装并执行的恶意软件工具包或其他恶意软件的端点,其可以基于端点的用户先前已输入凭证来访问资源,诸如Windows登录和/或VPN登录)。这些和其他受损的凭证场景是对于使用凭证的网络和服务/应用访问的示例技术和安全挑战。
简单/单因素认证技术的普遍使用加剧了这些技术和安全问题。例如,一旦凭证的集合受损,则难以防止恶意行动者(例如,未授权/恶意用户和/或恶意软件)的认证的横向移动(lateral movement)。具有对经由社交工程、网络钓鱼(phishing)、目标恶意软件或经由利用得到的用户凭证的集合的访问权的对手可以自由访问允许(受损)用户访问其的应用和资源。
虽然诸如2因素认证(2FA)或多因素认证(MFA)(例如,2FA和MFA在本文中通常也被称为MFA)的方法被设计成防止这种情况发生,但是现有的MFA解决方案通常需要与需要被保护的每个资源的单独的连接(tie-in)。如果要使用(一个或多个)MFA解决方案保护多个资源,该要求增加部署(一个或多个)MFA解决方案的成本,并抬高(drive up)部署复杂性。这种负担通常已经阻碍了用于保护/保障资源的MFA解决方案的采用和扩散,其中管理员(例如,IT/网络/安全管理员(管理员))更喜欢与传统/惯例的认证模型相关联的简单性。加上侵入性的用户工作流以及对用户携带授权令牌/密钥的需求,现有方法是企业为他们的企业网络部署和扩散MFA解决方案时的障碍(例如,企业网络通常是指是由实体(诸如公司、政府、学术、非政府或其他实体)部署的私有网络的计算机网络,并且其可以使用虚拟私有网络(VPN)或其他基于网络的技术跨越公共网络)。
因此,解决这些演进的技术和安全挑战所需要的是新的和改进的技术,以使用凭证高效且有效地促进网络和服务访问,并标识受损的凭证和/或受损的端点。
用于执行多因素认证作为网络服务的技术的概述
因此,公开了用于提供多因素认证作为网络服务的各种技术。所公开的技术可以促进网络和服务(例如,包括VPN、应用、基于云的服务和/或其他网络和服务的企业网络)的高效和增强的安全性,包括用于企业网络的多因素认证(MFA)的部署和实施,如下面将进一步描述的那样。如本文中所使用的那样,MFA通常是指两种或更多种类型的认证,诸如2FA、3FA、4FA和/或更多数量的认证因素。
在一些实施例中,用于多因素认证作为网络服务的系统、过程和/或计算机程序产品包括:监视防火墙处的会话(例如,新的或现有的会话),基于新的会话应用认证简档,以及根据认证简档执行动作。例如,可以基于与正在请求访问资源的新会话相关联的匹配标准来选择认证简档,其基于与认证策略的规则的匹配。认证简档可能需要指定的多因素认证以进行访问所请求的资源。如果认证因素中的一个或多个未成功满足或超时,则防火墙可以阻止对资源的访问或丢弃会话。否则(例如,成功满足所需的认证因素),则防火墙可以允许访问资源(例如,并且防火墙可以基于安全策略执行附加安全筛选)。
作为另一示例,所公开的用于多因素认证(MFA)作为网络服务的技术可以使用防火墙来执行,该防火墙位于用户和示例资源之间的网络流量的路径中,其需要增强的认证以用作多因素认证网关(例如,基于认证策略)。在该示例中,为了保护诸如敏感资源之类的资源,防火墙拦截对访问示例资源的用户请求并且挑战用户以响应于第一以及第二(或多个)认证的因素。一旦用户安全地完成所有的认证要求,防火墙就允许用户访问所请求的示例资源(例如,假设用户的身份被验证为满足认证策略)。
在该示例中,动作由认证策略驱动。在会话建立期间,诸如在接收到防火墙处接收的新会话的第一分组(或分组的集合)之后,每次防火墙查找用户ID(例如,用户标识,其可以包括源IP地址和用户名和/或与用户/会话相关联的其他信息,诸如端点设备信息、端口号等),认证策略的规则被评估,如下面进一步描述的那样(例如,如果对于给定的源IP地址,用户ID是已知的或未知的)。管理员可以配置策略(例如,认证策略的规则),该策略针对每个资源定义任何认证要求,包括2因素或多因素认证。在该示例中,规则包括以下可配置元素中的一个或多个:匹配标准和动作。匹配标准可以包括以下可配置匹配标准中的一个或多个:源区域和IP地址、源用户/组、目的地区域和IP地址、服务和URL类别和/或附加可配置的匹配标准(例如,这样的附加的可配置匹配标准可以包括关于正在发起流量的设备的细节,例如,移动智能电话可以以与企业台式计算机不同的方式挑战,诸如下面进一步描述的那样)。动作是可配置的,并且基于与指定/所需匹配标准的确定匹配来执行。可以基于流量的类型来执行可配置的动作,诸如例如以下各项:基于web的流量和/或非基于web的流量(例如,基于针对第一认证因素和第二或多个认证因素的认证简档,以及/或证书简档,针对web浏览器的拦截(例如,挑战对web表单)),诸如下面进一步描述的那样。
在一个实施例中,所公开的技术包括自针对MFA实施而执行的IP/用户绑定的最近成功MFA认证以来的可配置高速缓存超时(例如,经过的最大时间,诸如以分钟为单位),如下面进一步描述的那样。
所公开的用于多因素认证作为网络服务的技术解决了受损凭证的安全和技术问题(例如,丢失、被盗或以其他方式受损凭证和/或受损的端点设备(端点))。作为示例,可以执行所公开的技术以防止受损证书的成功重放/重用,这可以抵御网络攻击,诸如其中恶意行动者使用受损证书的集合在网络内横向移动。因此,所公开的用于多因素认证作为网络服务的技术为攻击生命周期内的恶意攻击提供了重要的屏障。
所公开的用于多因素认证作为网络服务的技术还允许IT和安全管理员部署MFA技术以保护一个或多个(或所有)企业应用和/或其他资源。相比之下,为了使用现有技术成功部署多因素认证解决方案,通常需要的是将与企业中的每一个应用集成。这种集成的成本通常是高的,这是这样的现有技术通常被部署在周边(例如,VPN网关)处而不是各个应用处的原因之一。
用于基于拦截的多因素认证客户端注册作为网络服务的技术的概述
现有的MFA方法通常要求用户在带外配置(provision)。特别地,用户通常需要使用单独的“建立”过程来配置软令牌(例如,移动应用),该过程通常与特定应用相关联。此外,不参与身份共享的不同应用(例如,相异的应用)通常要求用户多次导航通过这样的单独“建立”过程以针对每个应用创建单独的令牌/认证媒介。
因此,解决对配置用户以进行MFA的这些现有技术和安全挑战所需要的是用于针对一个或多个应用高效且有效地配置用户以进行MFA的新技术和改进技术。
因此,公开了用于提供基于拦截的多因素认证(MFA)客户端注册作为网络服务的各种技术。所公开的用于基于拦截的MFA客户端注册作为网络服务的技术可以促进网络和服务(例如,应用、基于云的服务和/或其他网络/服务)的高效和增强的安全性,包括将用户部署和注册用于与企业网络相关联的资源的MFA,如将在下面进一步描述的那样。
在一些实施例中,用于基于拦截的多因素认证客户端注册作为网络服务的系统、过程和/或计算机程序产品包括监视防火墙处的会话,在监视防火墙处的会话的同时拦截对访问资源的请求,确定与会话相关联的用户未登记进行多因素认证,并发起用户的注册以进行多因素认证。例如,如果资源与用于多因素认证的认证简档相关联,则防火墙可以触发工作流以在多因素认证中发起用户的登记/注册(例如,基于认证策略访问所请求的资源所需的)。在一些情况下,认证简档可以允许用户在需要注册和使用所需的多因素认证之前在宽限期(例如,一周、一个月或一些其他可配置的时间段,其可以包括以宽限期模式设置客户端/用户注册,所述宽限期模式允许在要求MFA注册之前在配置的宽限期内访问,并且在该宽限期的到期之后不允许非MFA访问)内访问资源。在某些情况下,诸如对于企业的更敏感的资源,可能没有宽限期或可能有更短的宽限期(例如,一天、三天或一些其他可配置的时间段)。
作为示例,代替由现有解决方案用于配置用户以进行MFA所使用的笨拙方法,公开了一种防火墙,该防火墙被实现以用作在允许访问之前需要强认证(例如MFA)的任何资源(例如,应用、网络、服务或其他类型的资源)以及能够提供这样的强认证凭证的任何用户的中央MFA登记网关。此外,在该示例中,用户不需要学习通过离线工作流进行导航来登记和获得强认证凭证,在该示例中,防火墙可以自动建立用户的当前认证状态,并且如果尚未注册在强认证方案中,则防火墙可以自动触发新的客户端注册,以自动导航用户通过新的MFA客户端注册过程。在该示例中,如果防火墙确定对于访问所请求的资源(例如,根据认证策略)附加认证是必需的,并且用户未被注册到可用的MFA方案中的任何方案中,则不需要改变用户交互和用户行为,因为防火墙透明地提供该MFA客户端注册服务。此外,由于防火墙用作身份共享平台(例如,原子身份共享平台),因此资源和应用本身对于强认证的需求仍然是不可知的,从而为每个期望的认证因素提供单个MFA登记点。这进而减轻了用户上的负担,因为每个认证因素只登记一次,并且用户不需要在相同认证因素上过滤多个可用的凭证。
例如,所公开的用于基于拦截的MFA客户端注册作为网络服务的技术跨网络为所有用户以及在允许访问之前为期望强认证(例如MFA)的所有应用提供登记的单点。通过使用所公开的技术提供登录(onboard)和登记新用户以进行MFA的能力作为网络服务,该能力消除了对资源(例如,需要强认证的应用或其他资源)创建它们自己的“建立”过程(例如,MFA客户端注册的登记工作流)的需求。此外,所公开的用于基于拦截的MFA客户端注册作为网络服务的技术允许给定的因素/认证器每个用户仅登记一次,而与该因素保护的应用或资源的数量无关(例如,而不是要求不参与身份共享的每个不同/相异的应用多次要求用户导航通过这样的单独的“建立”过程来针对每个应用创建单独的令牌/认证媒介)。继而,这为MFA的用户的注册提供了便利和效率,这促进了在企业网络上为资源采用和部署MFA技术。
用于检测受损证书作为网络服务的技术的概述
如上面类似地描述的那样,受损的凭证对企业来说是重要且具有挑战性的技术和安全问题,并且是导致数据漏洞的主要媒介之一。例如,受损的凭证(例如,丢失或被盗的凭证)可能被用来冒充有效的行动者(例如,用户),目的是获得对关键资源的访问、损害网络安全和/或泄露数据。
因此,解决这些现有技术和安全挑战所需的是用于高效且有效地检测网络上的受损凭证的新的和改进的技术。
因此,公开了用于提供检测网络(例如,企业网络)上的受损凭证作为网络服务的各种技术。所公开的技术可以促进网络和服务(例如,应用、基于云的服务和/或其他网络或服务)的高效和增强的安全性,包括对企业网络的受损凭证的自动和智能检测,如下面将进一步描述的那样。
在一些实施例中,用于检测受损凭证作为网络服务的系统、过程和/或计算机程序产品包括监视防火墙处的多个会话,将防火墙处认证的多个失败或超时尝试日志记录在日志(例如,认证日志)中,针对在防火墙处认证的失败或超时尝试的模式分析日志以标识用于认证的潜在受损凭证,以及基于对日志的分析(例如,基于日志记录的认证事件的可配置阈值,如下面进一步描述的那样),确定用于认证的凭证的集合已受损。
所公开的用于检测网络上的受损凭证的技术允许自动发现在网络上在使用中的受损凭证。例如,防火墙可以配备有用于向用户挑战第二认证因素(例如,或任何数量的附加认证因素)的能力。因此,受损的“简单”凭证的集合(例如,第一凭证的集合的用户名和密码)将不足以认证和证明主体的身份。当凭证的集合受损,并且恶意的行动者利用这些凭证来认证到网络时,防火墙可以检测不同的行为,其可以被用于智能检测受损凭证。还如下所述,可以执行所公开的技术以检测受损设备(例如,受损端点)。
作为第一示例行为,假设防火墙监视(例如,拦截和/或记录)来自受损主机(例如,受损端点或其他主机)的绑定用于各种联网资源(例如,企业网络上的不同的资源的集合)的超过配置的阈值(例如,基于认证策略)的多个请求。在该示例中,该观察到的行为通常指示网络上的单个受损主机(或受损主机的集合),其凭证已经受损,其中恶意行动者在网络上执行侦察/扫描。因此,当主机被挑战以进行认证时,在这种情况下第一认证因素将成功(例如,因为用于第一认证的凭证已受损),并且随后的认证因素将失败,假定真正的用户主体未正在发起这些访问尝试,并且恶意行动者不具有对第二个/后面的因素凭证的访问权。例如,在这种情况下,受损主机上的恶意软件已“假设”主机上用户的身份(例如,假定用户被认证且端点是可信的),并且正在尝试将其自身发起到网络的其他部分中。当该恶意软件尝试在网络中横向移动时,防火墙将挑战它以进行认证。然而,大多数“脚本”恶意软件净荷无法响应于该挑战以进行认证(例如,恶意软件通常不够智能以响应于这样的附加的认证挑战),并且因此在恰好第一认证挑战时将“超时”。因此,防火墙能够监视这样的事件,并且基于配置的阈值,可以警告管理员存在受损端点,如将在下面进一步描述的那样。
作为第二示例行为,假设防火墙监视(例如拦截和/或日志记录)来自阈值数量的受损主机的绑定用于具体或各种联网资源的超过配置阈值(例如基于认证策略)的多个请求。在该示例中,该观察到的行为通常指示被用作阈值数量的发起点的主机,其中恶意行动者以已知的(一个或多个)资源(的集合)为目标,尝试获得对(一个或多个)资源的访问。因此,当防火墙挑战各种端点以向资源进行认证时,第一因素将成功,并且后面的因素将失败,如上面关于第一示例类似地描述的那样。
在一个实施例中,使用如在下面将进一步描述的所公开的技术,阈值数量的成功的第一因素认证尝试,之后是阈值数量的失败的(例如,其可以包括超时,如下面进一步描述的那样)后面的认证因素被用作受损凭证的指示。例如,当防火墙监视(例如,拦截和/或日志记录)这样的MFA相关事件跟踪时,防火墙可以通过遵循如上面描述和下面进一步描述的各种模式(例如,预定模式和/或基于启发式的模式)来自动和智能地检测受损凭证的使用。
因此,所公开的用于检测网络上的受损凭证的技术允许使用防火墙的自动机制发现用户凭证的集合已经受损。鉴于用户主体的凭证在两种情况下都是有效的,区分合法的、认证的用户活动与认证的恶意用户通常是非常困难的。因此,提供对其凭证可能已被受损的用户的集合的可见性对于信息技术(IT)和/或网络/安全管理员用于保护资源和企业网络具有重要价值。
用于基于时间的网络认证挑战的技术的概述
公开了用于提供基于时间的网络认证挑战的各种技术。所公开的技术可以促进网络和服务(例如,应用、基于云的服务和/或其他网络或服务)的高效和增强的安全性,包括对企业网络的基于时间的网络认证挑战,如将在下面进一步描述的那样。
在一些实施例中,用于基于时间的网络认证挑战的系统、过程和/或计算机程序产品包括监视防火墙处的会话(例如,新会话或现有会话)以标识与会话相关联的用户,在用户基于认证简档对访问资源进行成功认证之后,生成针对与用户相关联的认证因素的时间戳,在防火墙处拦截来自用户的对访问资源的另一请求,以及基于认证简档确定针对认证因素的时间戳是否到期。例如,如果时间戳已到期,则防火墙可以基于认证简档实施MFA要求,以要求用户重新认证,以便再次访问资源。
在一个实施例中,所公开的技术包括自针对MFA实施执行的IP/用户绑定的最近成功MFA认证以来的可配置高速缓存超时(例如,经过的最大时间,诸如以分钟为单位),如下面进一步讨论的那样。
例如,所公开的用于基于时间的网络认证挑战的技术可以被管理员(例如,IT/安全管理员)用来基于网络上正在被访问的资源来定义用户的凭证的完整性(例如,强度)和有效性(例如,时间)(例如,在认证策略中)。这允许用户被挑战以针对对敏感资源(例如,活动目录域控制器、源代码库和/或另一敏感资源)的每次访问尝试使用多个因素(例如,两个或更多个因素)进行认证,而基于针对企业的示例认证策略,通过在过去预定时间段(例如,最近24小时或另一配置超时、经过的最大时间值)中仅使用第二因素进行一次认证,可以允许相同用户访问另一个不太敏感/不敏感的资源,诸如公司的内联网。
作为另一示例,所公开的用于基于时间的网络认证挑战的技术可以被管理员(例如,IT/安全管理员)用于基于被访问的资源来链接附加认证因素(例如,链接多个知识、拥有和固有因素)和/或使用更强的认证因素(例如,秘密问题的答案与挑战-解码-响应令牌)。此外,将资源与认证和身份保证要求隔离,允许管理员定义细粒度策略,这允许(一个或多个)MFA解决方案的成功部署。
因此,所公开的用于基于时间的网络认证挑战的技术允许管理员(例如,IT/网络/安全管理员)将应用或联网资源与其认证相关的安全要求分离。在示例实现中,使用防火墙作为联机(inline)认证实体允许管理员在访问敏感资源时集中应用和利用强认证要求,并对本质上较不敏感的资源应用较少限制的访问控制策略。如下面进一步描述的那样,这可以在不需要对应用或资源本身进行任何改变的情况下实现,其中防火墙以不同程度提供身份保证,作为联网服务。
示例用例场景
现在将描述各种示例用例场景,所述场景将受益于上面描述并在下面进一步描述的各种公开的技术。
示例用例场景是具有对企业的敏感资源的访问权的企业的IT人员,所述敏感资源诸如活动目录服务器、源代码库服务器、交换机、路由器和防火墙,其是使用MFA认证进入这些业务关键系统所必需的。然而,对于IT部门来说,在这些系统(其中的若干系统使用没有对MFA的固有支持的传统的操作系统)上使能MFA是不容易的。为了在这些系统上使能认证安全性,IT人员通常被迫使用不同的认证方案,在不与MFA系统本地集成的系统上使用较弱的认证安全技术,并且在支持这些MFA技术的系统上使用较强的MFA。代之以,他们希望对使用MFA保护的多个或所有关键、敏感和/或其他资源施加一致的认证策略。
另一个示例用例场景是企业的信息安全(InfoSec)团队希望在企业网络处对所有敏感的内部应用使能MFA,但是针对企业的每一个应用配置和部署MFA通常是耗时且昂贵的。代之以,InfoSec选择要求用户使用从一个内部网络到另一个内部网络的虚拟专用网络(VPN)访问,并选择代之以在该VPN网关上使能MFA。InfoSec团队宁愿不强迫用户从一个内部企业网络到另一个内部企业网络进行VPN,而是直接在企业网络中实施MFA。
作为又一个示例用例场景,企业希望用MFA保护关键的、敏感的和/或其他内部(或外部)应用的集合。虽然用MFA使能这些应用是可行的,但是企业担心在重复提示MFA时来自用户群体的强烈反对,以及针对这些应用中的每个的MFA的部署和客户端注册的负担。鉴于缺乏用于跨相异的不同应用高速缓存(例如,存储和共享)认证状态的简单方法,企业继续使用简单的(例如,1因素认证(1FA))认证技术来保护他们的应用,从认证安全性的角度来看,使他们易受攻击的,如上面类似地描述的那样。
这些各种示例用例场景中的每个都将受益于上面描述的各种公开的技术,如现在将在下面进一步描述的那样。
用于执行多因素认证作为网络服务的架构的概述
图1是根据一些实施例的用于执行多因素认证作为网络服务的架构的功能图。例如,这样的环境可以检测和/或防止恶意软件和/或未授权用户访问企业网络和/或企业网络上的可用的资源,或者以其他方式造成危害和/或从企业网络泄露数据(例如,恶意软件可以包括任何可执行程序,诸如活动内容、可执行代码、脚本和/或可能干扰计算设备或计算机网络的操作、尝试未授权访问计算设备的数据或组件、和/或执行各种其他恶意、未授权和/或不期望的活动的任何其他内容)。特别地,描述了恶意/未授权个体(例如,未授权用户,诸如黑客或其他未授权用户)尝试重新使用受损凭证来访问企业网络110或企业网络110上或与企业网络110相关联的资源的多种尝试和/或恶意/未授权个体经由系统120传播恶意软件(例如,恶意软件130)的尝试,以及用于检测和/或防止恶意软件和/或未授权用户访问企业网络110上或与企业网络110相关联的资源的技术。
在图1中所示的示例中,客户端设备104、106和108是存在于企业网络110中的膝上型计算机、客户端设备(例如,台式计算机、移动设备或其他类型的客户端设备)以及平板计算机(分别)。数据装置102被配置成实施关于诸如客户端104和106之类的客户端与企业网络110外部的节点(例如,经由诸如因特网之类的外部网络118可到达)之间的通信的策略。这样的策略的示例包括管理流量整形、服务的质量和流量的路由的策略。策略的其他示例包括安全策略,诸如需要扫描传入(和/或传出)电子邮件附件中的威胁、web站点下载(例如,URL)、通过即时消息收发程序交换的文件和/或任何其他文件传输和/或通信的策略。如下面进一步描述的那样,策略的另一个示例包括由数据装置102实施的认证策略,用于为用户执行各种认证规则以访问企业网络110上的资源,包括例如用于执行用于执行MFA作为网络服务的所公开的技术以及如下文描述的各种其他公开的MFA相关技术。
在一些实施例中,装置102还被配置成实施关于停留在企业网络110内的流量的策略,诸如对客户端设备104、106和/或108的用户诸如经由因特网118可用的web站点或基于云的应用/服务访问企业网络110上的内部资源142和/或144以及外部资源146和/或148的认证要求。
在一些实施例中,诸如客户端104、106和108之类的客户端设备每个包括本地执行的组件,以促进用于执行MFA作为网络服务的所公开的技术。如示出的那样,客户端106包括供在所公开的MFA相关技术中使用的客户端组件(CC)140(例如,代理或其他可执行组件,诸如从Palo Alto Networks公司商业上可获得的GlobalProtectTM代理或另一商业上可获得的代理),诸如下面进一步描述的那样。
装置102可以采取多种形式。例如,装置102可以是专用设备或设备的集合(例如,执行防火墙或虚拟化防火墙)。由装置102提供的功能还可以被集成到通用计算机、计算机服务器、网关和/或网络/路由设备中或在通用计算机、计算机服务器、网关和/或网络/路由设备上作为软件执行。例如,在一些实施例中,由数据装置102提供的服务代替地(或另外)通过在客户端104上执行的软件提供给客户端104。
每当装置102被描述为执行任务时,装置102的单个组件、组件的子集或所有组件可以合作以执行任务。类似地,每当装置102的组件被描述为执行任务时,子组件可以执行任务和/或组件可以结合其他组件执行任务。在各种实施例中,装置102的部分由一个或多个第三方提供。取决于诸如对装置102可用的计算资源的量之类的因素,可以省略装置102的各种逻辑组件和/或特征,并且相应地适配本文中描述的技术。类似地,在适用时可以将附加的逻辑组件/特征添加到装置102。
在示例实现中,装置102可以使用商业上可获得的防火墙装置(例如,PA系列)和/或由Palo Alto Networks公司提供的商业上可获得的虚拟防火墙解决方案(例如,VM系列)来实现,并且云安全服务可以使用商业上可获得的安全服务来实现,诸如由Palo AltoNetworks公司提供的WildFireTM基于云的恶意软件分析环境(例如,参见www.paloaltonetworks.com/products/technologies/wildfire.html)。
如下面将更详细描述的那样,装置102可以被配置成与一个或多个虚拟机服务器合作地工作以执行恶意软件分析/预防(例如,使用由恶意软件分析系统132(其包括数据装置102)执行的仪表化VM环境114和116来实现的VM服务器112,或者使用由云安全服务122执行的仪表化VM环境126和128来实现的VM服务器124,如图1中所示,或者类似地在主机设备/机器上执行仪表化VM环境)。作为一个示例,数据装置102可以被配置成向虚拟机服务器中的一个或多个提供恶意软件130的副本(例如,恶意软件样本,诸如URL样本或包括附加/其他内容的样本,其可以包括或链接到潜在的恶意内容)以用于实时分析(例如,使用仪表化VM环境的动态分析)。作为另一示例,云安全服务122可以向装置102提供签名的列表(例如,签名可以包括已知恶意URL的URL签名、DNS签名、文件/内容签名和/或其他签名),作为订阅的部分。这些签名可以由服务122结合本文中描述的技术生成。例如,如果服务122标识与从数据装置(例如,数据装置102或另一数据装置)接收的样本(例如,恶意软件样本)相关联的新恶意软件,则云安全服务122可以自动为新标识的恶意软件生成新签名,并将新签名发送给各种订户。在该示例中,数据装置102和各种其他数据装置可以接收基于订阅的签名更新,诸如对于可以被用于生成新URL签名(例如,恶意软件URL)的URL样本中检测到的恶意软件,其然后可以由(一个或多个)数据装置基于诸如防火墙或其他安全策略之类的策略应用来对与任何这样的恶意软件URL相关联的网络流量进行阻止和/或执行其他动作。
虚拟机服务器的示例是包括商业上可获得的服务器级硬件(例如,多核处理器(诸如具有超线程(Hyper-Threading)的双6核Intel®处理器)、4或更多千兆字节的RAM(诸如128 GB RAM)、系统磁盘(诸如120 GB SSD)以及一个或多个千兆位网络接口适配器)的物理机,其执行商业上可获得的虚拟化软件,诸如VMware ESXi、Citrix XenServer或MicrosoftHyper-V(例如,这样的VM环境可以模拟使用具有超线程和512 MB的RAM的双6核Intel®处理器的Windows®XP操作系统环境,使用具有超线程和1 GB的RAM的双6核Intel®处理器的Windows®7操作系统环境,和/或其他操作系统环境和/或使用不同的硬件容量/组件)。虚拟机服务器可以与数据装置102分离但是与该数据装置102通信,如图1中所示。虚拟机服务器还可以执行数据装置102的功能中的一些或全部,并且在适用时省略单独的数据装置102。此外,虚拟机服务器可以在管理数据装置102的相同实体(例如,虚拟机服务器112)的控制下;虚拟机服务器还可以由第三方(例如,虚拟机服务器124,其可以被配置成经由第三方/云安全服务122向装置102提供服务)提供。在一些实施例中,数据装置102被配置成使用虚拟机服务器112和124中的一个或另一个用于动态恶意软件分析。在其他实施例中,数据装置102被配置成使用两个服务器(和/或未示出的附加服务器)的服务。因此,在一些实现中,云安全服务可以作为公共云或作为私有云(例如,使用本地部署的数据装置或服务器在企业网络上本地部署)来提供。
数据装置的示例组件
图2图示了根据一些实施例的数据装置。在一些实施例中,所示出的示例是被包括在数据装置102中的物理组件的表示。具体地,数据装置102(例如,执行包括所公开的认证相关安全功能的各种安全相关功能的设备,诸如安全设备,其可以是例如安全装置、安全网关、安全服务器的形式和/或安全设备的另一形式)包括高性能多核CPU 202和RAM 204。数据装置102还包括存储设备210(诸如一个或多个硬盘),其被用于存储策略和其他配置信息。数据装置102还可以包括一个或多个可选的硬件加速器。例如,数据装置102可以包括被配置成执行加密和解密操作的密码组件206,以及被配置成执行匹配(例如,模式匹配,诸如针对应用标识(App ID),如下面关于图3进一步描述的那样),充当网络处理器,和/或执行其他任务的一个或多个FPGA 208。
图3是根据一些实施例的数据装置的架构的功能图。如图3中所示,在数据装置102处监视网络流量。在一个实施例中,使用数据装置(例如,包括安全功能的数据装置,诸如包括防火墙或虚拟防火墙的安全设备/装置)来监视网络流量。在一个实施例中,使用网关(例如,包括安全功能的网关,诸如安全网关/网络网关防火墙)来监视网络流量。在一个实施例中,使用直通(例如,联机)监视技术来监视网络流量。
如图3中所示,网络流量监视在302处开始。用户ID组件304基于分组分析确定监视的流量流(例如,会话)的IP地址和端口号。在一个实施例中,用户ID组件还基于IP地址和端口号执行用户标识(用户ID)查找。认证(Auth)检查组件306基于IP地址和端口号确定是否可以应用任何策略(例如,认证策略326)。
在一个实施例中,数据装置102(例如,防火墙)在会话建立时使用Auth检查组件306实现auth策略检查,该会话建立包括基于IP地址执行用户ID查找,并且在一些情况下,执行设备类型检查(例如,如果客户端设备包括用于提供设备类型信息的组件或另一解决方案)。如该实施例中所示,在诸如使用用户ID组件304、应用(APP)ID组件308和/或内容ID组件318实施安全策略324以及使用报告和实施策略320和安全策略324实施之前,使用Auth检查组件306来执行检查认证策略,并使用报告和实施策略320以及认证(auth)策略326来实施。
在一个实施例中,如果auth策略326要求MFA用于监视的会话(例如,基于用户对访问资源的尝试),则用户被引导到入口(例如,认证入口)以针对多个认证因素中的每个输入认证凭证中的每个(例如,以第一认证因素开始,然后第二认证因素等)。如果用户未能满足根据所请求资源的auth策略的对每一个认证因素的MFA要求,则由数据装置102阻止访问(例如,由数据装置执行的防火墙可以丢弃并重置会话)。在某些情况下,如果用户未能满足根据所请求资源的auth策略的对每一个认证因素的MFA要求,则执行检查以确定是否已超过失败计数器(例如,失败阈值)(例如,如上所述,在阻止对资源的访问之前,认证策略可以允许用户失败1、2或N次)。如果用户成功满足根据所请求资源的auth策略对每一个认证因素的MFA要求,则由数据装置102允许访问(例如,由数据装置执行的防火墙可以允许会话具有对所请求的资源的访问权;然而,如上面描述和下面进一步描述的那样,会话还可以经受由防火墙进行的进一步的安全性分析,这也可以导致可以阻止用户/会话访问所请求的资源的防火墙实施动作或可以由防火墙执行的其他动作)。
在一个实施例中,如果用户成功满足根据所请求资源的auth策略对每一个认证因素的MFA要求,则Auth检查组件306还生成与会话相关联的新时间戳(例如,在成功MFA时)。在示例实现中,生存时间(TTL)值是在auth策略的每个规则中指定的可配置TTL参数。例如,如果TTL值被配置为60分钟(例如,或针对规则的TTL值配置的一些其他非零时间值),则如果用户尝试在从原始时间戳的60分钟后(例如,或者配置的非零时间值)发起的随后的会话中访问资源以再次访问所请求的资源(例如,在尝试访问相同资源的该新的/随后的会话中),则将由auth策略的规则要求用户重新认证。作为另一示例,如果TTL值被配置为零分钟,则将由auth策略的规则要求用户重新认证每个新会话以访问所请求的资源(例如,每次用户尝试访问资源时,用户将被要求重新认证)。在示例实现中,时间戳可以被本地存储在与由数据装置102实现的防火墙的数据平面中的用户ID(例如,用于会话、IP源和IP目的地等)相关联的表中,并且可以跨不同的数据装置/防火墙(例如,用于企业网络)被同步/共享,和/或可以使用基于云的解决方案来实现(例如,所公开的技术可以被实现为将对基于web/云的应用/服务(诸如Salesforce.com或另一基于web/云的应用/服务)的访问IP锁定到分配给企业的给定IP地址范围)。在该实施例中,所公开的技术允许基于访问区域、目的地区域、APP ID和/或其他参数或组件在auth策略的规则中使用用户ID(例如,IP地址、用户名和/或与用户/会话相关联的其他信息)和时间戳,以要求MFA可配置访问要求。
在示例实现中,数据装置102的Auth检查组件306拦截仅从第一TCP SYN分组访问资源的尝试,确定对访问资源的请求是否与auth策略326中的规则相关,并且如果是,则将用户的会话重定向到认证入口,如下面进一步描述的那样。例如,可以使用透明模式和/或重定向模式来实现这样的重定向,并且下面将进一步描述这些重定向技术中的每个。在会话建立和重定向之后,然后发起认证入口以挑战用户以满足认证因素中的每个(例如,如果通过,则继续到如由资源的认证策略中的适用规则指定的连续因素中的每个),如上面类似地描述的那样。
在一个实施例中,用于一个或多个资源的配置/实现的MFA配置利用另一服务以用于SSO认证。在示例实现中,如果用户已导航到被重定向到认证系统的服务/应用,则数据装置102的Auth检查组件306将用户重定向到设置cookie的单点登录(SSO)过程,并且SSO相关的cookie可以被用作对MFA配置的第一因素的验证。对于在资源的auth策略326的相关规则中指定的任何附加认证因素,重定向到认证入口以挑战附加认证因素如上面类似地描述的那样实现。
在一个实施例中,使用客户端组件140直接/本地执行认证。例如,UDP数据报(例如,或另一协议)可以被用于提供主机名/IP检查(例如,以确定其是否是可信主机,诸如用于ACME企业网络的LDAP服务器、用于ACME企业的Perforce源代码库服务器或另一可信主机)、唯一参数和URL,客户端组件140然后可以处理该唯一参数和URL(例如,并输出预定消息以显示给用户),以将用户重定向到认证入口,以提供用于将用户重定向到认证入口的摆动(shimmy)技术。
在另一个实施例中,通过将用户重定向到用于认证的具体/预定URL(例如,用于ACME企业用户的login.acmecompany.com并适当地在企业上配置DNS,并且在该示例中,对于任何认证挑战,可以训练ACME企业用户以将他们的web浏览器导航到该入口,并且在该示例中,认证可以在不使用或要求在ACME企业用户的客户端设备上安装客户端组件140的情况下执行)来执行认证。
在这些实施例中,无论是直接/本地执行认证还是通过训练用户以导航到企业认证入口,然后都可以如上面类似地描述的那样执行认证处理。在一些情况下,企业可以支持这些认证技术的两者,以促进对其中用户正在尝试从不具有安装客户端组件140的客户端设备访问资源的情况的支持和/或对他们的企业的更灵活的支持选项的支持
在一个实施例中,使用基于状态的防火墙来监视网络流量。在一个实施例中,基于状态的防火墙可以使用图3中的应用(APP)标识符(ID)组件308来监视流量流。例如,监视的网络流量可以包括HTTP流量、HTTPS流量、FTP流量、SSL流量、SSH流量、DNS请求、未分类的应用流量(例如,未知的应用流量)和/或其他类型的流量(例如,使用其他类型的已知或未知协议的流量)。
在通过防火墙处理的Auth检查阶段之后(例如,基于auth策略没有MFA要求被应用到会话,或者基于auth策略用户成功地通过MFA要求,如上面类似地描述的那样),则防火墙处理继续到App ID 308和内容ID 318,用于使用报告和实施策略320应用安全策略324。如图3中所示,App ID组件308标识与会话相关联的应用。例如,可以使用App ID组件308来标识应用,App ID组件308使用各种应用签名来基于分组流分析标识应用(例如,使用FPGA实现,诸如如图2中所示的FPGA 208)。如上所述,还可以基于源IP地址(例如,基于一个或多个IP地址)来确定用于会话的用户标识。在该示例中,App ID组件308可以被配置成确定会话涉及什么类型的流量,诸如HTTP流量、HTTPS流量、FTP流量、SSL流量、SSH流量、DNS请求、未知流量以及各种其他类型的流量,并且可以将这样的分类流量引导到适当的解码器,诸如解码器组件312、314和316,以处理每个监视的会话的流量流的分类业务。
还如图3中所示,如果监视的流量被加密(例如,使用HTTPS、SSL、SSH或其他已知的加密协议加密),则可以使用解密组件310来解密监视的流量(例如,使用与网络设备(诸如数据装置、网关或实现防火墙的其他网络设备)相关联的自签名证书来应用可信中间人技术)。已知协议解码器组件312使用已知协议对流量流进行解码和分析(例如,针对已知协议应用各种签名(322))并将监视的业务分析报告给报告和实施策略组件320。例如,已知协议解码器组件312可以解码和分析HTTP/HTTPS流量流以应用所公开的技术(例如,应用生成的HTTP cookie签名来检测HTTP流量中的恶意HTTP cookie和/或应用其他恶意软件签名,如下面进一步描述的那样)。标识的流量(不需要解码)组件314将标识的流量报告给报告和实施策略组件320。未知协议解码器组件316解码和分析流量流(例如,应用各种启发法)并将所监视的业务分析报告给报告和实施策略组件320。
在一个实施例中,基于安全策略324(例如,包括与网络/路由策略、安全策略和/或防火墙策略相关的规则)向报告和实施策略组件320提供使用已知协议解码器组件312、标识的流量组件314和上述未知协议解码器组件316的各种流量监视技术的结果。例如,可以使用应用标识、用户标识和/或其他信息来将防火墙策略应用于监视的网络流量以匹配签名322(例如,应用/App ID签名,诸如URL签名、基于文件、基于协议和/或用于检测恶意软件或可疑行为的其他类型/形式的签名)并实施安全策略324。
还如示出的那样,装置102还包括内容ID组件318。在一个实施例中,也由报告和实施策略组件320以与诸如应用、用户和/或其他信息之类的其他信息的各种组合来使用内容ID组件的标识内容,以实施各种安全/防火墙策略/规则(例如,在安全策略324中指定),诸如用于实现各种动态分析技术,如下面进一步描述的那样。
在一个实施例中,防火墙策略可以包括使用诸如本文中描述的公开技术(例如,使用本地VM服务器112和/或如上面关于图1描述的云安全服务的远程VM服务器)使用动态恶意软件分析来进一步检查(一个或多个)样本的策略。例如,新的或未知的URL(例如,与现有URL签名不匹配的URL)和/或其他内容(例如,PDF文件、Flash(.swf格式)文件和/或其他内容)可以作为用于进一步动态恶意软件分析的样本被提供。
在示例实现中,数据装置102的组件中的一个或多个(例如,用户ID组件(304)、Auth检查组件(306)、App ID组件(308)和/或内容ID组件(318))可以被实现以促进所公开的技术,如下面进一步描述的那样。因此,提供图1-3作为可以从实现如下面进一步描述的所公开的技术受益的示例环境和示例应用。
用于执行多因素认证作为网络服务的防火墙
在一个实施例中,防火墙被配置成执行多因素认证(MFA)作为网络服务。在示例实现中,防火墙被配置成通过拦截用户/客户端设备与在认证策略中被指定具有MFA要求的一个或多个资源之间的网络流量来实现和实施用于提供MFA作为网络服务的认证策略。因此,防火墙实现MFA网关,以基于认证策略中指定的配置保护企业的资源。在该示例中,为了保护敏感资源,防火墙拦截用户对访问敏感资源的请求,并且然后发起认证入口以挑战用户以响应于配置的多个认证的因素,如上面类似地描述的那样。假定防火墙在满足认证策略中的配置的MFA要求时以高的程度的置信度断言用户的身份,如果用户安全地完成/满足多因素认证,则防火墙允许用户访问所请求的资源。
在一个实施例中,这些MFA要求和动作由认证策略中指定的配置驱动,诸如在上面类似地描述和在下面进一步描述的那样。例如,在会话建立期间每次防火墙执行用户ID查找时,可以评估在认证策略中指定的规则,如上面关于图3类似地描述和在下面进一步描述的那样。
在一个实施例中,管理员在认证策略中配置规则,该规则定义需要多因素认证的资源。在示例实现中,管理员在认证策略中配置规则,该规则通过在规则中配置以下元素来定义需要多因素认证的资源:(1)匹配标准;以及(2)动作(例如,基于满足配置的匹配标准来执行)。
可以被配置的示例匹配标准包括以下各项中的一项或多项:源区域和IP地址、源用户/组、目标区域和IP地址以及服务和URL类别。还可以基于其他参数配置附加匹配标准。
可以被配置的示例动作包括以下各项中的一项或多项:web浏览器的流量拦截的类型(例如,挑战与web表单);针对第一因素、第二(或多个)因素的认证简档和/或证书简档;高速缓存超时(例如,自最近成功的针对IP/用户绑定的1FA认证以来经过的最大时间,以分钟为单位,诸如上面类似地描述的那样);和高速缓存超时(例如,自上次成功的针对IP/用户绑定的MFA认证以来经过的最大时间,以分钟为单位,诸如上面类似地描述的那样)。还可以配置附加动作用于执行其他动作。
认证策略流
图4是根据一些实施例的实现用于执行多因素认证作为网络服务的认证策略流的防火墙的流程图。在一些实施例中,由如上面类似地描述的平台和技术执行如图4中所示的过程400,包括上面关于图1-3描述的实施例。尽管过程400被应用于1FA和2FA认证的示例,但是对于本领域普通技术人员来说将显而易见的是,过程400可以类似地被应用于包括附加认证因素(例如,3、4或N个认证因素)的MFA。
参考图4,过程400在402处开始。在404处,在防火墙(例如,由数据装置102实现的防火墙,如上面关于图1-3类似地描述的那样)处处理会话建立。在406处,确定是否匹配auth策略的(一个或多个)规则(例如,基于用户ID检查,如上面关于图3类似地描述的那样)。如果不匹配,则防火墙继续评估安全策略规则,如408处所示。如果匹配auth策略规则,则防火墙尝试建立用户在其时从当前源IP地址成功完成双因素认证的最近已知时间,如410和412处所示。用户第一次匹配auth策略规则库中的任何给定规则时,该时间戳将是空/未知的,并且防火墙将继续挑战用户经由2FA进行认证,如416处所示。在示例实现中,一旦用户成功认证,防火墙将生成并存储(例如,高速缓存)第一因素认证时间戳和(一个或多个)第二认证时间戳两者以及用户ID内使用的认证简档,并使用这些时间戳作为比较auth策略规则库上的任何未来匹配的度量。
如414处所示,规则库上的任何随后的匹配将触发查找以检查记录的1FA/2FA时间戳是否在auth策略规则中定义的窗口内(例如,经过的最大时间)。在示例实现中,该匹配包括时间戳并且还验证所使用的认证简档(例如,2FA/MFA系统)是相同的。除了在使用中的2FA/MFA系统之外,跟踪时间戳还允许管理员区分他们可能已经部署的多个2FA/MFA系统。例如,SaaS提供商使用RSA SecurID和YubiKey两者用于2FA/MFA;IT人员和一些选择组需要使用两者,而其余的企业人员仅使用YubiKey用于二次认证。跟踪每个认证简档的1FA和2FA超时允许管理员为IT人员定义更严格的认证要求,同时允许普通企业用户以更长的预设间隔进行认证。
如果记录的时间戳确实落在超时窗口内,则防火墙将根据认证策略“允许”访问,并继续评估安全策略规则,如408处所示。如果1FA/2FA时间戳不在期望的时间的窗口内,则防火墙将继续挑战用户经由1FA和2FA进行认证,如416处所示,并且在成功认证时更新1FA和2FA时间戳,如418和420处所示。如果在418处用户未成功认证,则防火墙继续到422以确定是否达到重试限制(例如,用于auth策略中的资源的规则的可配置参数)。如果未达到重试限制,则防火墙返回到416以允许用户另一尝试使用1FA和2FA进行认证。如果达到重试限制,则防火墙拒绝对资源的访问,如424处所示,并且处理停止,如426处所示。
在示例实现中,防火墙不创建/跟踪“每资源”认证状态;代之以,防火墙依赖于这两个时间戳(例如,1FA和2FA时间戳)来建立用户尝试访问给定IP地址的准确性。依赖于时间戳而不是每资源认证状态提供了对2FA系统的更自由的使用,这将不重复提示有效用户使用第一或第二因素进行认证。例如,该方法消除了由企业针对2FA/MFA部署所面临的重大采用和实现障碍,并且还允许管理员在访问敏感资源时,通过针对这样的超时值调低计时器来定义非常强的2FA/MFA要求。
在示例实现中,实现认证入口以本地支持针对第三方供应商的选择集合的2FA/MFA并且依赖于RADIUS协议来与其他人互操作。这使用两种示例技术来实现。作为第一示例技术,许多商业上可获得的2FA/MFA供应商通常发布RESTful HTTP API,其可以被调用以挑战用户认证,并验证所述挑战的状态。在可用的情况下,经由服务器简档和认证简档,auth策略可以使用发布的API直接与这些供应商集成。作为第二示例技术,认证入口可以使用RADIUS作为用于支持供应商的媒介,所述供应商诸如RSA SecurID、EntrustIdentityGuard、SafeNet和/或其他供应商。
在一个实施例中,根据资源的类型执行不同的示例工作流。执行第一示例工作流以供用户尝试通过HTTP(S)访问基于浏览器的资源,这由认证入口处理,诸如下面进一步描述的那样。执行第二示例工作流以供用户尝试访问非基于浏览器的资源,这可以以两种示例方式之一来处理,在下面进一步描述所述方式中的两者:(1)客户端组件(例如,图1的客户端组件140,诸如使用从Palo Alto Networks公司商业上可获得的GlobalProtectTM代理实现)发信号通知用户(提升的)认证是访问资源所需要的;或者(2)训练用户以导航到在众所周知的URL(例如,login.acmecompany.com)处定义的认证入口,以进行带外认证,将在下面进一步描述这每个。
访问基于浏览器的资源
图5A是根据一些实施例的防火墙的流程图,该防火墙实现用于执行多因素认证的认证策略流,作为用于尝试访问基于浏览器的资源的网络服务。在一些实施例中,如图5A中所示的过程500由如上面类似地描述的平台和技术执行,包括上面关于图1-3描述的实施例。尽管过程500被应用于1FA和2FA认证的示例,但是对于本领域普通技术人员来说将显而易见的是,过程500可以类似地被应用于包括附加认证因素(例如,3、4或N个认证因素)的MFA。
在一个实施例中,当基于浏览器(HTTP/HTTPS)的资源需要2FA时,防火墙实现下面概述的逻辑以建立和验证给定用户的身份。例如,对访问基于浏览器的资源的尝试将导致用户接收请求附加认证的认证入口。用户将遇到诸如如下面描述的过程500的工作流,其在用户被重定向到所请求的资源(例如,经受由防火墙进行的安全策略实施)或拒绝对资源的访问时终止,如下所述。
参考图5A,在确定auth策略决定以认证请求访问基于浏览器的资源的用户之后,防火墙处理在502处开始。在504处,拦截对基于浏览器的资源的HTTP(S)请求,并且会话被重定向到认证入口。在506处,确定认证入口cookie是否有效。如果认证入口cookie是有效的,则处理继续到508以挑战第二认证因素。如果用户在510处成功认证,则在514处更新2FA时间戳,并且防火墙在516处继续安全策略处理。如果用户在510处未能成功认证,并且如果在512处达到重试限制,则在518处拒绝访问,并且在520处完成处理。如果用户在510处未能成功认证,并且如果在512处未达到重试限制,则处理返回到508。
再次参考506,如果认证入口cookie是无效的,则处理继续到522以发起认证入口以挑战第一认证因素(例如,包括对SSO的支持,诸如上面类似地描述的那样)。如果用户在524处成功认证,则在526处创建并分派针对第一认证因素的浏览器cookie,并且防火墙在508处继续处理以挑战第二认证因素。如果用户未能在524处成功认证,并且如果在528处达到重试限制,则在518处拒绝访问并且在520处完成处理。如果用户未能在524处成功认证,并且如果在528处未达到重试限制,则处理返回到522。
图5B-D是根据一些实施例的用于防火墙的认证入口的屏幕图,该防火墙实现用于执行多因素认证的认证策略流,作为用于尝试访问基于浏览器的资源的网络服务。参考图5B,示出了用于第一认证因素挑战(例如,用户名和密码)的认证入口的屏幕图。参考图5C,示出了用于继续进行安全第二认证因素挑战的认证入口的屏幕图。参考图5D,示出了用于成功认证结果的认证入口的屏幕图。
访问非基于浏览器的资源
图6A是根据一些实施例的防火墙的流程图,该防火墙实现用于执行多因素认证的认证策略流,作为用于尝试访问非基于浏览器的资源的网络服务。在一些实施例中,如图6A中所示的过程600由如上面类似地描述的平台和技术执行,包括上面关于图1-3描述的实施例。尽管过程600被应用于1FA和2FA认证的示例,但是对于本领域普通技术人员来说将显而易见的是,过程600可以类似地被应用于包括附加认证因素(例如,3、4或N个认证因素)的MFA。
在一个实施例中,当非HTTP/非HTTPS资源需要2FA时,防火墙实现下面概述的逻辑以建立和验证给定用户的身份。例如,对访问非基于浏览器的资源(例如,非HTTP/非HTTPS资源)的尝试将导致用户接收请求附加认证的认证入口。用户将遇到诸如如下所述的过程600的工作流,其在用户被通知成功认证以及可能需要重新发起请求网络访问的应用(例如,经受由防火墙进行的安全策略实施)或拒绝对资源的访问时终止,如下所述。
在该示例实现中,客户端设备配置有安装的客户端组件(例如,图1的客户端组件140,诸如端点上的GlobalProtectTM代理),使得可以通知用户由于资源需要用户认证而被阻止的访问尝试。如对于本领域普通技术人员将显而易见的是,可以类似地部署另一种类型的客户端组件以执行用于执行下面描述的图6A的过程的类似功能。另外,如果这样的客户端组件未在使用中(例如,未被安装在客户端设备/端点上或者它不能触发用户通知),则用户将被允许导航到在防火墙上托管的认证入口(例如,如由管理员配置/定义的那样)以完成认证过程。
参考图6A,在确定auth策略决定以认证请求访问非基于浏览器的资源的用户之后,防火墙处理在602处开始。在604处,在防火墙处拦截访问资源的尝试。在606处,防火墙向客户端组件(例如,GlobalProtectTM代理或另一客户端组件)发信号以生成到用户的请求用户进行附加认证的通知。在608处,用户尝试使用客户端组件或认证入口进行认证。如果用户在610处成功认证第一认证因素,则处理继续到612以挑战第二认证因素。如果用户在614处未能成功认证,并且如果在622处达到重试限制,则在624处拒绝访问,并且在626处完成处理。如果用户在614处未能成功认证,并且如果在622处未达到重试限制,则处理返回到612。如果用户在614处成功认证,则防火墙发信号通知客户端组件(例如,GlobalProtectTM代理或另一客户端组件)以在616处通知用户成功认证,并且然后在618处更新2FA时间戳,并且防火墙在620处继续安全策略处理。
再次参考610,如果用户在610处未能成功认证,并且如果在628处达到重试限制,则在624处拒绝访问,并且在626处完成处理。如果用户在610处未能成功认证,并且如果在628处未达到重试限制,则处理返回到608。
图6B-D是根据一些实施例的用于防火墙的认证入口的屏幕图,该防火墙实现用于执行多因素认证的认证策略流作为用于尝试访问非基于浏览器的资源的网络服务。参考图6B,示出了用于第一认证因素挑战(例如,用户名和密码)的认证入口的屏幕图。参考图6C,示出了用于继续进行安全第二认证因素挑战的认证入口的屏幕图。参考图6D,示出了用于成功认证结果的认证入口的屏幕图。
在一个实施例中,管理员(例如,IT/网络/安全管理员)可以配置认证策略和/或认证入口的其他方面以及用户和/或资源的配置,用于实现使用管理图形用户界面(GUI)和/或命令行界面(CLI)提供MFA作为网络服务的公开技术。
在一个实施例中,如果认证简档配置有MFA供应商,防火墙使用用于MFA供应商的API与该MFA供应商集成,则独立于后面的因素(例如,第二、第三等认证因素)来处理第一因素。在该示例中,首先使用如在认证简档上配置的第一因素对用户进行认证。在示例实现中,在成功完成第一因素后,防火墙使用供应商提供的API来触发随后的(一个或多个)认证挑战。如果设备(例如,客户端/端点设备)以多种认证的方法(例如,推送通知、SMS、秘密问题,因为一些MFA供应商允许用户创建秘密问题的答案,或者创建备份代码,因此如果设备(诸如包括移动电话、平板计算机、手表或其他移动设备的用户的移动设备)离线/不可用时,用户仍然可以进行认证)注册,则防火墙向用户提供用于选择所期望的认证的方法的选项。在该示例中,面向用户的实体(例如,认证入口/GlobalProtect)提供允许用户选择用于与认证系统交互的辅助方法的选项(例如,其允许可能离线的设备的用户使用基于时间的一次性密码(TOTP)代码或基于HMAC的一次性密码(HOTP)代码,而不是推送通知来认证)。例如,这可以采取超链接的形式,该超链接允许用户指示优选/正常的认证的手段是不可用的,或者另一交互机制以进行这样的选择。可以从MFA提供者检索可用于给定用户的认证方法的列表(例如,其通常跨企业配置;在一些情况下,这可以是可配置的,以根据企业的每个用户而变化)。
在一个实施例中,在完成认证的(一个或多个)后面的因素时,防火墙在用户ID记录中为用户和IP地址生成或更新针对2FA的两个时间戳(例如,或针对MFA的多个时间戳),并且除了在使用中的认证简档之外还记录这些时间戳。对于每个不同的认证简档,这些时间戳也被称为“1FA最近成功认证时间戳”和“2FA最近成功认证时间戳”(例如,以及针对附加的第N个因素的“NFA最近成功的认证时间戳”),并且被维护(例如,高速缓存)每个用户ID。在示例实现中,该时间戳被分发/传送到企业的其他防火墙(例如,与经由用户ID向其登记为代理的其他防火墙共享)。在该示例中,假设在企业的防火墙之间均匀重新分发用户ID信息,提示用户进行认证(例如,跨所有防火墙)的唯一触发是认证策略规则库上的达到/匹配。如上面类似地讨论的那样,如果后面的(一个或多个)认证的因素中的任何因素不成功,则防火墙不生成或更新时间戳。在也如上面类似地讨论的示例实现中,如果后面的认证阶段中的任何阶段失败,则防火墙从第一因素开始认证过程。
在一个实施例中,防火墙支持使用RADIUS的多因素认证,如上面类似地描述的那样。例如,如果认证简档需要使用RADIUS的MFA,则所有认证使用者都可以支持挑战/响应机制来对用户进行认证。在该示例中,所有认证使用者都执行向用户提出挑战的临时过程。预期RADIUS服务器分派挑战,并显示挑战消息。如果来自RADIUS服务器的响应未携带具有挑战的消息,则认证使用者被配置成显示当前的默认挑战消息。此外,认证使用者向用户呈现挑战提示和文本字段以将挑战响应输入进去。然后,认证使用者将这分派回RADIUS服务器以进行挑战验证,并处理来自RADIUS服务器的随后的接受/拒绝响应。在示例实现中,所有认证使用者支持组合的MFA机制(例如,输入令牌连同用户名),其中RADIUS服务器负责分解认证的第一因素和后面的因素。用户同时在相同的表单中输入用户名/密码和令牌。通常,密码字段被重载以携带密码和<n>数字令牌(例如,或者可以利用字母数字令牌)。然后,RADIUS服务器被配置成从密码字段中除去令牌,并分离地处理1FA和2FA/MFA认证。RADIUS模块在其超时向RADIUS服务器进行请求之前等待达最大时间段(例如,可配置的时间限制,诸如120秒或某个其他超时值)。例如,这允许异步输入的模式,诸如SMS响应代码或基于硬件的挑战/响应方案。
在一个实施例中,防火墙本地支持多因素认证。例如,除了支持和与第三方MFA供应商集成之外,防火墙还可以包括用于本地实现MFA的组件,其可以被类似地实现以执行所公开的MFA相关技术。
与用户ID交互
在如上面类似地描述的一个实施例中,防火墙将挑战先前已知的用户(例如,基于用户ID组件查找已知)以基于认证策略用第二因素或多个因素进行认证。例如,多因素认证提供了用户的身份中的非常高的程度的置信度,使得通过使用该示例实现成功完成的任何认证尝试也提高(bolster)用户ID准确性。在该示例中,从MFA网关得到的显式用户认证将取代对原始IP地址的任何现有用户映射。
与认证交互
在示例实现中,被配置成使用所公开的技术提供认证网关的防火墙可以依赖于例如LDAP、RADIUS、TACACS+和客户端证书(当不需要SSO时)、Kerberos或SAML(当需要SSO时)来满足第一因素。在该示例中,为了向用户挑战第二因素或后面的因素,认证网关可以提供如下所述并且上面类似地描述的两个选项中的一个或两者。首先,认证网关可以使用它们的API与MFA供应商集成,所述API通常采取基于RESTful HTTP的API的形式。这些API通常需要调用授权令牌;管理员可能需要在防火墙上配置认证令牌,使得它可以挑战用户以进行认证。在一个实施例中,提供动态配置和逻辑引擎,用于配置防火墙,该防火墙不仅携带在防火墙内配置这些MFA解决方案所必需的挂钩(hook),而且还携带概述需要调用的事件的精确序列的逻辑,使得用户被挑战以使用辅助因素进行认证(例如,包括提供列出用于与MFA供应商互操作的控件的数据驱动小部件,其中小部件可以由动态内容更新驱动(例如,其可以基于用于解释与MFA供应商的交互的框架来提供,该框架可以使用脚本语言来实现以将与MFA供应商的这样的交互封装在(一个或多个)脚本中),其还能够插入具有这样的动态内容更新的新的支持的(一个或多个)API供应商,并且UI呈现本身以携带由这样的新供应商所需的配置字段)。作为另一种和/或附加的方法,认证网关可以经由RADIUS与传统/既定的供应商(例如,或者如果基于API的技术是不可用的,则较新的MFA提供商)集成。在这样的情况下,企业网络部署RADIUS服务器(例如,或RADIUS代理),该服务器提供到期望的MFA生态系统中的挂钩。
MFA服务器简档
在示例实现中,提供了类型“多因素认证”的服务器简档,其被称为MFA服务器简档,如下面进一步描述的那样。图7图示了根据一些实施例的用于配置MFA服务器简档的示例屏幕截图。
如图7中所示,管理员可以在MFA服务器简档中配置以下参数,以提供用于提供描述性名称的简档名称参数、位置参数(例如,目标虚拟系统或共享)、可以使用列出了如示出的支持的MFA供应商(例如,Duo Security、Okta、PingID和/或其他MFA供应商)的下拉列表实现的MFA解决方案参数的类型(供应商)、API主机参数、集成密钥和秘密秘钥参数(例如,用于配置与Duo Security的集成以接收和处理API调用)、超时(例如,以秒为单位,用于配置最近成功认证的超时,其指定平台在其超时尝试连接到该主机之前必须等待的时间的量,如上面类似地描述的那样)以及证书简档。
在一个实施例中,MFA服务器简档是另一个位置,其中可以应用如本文中所述的动态配置以促进和高效且无缝地与第三方MFA供应商产品集成(例如,可以将其作为推送的动态内容更新来提供以抽象出用于每个具体MFA供应商的参数并且通过这样的动态内容更新在GUI/CLI中呈现相同的参数)。例如,用于创建这些实体的GUI/CLI可以即时(on-the-fly)被更新,诸如以添加对新的(一个或多个)第三方MFA供应商的支持作为对(一个或多个)现有第三方MFA供应商的支持而引入或更新。该方法将配置防火墙的动作与第三方MFA供应商的产品的当前状态分离,从而允许防火墙与第三方MFA供应商无缝对接,并支持第三方MFA供应商的产品更新。
认证简档
在示例实现中,认证简档可以被配置成使能第二、第三或第四认证的因素,如下面进一步描述的那样。图8图示了根据一些实施例的用于配置认证简档的示例屏幕截图。
如图8中所示,管理员可以在认证简档中使能其他认证因素。例如,该能力可以配备有关于因素选项卡的表,其允许管理员将选择的MFA服务器简档添加到列表。通过选中(check)如示出的“使能附加认证因素”复选框可以使能多个因素。在该示例中,该表还允许管理员从列表选择和消除配置的MFA服务器简档。从上到下触发附加认证因素,被调用的每个因素都将挑战用户进行认证。假定MFA配置可以直接与RADIUS集成,当RADIUS认证简档在使用中时,当“使能附加认证因素”复选框被使能时,则允许管理员配置附加因素的空表。
认证——第二/多因素
在一个实施例中,防火墙直接与可以触发和管理挑战/响应或OTP认证的任何MFA供应商集成。例如,防火墙可以使用它们的本地的基于HTTP的RESTful API(例如,DuoSecurity、PingId、Okta Adaptive MFA、来自Yubico的YubiKeys、Symantec VIP和/或其他MFA供应商)与各种MFA供应商集成。
在一个实施例中,防火墙直接与支持RADIUS的MFA供应商集成,作为用于触发和管理挑战/响应或OTP认证的机制。例如,防火墙可以与提供这样的RADIUS支持的各种MFA供应商(例如,Safenet、RSA SecurID、Entrust IdentityGuard和/或其他MFA供应商)集成。
经由MFA的替代认证方法
图9是根据一些实施例的经由MFA提供替代认证方法的认证入口的屏幕图。例如,如果用于该特定认证因素的第一/主要方法是不可用的(例如,离线设备或其他情况),则可以提供替代认证方法用于经由MFA进行认证。
示例认证策略
图10是根据一些实施例的用于配置用于对网络服务执行多因素认证的认证策略的规则的界面的示例屏幕截图。在一个实施例中,认证策略包括一个或多个规则。如上面类似地描述的那样,认证策略规则定义用户需要满足/通过的认证标准,以便被准许/允许访问具体资源(例如,目的地应用或服务,诸如如上面类似地描述的基于浏览器和/或非基于浏览器的资源)。
在一个实施例中,首先针对每个会话建立处理认证策略的规则,以验证用户被认证到防火墙足以允许/准许访问。会话与认证入口规则中配置的源和目标进行匹配。如果确定匹配,则配置的动作和认证简档定义对于允许会话并将其传递到安全策略处理需要什么认证,如上面类似地描述的那样。会话还与已知的源用户信息匹配,诸如上面类似地描述的那样。如果已知用户的会话与认证入口规则匹配,则防火墙仍实施配置的认证简档。
参考图10,认证策略达到/匹配可以基于以下匹配标准中的一个或多个(例如,和/或附加的匹配标准):源区域、源地址、源用户和源主机信息简档(HIP)(例如,使用来自PaloAlto Networks公司的GlobalProtectTM或类似地为客户端/端点设备和/或基于API的第三方集成提供这样的HIP数据的其他商业上可获得的解决方案)、目的地区域、目的地地址和服务/URL类别。
图11是根据一些实施例的用于配置用于对网络服务执行多因素认证的认证策略的实施动作的界面的示例屏幕截图。如示出的那样,可配置动作包含认证实施对象和选项,以选择性地使能某些日志记录和用户ID操作。在2FA示例实现中,在与该IP/用户映射的每个认证简档的最近成功1FA和2FA时间戳比较时,超时参数(例如,示出为以分钟为单位的可配置参数)用作针对该规则的TTL。默认情况下,可以禁用包括日志认证超时的日志设置。如果使能,则防火墙在其遇到认证超时时生成认证日志。还如示出的那样,管理员可以根据规则配置日志转发简档。除了日志过滤之外,日志转发简档还指定下游日志转发动作(例如,电子邮件、系统日志、HTTP或其他转发机制)。在该示例中,在默认情况下使能更新用户ID映射。在该示例实现中,如上面类似地描述的那样,防火墙的用户ID组件在遇到成功认证时利用从该认证事务得到的信息来更新其IP/用户映射(例如,包括用户ID超时)。在某些情况下,某些资源(诸如交换机、路由器和活动目录(AD)域控制器)可能需要“管理员”登录,并且IT可能正在使用预定义的帐户的集合。在像这样的情况下,防火墙管理员可以取消选中该选项,并且用户ID将不使用从该认证事务得到的用户名更新/替换其IP/用户映射。
还如图11中所示,认证实施对象(例如,在如示出的对象选项卡下配置)提供了用于指定用户需要如何进行认证的选项,以及自用户最近(成功)完成1FA或2FA/MFA认证后经过的最大时间。在该示例中可以配置各种认证方法,包括以下内容:用于显式用户名和密码认证的“web表单”;用于浏览器挑战的“浏览器挑战”,诸如基于NTLMv2或Kerberos;和用于排除认证挑战并继续进行安全策略评估的“非认证入口”。对于“web表单”选项,在该示例中,可以基于每个规则覆盖向用户显示的认证入口消息。认证入口消息可以由认证入口响应页面模板中的变量表示。配置的消息将替换默认消息文本。在默认的情况下,可以示出以下默认消息文本:“您试图访问的资源需要在访问之前进行用户认证。按照您的屏幕上的提示来登录”。
例如,对于显式用户名和密码认证的“web表单”,防火墙在使用HTTP/HTTPS时向用户提供交互式web表单认证。HTTP/HTTPS的使用由服务对象和由防火墙的App ID组件(例如,之后的几个分组(web浏览))确定。使用配置的认证简档(例如,其可以包括多个因素)来认证用户,其中可以在认证策略规则中使用所有认证简档类型。在某些情况下,可以使用证书简档对用户进行认证。如果未选择认证简档,则可以选择证书简档。在这样的情况下,经由证书简档对用户进行透明认证。如果选择了证书简档以及认证简档两者,则并且两种认证方法都被用于对用户进行认证。如果可以从客户端证书提取用户名,则使用用户名在web表单中预填充用户名(例如,其不能被用户改变)。如果无法从由用户提供的可信客户端证书提取用户名,则用户可以在web表单的用户名字段中手动输入他们的用户名。
例如,对于“浏览器挑战”认证,防火墙在使用HTTP/HTTPS协议时向web浏览器发送认证挑战(例如,Kerberos V5或NTLMv2认证挑战),并且如果认证失败,则防火墙可以使用为认证入口配置的任何认证简档退回到“web表单”。在示例实现中,对于其他协议,防火墙用基于网络的消息来响应于客户端(例如,使用ICMP、TCP、UDP或另一网络协议或网络协议的组合,这可以取决于用户、设备和/或使用中的应用),这可以由客户端组件(例如,图1的客户端组件140)来处理。使用配置的认证简档(例如,其可以包括多个因素)对用户进行认证。
在如上面类似地描述的示例实现中,防火墙用每个认证简档的两个时间戳更新用户ID记录(例如,在2FA示例实现中),所述时间戳包括在其时成功完成认证的第一因素的时间和在其时成功完成多因素认证的时间。还如上所述,作为用户ID复制过程的部分,可以在防火墙之间复制关于已知用户的认证信息(例如,包括如何对用户进行认证,诸如什么认证方法、使用的源以及可以针对第一和第二/多个因素两者进行复制的每个认证简档的1FA/MFA最近成功的认证时间戳)。
使用客户端组件的认证
在一个实施例中,当正在访问非基于浏览器的资源时,认证策略将基于网络的消息分派给请求访问的客户端,导致如下所述的以下事件的序列。客户端组件(例如,使用GlobalProtectTM代理或另一客户端组件实现的图1的客户端组件140)能够观察来自防火墙的基于网络的消息(例如,如上面类似地描述的那样)。当接收到这样的基于网络的消息时,客户端组件显示对所请求资源的访问被阻止的消息,并且用户认证对于获得对资源的访问是必要的。如上面类似地描述的那样,客户端组件还使用第一因素自动认证用户。如果客户端组件不知道用户的凭证(例如,使用SAML或Kerberos),则客户端组件向用户显示web页面,或代表用户检索令牌(例如,Kerberos或其他令牌)。一旦完成第一因素,客户端组件就向最终用户显示已经发起随后的认证请求的消息。在成功完成第二因素时,客户端组件可以被配置成自动将其本身最小化到系统托盘。
MFA应用的配置
图12是根据一些实施例的用于配置用于对网络服务执行多因素认证的认证策略的应用的界面的示例屏幕截图。如示出的那样,应用(app)配置包括连接方法参数(例如,用户登录)、用户单点登录参数(例如,是或否)、SCEP证书续订(renewal)期(天)参数、禁用GlobalProtectTM图标(例如,是或否)、使能来自MFA网关的入站认证提示(例如,是或否)、可以被配置的入站认证提示的默认消息、入站认证提示的网络端口(UDP)参数和可以被配置的可信MFA网关。
用于自动安全检测的MFA监视和日志记录
在一个实施例中,实现如上所述的所公开的MFA技术的防火墙提供了进入认证和用户ID日志(例如,认证和用户ID日志数据库或其他数据格式)中的视图。例如,认证和用户ID日志捕获随时间的对所有建立的IP/用户映射的取证跟踪。如图13和14中所示,如下面进一步描述的那样,防火墙的界面经由监视器选项卡的日志菜单下的用户ID日志菜单项提供对在认证和用户ID日志中捕获的信息的访问。
认证和用户ID日志查看器
图13是根据一些实施例的用于监视用于对网络服务执行多因素认证的认证策略的实施的界面的示例屏幕截图。在一个实施例中,实现如上所述的所公开的MFA技术的防火墙的界面的监视器选项卡显示各种监视的MFA/认证信息。
参考图13,显示用户(例如,用户名)和相关联的IP地址。例如,管理员可以基于选择的IP地址进行过滤。此外,管理员可以基于所选择的用户名进行过滤,如1302处所示,或者基于所选择的源类型或源名称进行过滤,如1304处所示。如1306处所示,监视器屏幕显示其中针对每个监视用户(例如,IP地址和相关联的用户)观察到的1FA和MFA状态。如1308处所示,显示示出用户ID日志细节的另一个窗口。例如,管理员可以触发所选择的用户/IP地址的用户ID日志细节的显示(例如,管理员可以通过单击附着到每个记录的细节/放大镜图标来查看用户和设备细节)。
如图13中所示,防火墙的界面(例如,GUI和/或CLI)显示用户ID日志数据库中的一个或多个(或所有)条目的分页列表,其中默认情况下显示以下示例列:接收时间、虚拟系统、IP地址(例如,IPv4和IPv6地址)、用户名、超时、数据源、源名称和源类型。例如,防火墙的界面还可以显示各种其他监视信息(例如,在该示例中默认不显示,如图13中所示),诸如以下内容:事件类型(例如,登录、注销);开始端口(例如,终端服务会话的用户ID);结束端口(例如,终端服务会话的用户ID);方向;查询;用户已认证到的认证简档的列表;针对该认证简档的1FA时间戳;以及针对该验证简档的2FA时间戳(例如,或MFA的后面的因素)。
在该示例中,如上面关于图13类似地描述的那样,防火墙的界面的用户ID浏览器还允许管理员通过UI搜索标准上可用的所有列过滤视图(例如,并且允许基于过滤列的数据类型的过滤):日期/时间运算符、IP地址运算符(例如,包括子网块和IP地址范围)、字符串运算符、整数运算符和/或用户名运算符(例如,包括字符串匹配和用户组匹配)。可以从界面导出日志以经由防火墙的GUI、CLI和/或API界面生成日志报告(例如,CSV记录或其他数据格式)。
用于标识受损凭证的认证日志记录和关联
图14是根据一些实施例的用于对网络服务执行多因素认证的日志查看器的界面的示例屏幕截图。在一个实施例中,实现如上所述的所公开的MFA技术的防火墙显示各种监视的MFA/认证信息,并生成针对监视的用户的认证活动的认证日志(例如,被称为“认证日志”类型的防火墙的日志类型)。例如,由企业的防火墙监视的认证尝试日志记录这样的认证尝试活动到认证日志类型(例如,其可以跨企业的防火墙或其他管理层共享,用于监视跨企业网络的防火墙/网络活动,诸如使用来自Palo Alto Networks公司的Panorama或经由简单网络管理协议(SNMP)(包括针对认证日志事件生成SNMP陷阱)或经由其他标准或专有协议的其他管理解决方案)。
在示例实现中,如图14中所示,认证日志的字段包括以下内容:用户名、IP地址、第一因素认证时间(例如,对于初始认证尝试,不管附加认证因素的存在与否)、附加因素认证时间(例如,日志记录针对最近配置的附加认证因素的最近成功认证时间戳)、对象(例如,认证简档/证书简档)、类型(例如,指示调用用户认证的组件)、子类型、规则(例如,针对认证策略达到)、事件(例如,诸如成功、失败和/或超时的事件类型)、服务器简档(例如,名称)和描述(例如,如果防火墙能够执行类似于第三方MFA供应商的MFA功能,则可以被用于提供如由MFA供应商或防火墙返回的细节的字段)。
在该示例中,针对以下事件中的一个或多个生成认证日志:成功的MFA日志事件(例如,每个因素一个)、失败的MFA日志事件(例如,每个因素一个)和认证超时(例如,每个因素一个)。如上面关于用户ID日志类似地描述的那样,管理员可以类似地过滤并生成针对认证日志的报告。
关联认证日志和系统日志事件用于标识受损的凭证和/或受损端点
在一个实施例中,实现所公开的MFA技术的防火墙执行关联多个认证日志和系统日志事件以自动标识受损凭证和正在使用这些受损凭证请求访问的端点,所述MFA技术包括如上所述的认证事件的日志记录。例如,要生成这些关联事件,防火墙针对用于标识与受损凭证相关联的活动的模式监视认证和系统日志。
现在将描述可以被监视以生成关联事件的示例认证和系统日志模式。
作为第一示例认证和系统日志模式,对于给定用户帐户,1FA成功,并且2FA/MFA从单个端点一贯地失败(例如,防火墙可以基于阈值数量的认证失败事件来标识/警告该用户的凭证已经受损)。
作为第二示例认证和系统日志模式,对于给定的用户帐户,1FA成功,并且2FA/MFA从单个端点一贯地超时(例如,防火墙可以基于阈值数量的认证超时事件来标识/警告该用户的凭证已潜在受损,或者该端点已潜在受损,诸如具有在尝试访问企业网络上的其他资源但未能在附加认证因素上认证的端点上执行的恶意软件,其中可以执行各种技术来启发式地标识受损的凭证和/或受损的端点(例如,端点上的恶意软件工具包,诸如网络扫描仪、自动程序(bot)或高级持久威胁(APT)恶意软件))。
作为第三示例认证和系统日志模式,对于给定帐户,1FA成功,并且2FA/MFA从多个端点一贯地失败(例如,防火墙可以基于来自多个端点的阈值数量的认证失败事件来标识/警告,作为未授权用户正尝试从多个端点重用但未能在附加认证因素上认证的受损凭证的指示)。
作为第四示例认证和系统日志模式,对于给定帐户,1FA成功,并且2FA/MFA从多个端点一贯地超时(例如,防火墙可以基于来自多个端点的阈值数量的认证超时事件来标识/警告,作为未授权用户正尝试从多个端点重用但未能在附加认证因素上认证的受损凭证的指示)。
作为第五示例认证和系统日志模式,对于给定用户帐户,1FA从单个端点一贯地超时(例如,防火墙可以基于该端点已受损的阈值数量的认证失败事件来标识/警告,诸如被在尝试访问企业网络上的其他资源但未能在第一认证因素上认证的端点上执行的恶意软件感染)。
作为第六示例认证和系统日志模式,对于给定用户帐户,1FA从多个端点一贯地超时(例如,防火墙可以基于多个端点已受损的阈值数量的认证失败事件来标识/警告,诸如被恶意软件(诸如网络扫描仪)感染,该恶意软件在正在尝试访问企业网络上的其他资源但未能在第一认证因素上认证的这些端点上执行)。
作为第七示例认证和系统日志模式,单个端点(源)尝试认证为多个用户,所述用户在1FA处成功,但对于2FA/MFA失败或遇到超时(例如,防火墙可以基于阈值数量的超时失败事件来标识/警告针对企业用户的多个凭证已受损,并且未授权用户正尝试对企业进行目标攻击以损害企业网络上的一个或多个其他资源,并且该端点也受到目标攻击的损害,其中未授权用户/恶意软件正尝试使用针对多个不同用户的1FA凭证来访问企业网络上的其他资源,但是未能在附加认证因素上认证)。
在示例实现中,防火墙可以基于监视的认证相关事件,诸如基于多次失败或超时的认证尝试(例如,针对第一或后面的因素),日志记录警告、生成警报和/或执行其他响应动作。例如,如果第一阈值数量的认证尝试失败(例如,三个或一些其他阈值数量,其中这样的阈值是可配置的),则防火墙日志记录警告。如果第二阈值数量的认证尝试失败(例如,五个或一些其他阈值数量),则防火墙可以日志记录更高级别的警告。如果第三阈值数量的认证尝试失败(例如,十个或一些其他阈值数量),则防火墙可以生成警报和/或执行一些其他(一个或多个)响应动作(例如,阻止/重置受损凭证和/或隔离受损端点设备)。
作为另一示例,防火墙可以基于监视的认证相关事件,诸如基于对某些资源(例如,高度机密/敏感的目的地,诸如金融数据或源代码库)的失败或超时的认证尝试,来日志记录警告,生成警报和/或执行其他响应动作。
作为又一示例,防火墙可以基于监视的认证相关事件来日志记录警告,生成警报和/或执行其他响应动作,诸如如果检测到某个或某些端点(例如,(一个或多个)执行端点或(一个或多个)VLAN)受损。如果端点被认为受损或被怀疑为可能受损,则防火墙可以将端点标记为隔离端点,并且然后认证策略可以限制来自该隔离端点的访问,使得端点无法使用由上述技术使能的动态策略来访问企业网络上的其他资源。在一个实施例中,除了认证策略之外,“选项卡”还在诸如安全策略的其他区域中表现其本身。例如,在与普通端点相比时,安全策略可以以不同的方式处理这样的“隔离”端点,并且可以限制/拒绝对敏感资源的访问或执行其他任务,诸如未使能或可能未针对其他未标记的普通端点执行的增强/深入内容扫描。
如现在将显而易见的那样,可以监视附加认证和系统日志模式以促进执行所公开的技术,用于关联多个认证日志和系统日志事件以自动标识受损凭证以及正在使用受损凭证请求访问的端点。
高可用性
在一个实施例中,每个认证简档记录的1FA“最近认证时间戳”和2FA/MFA“最近认证时间戳”两者都是高可用性(HA)——连同企业网络上的防火墙之间的其余的用户ID状态信息一起同步,诸如如上面类似地描述的那样。
虚拟系统
在一个实施例中,认证策略规则库是基于每个vsys可配置的(例如,vsys通常是指存在于给定物理防火墙内的逻辑上分离的防火墙的集合)。例如,MFA服务器简档可以是基于每个vsys可配置的,或者存在于共享上下文中。
用于执行多因素认证作为网络服务的防火墙的示例组件
如上面类似地描述的那样,公开了用于执行多因素认证作为网络服务的各种改进技术。
图15是根据一些实施例的用于执行多因素认证作为网络服务的数据装置的组件图。在示例实现中,图1-3的数据装置102可以使用如图15中所示的数据装置1502的组件来实现,如下面进一步描述的那样。在另一示例实现中,图1的云安全服务122可以使用如图15中所示的数据装置1502的组件来实现(例如,使用云安全服务来提供数据装置1502的功能),如下面进一步描述的那样。
参考图15,企业网络110的数据装置1502经由因特网118接收内容更新1530(例如,并且可以类似地接收操作系统(OS)或其他软件更新)。例如,内容更新可以包括认证相关内容更新,诸如用于与一个或多个MFA供应商集成和支持一个或多个MFA供应商的配置和逻辑,或者用于与这样的MFA供应商相关的更新的配置和逻辑。作为另一示例,内容更新可以包括其他安全相关更新,诸如用于恶意软件的检测的签名更新(例如,用于恶意软件的基于文件的签名、恶意软件URL、入侵检测/网络相关签名等)。如上面类似地描述的那样,可以使用所公开的用于动态内容更新的技术来实现内容更新。内容更新1530被存储在1504处并提供给防火墙1506以进行处理。
在一个实施例中,防火墙1506执行防火墙功能,其包括提供认证作为网络服务,如上面类似地描述的那样(例如,关于图1-3和本文中描述的其他实施例)。用于防火墙的界面组件1508提供用于配置和访问由防火墙1506监视和生成的信息的界面(例如,UI/GUI、CLI和/或基于API的界面),如本文中类似地描述的那样。
在一个实施例中,数据装置1502包括MFA注册器1510。例如,MFA注册器组件1510可以执行用户的MFA注册,如本文中类似地描述的那样。在示例实现中,MFA客户端注册/登记可以使用重定向(HTTP 302)到注册/登记入口(例如,其可以回叫主机)来实现,或者防火墙可以本地支持这样的MFA客户端注册/登记(例如,使用MFA注册器组件1510)。
还如图15中所示,数据装置1502包括用于执行由防火墙1506监视的认证事件的日志记录的auth日志记录器1512,如本文中类似地描述的那样。由防火墙1506监视的日志记录的认证事件被存储在auth日志1514中(例如,日志记录数据库,其可以包括与认证事件、用户ID、安全事件、系统事件和/或其他日志记录的事件/监视的数据/由防火墙1506捕获的相关的日志记录数据)。
还如示出的那样,数据装置1502包括用于提供多因素认证的多因素认证器组件1520。在一个实施例中,数据装置1502不仅支持本地实现的MFA而且还支持与第三方MFA供应商的集成,用于使用防火墙执行MFA。例如,多因素认证器1520可以与第三方MFA供应商解决方案集成(例如,经由API和/或经由RADIUS或其他集成机制),诸如上面类似地描述的那样。在一个实施例中,多因素认证器1520还可以使用防火墙本地执行MFA,诸如上面类似地描述的那样。
还如图15中所示,数据装置1502包括时间戳高速缓存1522,用于存储例如在用于执行基于时间的认证挑战的所公开的技术中利用的时间戳。在示例实现中,时间戳可以本地存储在与由数据装置1502实现的防火墙的数据平面中的用户ID(例如,用于会话、IP源、IP目的地等)相关联的表中,并且可以跨不同的数据装置/防火墙被同步/共享,和/或可以使用基于云的解决方案来实现,诸如上面类似地描述的那样。
每当数据装置1502被描述为执行任务时,单个组件、组件的子集或数据装置1502的所有组件可以合作以执行任务。类似地,每当数据装置1502的组件被描述为执行任务时,子组件可以执行任务,和/或组件可以结合其他组件执行任务。类似地,可以在适用时将附加的逻辑组件/特征添加到数据装置102。
现在将描述用于执行多因素认证作为网络服务的公开的技术的附加示例过程。
执行多因素认证作为网络服务的过程
图16是根据一些实施例的用于执行多因素认证作为网络服务的过程的流程图。在一些实施例中,由如上面类似地描述的平台和技术执行如图16中所示的过程1600,包括上面关于图1-15描述的实施例。在一个实施例中,过程1600由如上面关于图1-3描述的数据装置102和/或如上面关于图15描述的数据装置1502执行。在一个实施例中,过程1600由如上面关于图1、3和15描述的云安全服务122执行。
该过程在1602处开始,此时防火墙拦截新会话并执行对防火墙处的新会话的监视。例如,防火墙可以监视新的和/或现有的会话以拦截对访问资源(例如,另一个设备、服务器、应用、web站点/服务等)的请求,诸如以上关于图1和3类似地描述的那样。
在1604处,执行基于新会话应用认证简档。例如,防火墙可以基于与防火墙处的新会话相关联的标准的匹配来选择认证简档(例如,多因素认证简档)(例如,源区域和IP地址、源用户或组、目的地区域和IP地址以及服务和URL类别),如上面类似地描述的那样。
在示例实现中,如上面类似地描述的那样,认证策略的一个或多个规则指定用户(例如,与新会话相关联的用户)在得到对具体的(一个或多个)目的地/(一个或多个)资源的访问之前要满足的标准。首先针对每个会话建立处理规则,以验证用户被充分认证到防火墙以得到对具体的(一个或多个)目的地/(一个或多个)资源的访问。会话与和防火墙处的新会话相关联的标准匹配(例如,源区域和IP地址、源用户或组、目的地区域和IP地址、服务和URL类别、主机信息简档(HIP)和/或如上面类似地描述的其他标准)。如果发生匹配,则配置的动作和认证简档(例如,配置用于在匹配规则的认证策略中的实施的多因素认证简档)指定要针对该会话执行什么认证,以被允许访问具体的(一个或多个)目的地/(一个或多个)资源,并且然后可以被传递给安全策略处理,以用于由防火墙执行附加的安全相关处理,也如上面类似地描述的那样。
在1606处,执行基于认证简档执行动作(例如,使用防火墙1506和多因素认证器1520,如图15中所示)。例如,如果一个或多个认证因素失败或超时,则防火墙可以阻止或丢弃会话,其中基于认证简档需要一个或多个认证因素,诸如上面类似地描述的那样。作为另一示例,如果满足由认证简档所需的每个认证因素,则防火墙可以允许会话访问所请求的资源,诸如上面类似地描述的那样。
用于执行客户端的基于拦截的多因素认证注册作为网络服务的过程
图17是根据一些实施例的用于执行客户端的基于拦截的多因素认证注册作为网络服务的过程的流程图。在一些实施例中,由如上面类似地描述的平台和技术执行如图17中所示的过程1700,包括上面关于图1-15描述的实施例。在一个实施例中,过程1700由如上面关于图1-3描述的数据装置102和/或如上面关于图15描述的数据装置1502执行。在一个实施例中,过程1700由如上面关于图1、3和15描述的云安全服务122执行。
该过程在1702处开始,此时防火墙执行对防火墙处的新会话的监视,并在1704处在监视防火墙处的会话的同时拦截对访问资源的请求。例如,防火墙可以监视新的和/或现有的会话以拦截对访问资源(例如,另一设备、服务器、应用、web站点/服务等)的请求,诸如上面关于图1和3类似地描述的那样。
在1706处,防火墙确定与会话相关联的用户未注册以进行多因素认证。例如,资源可以与用于多因素认证的认证简档相关联(例如,由防火墙实施),其指定用户必须针对多因素认证注册并满足配置的多因素认证要求以便访问资源,如上面类似地描述的那样。
在1708处,防火墙发起用户的注册以进行多因素认证。例如,防火墙可以完成用户的注册以进行多因素认证(例如,使用如图15中所示的MFA注册器1510)并且在完成用户的注册以进行多因素认证之后允许访问资源,诸如上面类似地描述的那样。作为另一示例,如上面类似地描述的那样,可以针对不同的资源指定可配置的宽限期(例如,更敏感的资源可以没有宽限期或较短的宽限期)。例如,防火墙可以在完成用户的注册以进行多因素认证之前允许访问资源,其中允许用户在被要求完成用户的注册以进行多因素认证之前的预定时间段内(例如,在配置的(宽限期)时间段内,诸如基于认证简档)访问资源。作为又一示例,防火墙可以在完成用户的注册以进行多因素认证之前阻止对资源的访问(例如,没有宽限期或者用户已经超过用于完成他们的MFA注册以访问所请求的资源的配置的宽限期),诸如上面类似地描述的那样。
用于执行对网络上的受损凭证的检测的过程
图18是根据一些实施例的用于执行对网络上的受损凭证的检测的过程的流程图。在一些实施例中,由如上面类似地描述的平台和技术执行如图18中所示的过程1800,包括上面关于图1-15描述的实施例。在一个实施例中,过程1800由如上面关于图1-3描述的数据装置102和/或如上面关于图15描述的数据装置1502执行。在一个实施例中,过程1800由如上面关于图1、3和15描述的云安全服务122执行。
在1802处,防火墙执行对防火墙处的多个会话的监视。例如,防火墙可以监视新的和/或现有的会话以拦截对访问资源(例如,另一设备、服务器、应用、web站点/服务等)的请求,诸如上面关于图1和3类似地描述的那样。
在1804处,在防火墙处认证的多次失败或超时尝试被日志记录在日志中。例如,防火墙可以将各种认证相关事件日志记录到认证日志,所述认证相关事件包括MFA的失败和超时尝试,诸如上面类似地描述的那样。
在1806处,执行针对在防火墙处认证的失败或超时尝试的模式的日志的分析,以标识用于认证的潜在受损的凭证。例如,可以基于对象的关联来分析各种模式的MFA相关事件以检测潜在受损的凭证(例如,或受损的端点),诸如上面类似地描述的那样。
在1808处,基于对日志的分析,确定用于认证的凭证的集合已受损。例如,防火墙可以基于对日志的分析和基于基于事件的计数的可配置阈值(例如,使用如图15中所示的auth/sys事件相关器1516和如图15中所示的认证日志1514,其提供对访问与认证策略相关联的各种资源的尝试的审计跟踪,如上面类似地描述的那样)来自动检测受损凭证(例如,和/或受损端点),并执行响应动作。如果用户的凭证已经受损,则防火墙可以阻止和/或重置用户的凭证。如果端点已经受损,则资源可以通知该端点的用户和/或隔离该端点。
用于执行基于时间的网络认证挑战的过程
图19是根据一些实施例的用于执行基于时间的网络认证挑战的过程的流程图。在一些实施例中,由如上面类似地描述的平台和技术执行如图19中所示的过程1900,包括上面关于图1-15描述的实施例。在一个实施例中,过程1900由如上面关于图1-3描述的数据装置102和/或如上面关于图15描述的数据装置1502执行。在一个实施例中,过程1900由如上面关于图1、3和15描述的云安全服务122执行。
过程在1902处开始,此时防火墙执行对防火墙处的新会话的监视并标识与该会话相关联的用户。例如,防火墙可以监视新会话并标识与会话相关联的用户(例如,用户名和IP地址),诸如上面关于图1和3类似地描述的那样。
在1904处,在用户基于认证简档对访问资源进行成功认证之后,防火墙生成针对与用户相关联的认证因素的时间戳。例如,对于对访问资源的MFA要求,可以生成针对与用户相关联的认证因素中的每个(例如,1FA时间戳、2FA时间戳等)的时间戳,诸如上面类似地描述的那样。
在1906处,在防火墙处拦截来自用户的对访问资源的另一请求。例如,防火墙可以检测相同的用户(例如,基于用户名和IP地址)是否正在尝试访问相同的资源,诸如上面类似地描述的那样。
在1908处,防火墙基于认证简档确定针对认证因素的时间戳是否到期。例如,如果时间戳已到期,则防火墙可以基于认证简档实施MFA要求,以要求用户重新认证,以便再次访问资源。作为另一示例,如果时间戳尚未到期,但是防火墙检测到与会话或用户相关联的另一安全问题,则防火墙可以实施可以阻止用户访问资源或阻止/丢弃会话的安全策略(例如,即使验证策略检查是成功的,防火墙也可以将用户ID、App ID、内容ID或其他检查和安全相关策略应用于用户/会话),诸如也在上面描述的那样。
尽管出于理解的清楚的目的已经相当详细地描述了前述实施例,但是本发明不限于所提供的细节。存在实现本发明的许多替换方式。所公开的实施例是说明性的而不是限制性的。

Claims (29)

1.一种系统,包括:
处理器,其被配置成:
监视防火墙处的新会话;
基于与所述新会话相关联的IP地址和端口号在所述防火墙处执行用户标识查找;
基于在所述防火墙处的用户标识查找来生成IP/用户绑定;
基于新会话应用认证简档,其中所述认证简档是基于所述会话和用户标识由所述防火墙来选择的,所述用户标识是基于与所述新会话相关联的IP地址在所述防火墙处确定的,其中基于所述IP/用户绑定和正被请求访问的与所述新会话相关联的资源来选择认证简档,其中所述认证简档包括认证因素,其中所述认证因素是基于时间的认证因素;以及
基于认证简档执行动作,其中所述认证简档由所述防火墙来实施;以及
存储器,其被耦合到处理器并被配置成向处理器提供指令。
2.如权利要求1中所述的系统,其中,处理器被进一步配置成:
匹配与防火墙处的新会话相关联的标准。
3.如权利要求1中所述的系统,其中,处理器被进一步配置成:
匹配与防火墙处的新会话相关联的标准,其中,所述标准包括以下各项中的一项或多项:源区域和IP地址、源用户或组、目的地区域和IP地址、服务和URL类别以及源主机信息简档。
4.如权利要求1中所述的系统,其中,处理器被进一步配置成:
如果一个或多个认证因素失败或超时,则阻止或丢弃新会话,其中,基于认证简档需要一个或多个认证因素。
5.如权利要求1中所述的系统,其中,处理器被进一步配置成:
如果满足由认证简档所需的每个认证因素,则允许新会话访问请求的资源。
6.一种系统,包括:
处理器,其被配置成:
监视防火墙处的会话;
在监视防火墙处的会话的同时拦截对访问资源的请求;
确定与会话相关联的用户未注册以进行多因素认证;
发起用户的注册以进行多因素认证;以及
在完成用户的注册以进行多因素认证之前允许访问资源,其中,允许用户在被要求完成用户的注册以进行多因素认证之前的预定时间段内访问资源,其中所述注册允许给定的认证因素每个用户仅登记一次,而与所述认证因素保护的应用或资源的数量无关;以及
存储器,其被耦合到处理器并被配置成向处理器提供指令。
7.如权利要求6中所述的系统,其中,资源与认证简档相关联,并且其中,认证简档针对用于执行多因素认证的多个认证因素。
8.如权利要求6中所述的系统,其中,处理器被进一步配置成:
完成用户的注册以进行多因素认证。
9.如权利要求6中所述的系统,其中,处理器被进一步配置成:
完成用户的注册以进行多因素认证;以及
在完成用户的注册以进行多因素认证之后允许访问资源。
10.如权利要求6中所述的系统,其中,处理器被进一步配置成:
在完成用户的注册以进行多因素认证之前阻止访问资源。
11.一种系统,包括:
处理器,其被配置成:
监视防火墙处的多个会话;
将防火墙处进行认证的多个失败或超时的尝试日志记录在日志中,其中所述多个失败或超时的尝试是基于一个或多个认证因素失败或超时,并且所述一个或多个认证因素包括第一认证因素和与所述第一认证因素不同的第二认证因素;
针对防火墙处进行认证的失败或超时尝试的模式分析日志,以标识认证的潜在受损凭证;
基于对日志的分析来确定用于认证的凭证的集合已受损,其中所述日志包括针对第一认证因素的第一阈值数量的成功认证事件,之后是针对第二认证因素的第二阈值数量的超时认证事件,以及其中针对第二认证因素的第二阈值数量的超时认证事件对应于基于与第二认证因素相关联的认证超时设置的超时认证尝试;以及
根据基于对日志的分析确定用于认证的凭证的集合已受损来执行响应动作,所述对日志的分析确定针对所述第一认证因素的被监视的认证成功事件的数量超过针对所述第一认证因素的成功认证事件的第一阈值数量以及针对所述第二认证因素的被监视的认证失败事件的数量超过针对所述第二认证因素的超时认证事件的第二阈值数量;以及
存储器,其被耦合到处理器并被配置成向处理器提供指令。
12.如权利要求11中所述的系统,其中,日志是包括日志记录的认证相关事件的认证日志。
13.如权利要求11中所述的系统,其中,在防火墙处对第一用户进行认证的失败或超时尝试的模式对应于第一认证因素。
14.如权利要求11中所述的系统,其中,在防火墙处对第一用户进行认证的失败或超时尝试的模式对应于第一认证因素和单个端点。
15.如权利要求11中所述的系统,其中,在防火墙处对第一用户进行认证的失败或超时尝试的模式对应于第一认证因素和多个端点。
16.如权利要求11中所述的系统,其中,在防火墙处对第一用户进行认证的失败或超时尝试的模式对应于第二认证因素。
17.如权利要求11中所述的系统,其中,在防火墙处对第一用户进行认证的失败或超时尝试的模式对应于第二认证因素和单个端点。
18.如权利要求11中所述的系统,其中,在防火墙处对第一用户进行认证的失败或超时尝试的模式对应于第二认证因素和多个端点。
19.如权利要求11中所述的系统,其中,处理器被进一步配置成:
基于对日志的分析来确定端点已受损。
20.一种系统,包括:
处理器,其被配置成:
监视防火墙处的新会话以标识与新会话相关联的用户;
基于与所述新会话相关联的IP地址和端口号在所述防火墙处执行用户标识查找;
基于在所述防火墙处的用户标识查找来生成IP/用户绑定;
确定网络上正被请求访问的与所述新会话相关联的资源;
基于所述IP/用户绑定和正被请求访问的与所述新会话相关联的资源来选择认证简档,其中所述认证简档包括认证因素,其中所述认证因素是基于时间的认证因素;
应用基于所述IP/用户绑定和正被请求访问的与所述新会话相关联的资源所选择的认证简档,其中所述认证简档由所述防火墙实施;
在用户基于认证简档对访问资源进行成功认证之后,生成针对与用户相关联的认证因素的时间戳;
在防火墙处拦截来自用户的对访问资源的另一个请求;以及
使用自针对认证因素的最近一次成功认证以来的可配置缓存超时来基于认证简档来确定针对认证因素的时间戳是否到期,所述认证因素与所述IP/用户绑定和针对用于资源的认证实施所执行的资源相关联,其中如果基于所述认证简档,针对认证因素的时间戳到期,则在允许访问资源之前,请求所述用户再次认证;以及
存储器,其被耦合到处理器并被配置成向处理器提供指令。
21.如权利要求1或20中所述的系统,其中,防火墙执行多因素认证作为网络服务。
22.如权利要求1或20中所述的系统,其中,认证简档针对第一认证因素。
23.如权利要求1或20中所述的系统,其中,认证简档针对第一认证因素和第二认证因素。
24.如权利要求1或20中所述的系统,其中,认证简档针对用于执行多因素认证的多个认证因素。
25.如权利要求1或20中所述的系统,其中,认证简档是多因素认证简档。
26.如权利要求20中所述的系统,其中,处理器被进一步配置成:
基于认证简档确定针对认证因素的时间戳未到期;以及
允许新会话访问资源。
27.如权利要求20中所述的系统,其中,处理器被进一步配置成:
基于认证简档确定针对认证因素的时间戳到期;以及
在允许访问资源之前要求用户再次认证。
28.如权利要求20中所述的系统,其中,时间戳针对第一认证因素,并且其中,处理器被进一步配置成:
基于认证简档确定针对第一认证因素的时间戳到期;以及
在允许访问资源之前要求用户再次认证。
29.如权利要求20中所述的系统,其中,时间戳针对第二认证因素,并且其中,处理器被进一步配置成:
基于认证简档确定针对认证因素的时间戳到期;以及
在允许访问资源之前要求用户针对第一认证因素和第二认证因素再次认证。
CN201780070946.7A 2016-09-30 2017-08-21 多因素认证作为网络服务 Active CN109964196B (zh)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
US15/281929 2016-09-30
US15/281913 2016-09-30
US15/281,913 US10547600B2 (en) 2016-09-30 2016-09-30 Multifactor authentication as a network service
US15/281946 2016-09-30
US15/281939 2016-09-30
US15/281,946 US10701049B2 (en) 2016-09-30 2016-09-30 Time-based network authentication challenges
US15/281,939 US10367784B2 (en) 2016-09-30 2016-09-30 Detection of compromised credentials as a network service
US15/281,929 US10225243B2 (en) 2016-09-30 2016-09-30 Intercept-based multifactor authentication enrollment of clients as a network service
PCT/US2017/047815 WO2018063583A1 (en) 2016-09-30 2017-08-21 Multifactor authentication as a network service

Publications (2)

Publication Number Publication Date
CN109964196A CN109964196A (zh) 2019-07-02
CN109964196B true CN109964196B (zh) 2023-09-19

Family

ID=61760900

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780070946.7A Active CN109964196B (zh) 2016-09-30 2017-08-21 多因素认证作为网络服务

Country Status (3)

Country Link
EP (3) EP3840334A1 (zh)
CN (1) CN109964196B (zh)
WO (1) WO2018063583A1 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11271930B2 (en) * 2018-07-02 2022-03-08 Mastercard International Incorporated System architecture and database for context-based authentication
US11606358B2 (en) 2018-09-18 2023-03-14 Cyral Inc. Tokenization and encryption of sensitive data
US11477197B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Sidecar architecture for stateless proxying to databases
US11477217B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Intruder detection for a network
US11188622B2 (en) 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
US10826912B2 (en) 2018-12-14 2020-11-03 Daniel Chien Timestamp-based authentication
US10848489B2 (en) 2018-12-14 2020-11-24 Daniel Chien Timestamp-based authentication with redirection
CN111475310B (zh) * 2019-01-24 2023-03-21 腾讯科技(深圳)有限公司 消息分享方法、装置和用户数据获取方法、装置
CN110430213B (zh) * 2019-08-15 2022-02-01 北京奇艺世纪科技有限公司 业务请求处理方法、装置及系统
US11677754B2 (en) 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
CN111209349B (zh) * 2019-12-26 2023-07-04 曙光信息产业(北京)有限公司 一种更新会话时间的方法和装置
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
US11438145B2 (en) 2020-05-31 2022-09-06 Daniel Chien Shared key generation based on dual clocks
CN112019560B (zh) * 2020-09-07 2022-04-12 长沙誉联信息技术有限公司 一种端到端的零信任安全网关系统
US20220138306A1 (en) * 2020-11-05 2022-05-05 Adobe Inc. Offline multi-factor one-time password authentication
US20240121232A1 (en) * 2022-10-11 2024-04-11 Jpmorgan Chase Bank, N.A. Method and system for frictionless application authentication

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7536722B1 (en) * 2005-03-25 2009-05-19 Sun Microsystems, Inc. Authentication system for two-factor authentication in enrollment and pin unblock
CN104394122A (zh) * 2014-10-31 2015-03-04 杭州安恒信息技术有限公司 一种基于自适应代理机制的http业务防火墙

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226752B1 (en) * 1999-05-11 2001-05-01 Sun Microsystems, Inc. Method and apparatus for authenticating users
AU2003279950A1 (en) * 2002-10-10 2004-05-04 Rocksteady Networks, Inc. System and method for providing access control
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US20050021975A1 (en) * 2003-06-16 2005-01-27 Gouping Liu Proxy based adaptive two factor authentication having automated enrollment
US9003488B2 (en) * 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
US9160710B2 (en) * 2010-06-25 2015-10-13 Salesforce.Com, Inc. Methods and systems for context-based application firewalls
US8490162B1 (en) * 2011-09-29 2013-07-16 Amazon Technologies, Inc. System and method for recognizing malicious credential guessing attacks
US9100825B2 (en) * 2012-02-28 2015-08-04 Verizon Patent And Licensing Inc. Method and system for multi-factor biometric authentication based on different device capture modalities
US9043887B2 (en) * 2012-12-31 2015-05-26 Apple Inc. Adaptive secondary authentication criteria based on account data
US8966260B1 (en) * 2013-01-30 2015-02-24 Palo Alto Networks, Inc. Credentials management in large scale virtual private network deployment
US9306943B1 (en) * 2013-03-29 2016-04-05 Emc Corporation Access point—authentication server combination
US20150215312A1 (en) * 2013-09-16 2015-07-30 Clutch Authentication Systems, Llc System and method for secure single or multi-factor authentication
US9584515B2 (en) * 2014-04-30 2017-02-28 Citrix Systems, Inc. Enterprise system authentication and authorization via gateway
US10412050B2 (en) * 2014-05-23 2019-09-10 Citrix Systems, Inc. Protect applications from session stealing/hijacking attacks by tracking and blocking anomalies in end point characteristics throughout a user session

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7536722B1 (en) * 2005-03-25 2009-05-19 Sun Microsystems, Inc. Authentication system for two-factor authentication in enrollment and pin unblock
CN104394122A (zh) * 2014-10-31 2015-03-04 杭州安恒信息技术有限公司 一种基于自适应代理机制的http业务防火墙

Also Published As

Publication number Publication date
EP3519911A4 (en) 2020-08-05
EP3840333A1 (en) 2021-06-23
WO2018063583A1 (en) 2018-04-05
EP3519911B1 (en) 2023-08-09
CN109964196A (zh) 2019-07-02
EP3840334A1 (en) 2021-06-23
EP3519911A1 (en) 2019-08-07

Similar Documents

Publication Publication Date Title
US10904237B2 (en) Multifactor authentication as a network service
US11470070B2 (en) Time-based network authentication challenges
US10805265B2 (en) Detection of compromised credentials as a network service
US10701056B2 (en) Intercept-based multifactor authentication enrollment of clients as a network service
CN109964196B (zh) 多因素认证作为网络服务
US12003485B2 (en) Outbound/inbound lateral traffic punting based on process risk
US11632396B2 (en) Policy enforcement using host information profile
US20240121211A1 (en) Systems and methods for continuous fingerprinting to detect session hijacking inside zero trust private networks
US10855656B2 (en) Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
US20210336934A1 (en) Cloud-based web application and API protection
US9590979B2 (en) Password constraint enforcement used in external site authentication
US10154049B2 (en) System and method for providing an in-line sniffer mode network based identity centric firewall
US9628455B2 (en) Filtering TLS connection requests using TLS extension and federated TLS tickets
CN111295640B (zh) 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施
US20230231884A1 (en) Browser fingerprinting and control for session protection and private application protection
US20240223534A1 (en) Stateless cloud authentication for security services

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant