CN114070577A - 基于云的安全服务的大规模本地化 - Google Patents
基于云的安全服务的大规模本地化 Download PDFInfo
- Publication number
- CN114070577A CN114070577A CN202110871070.4A CN202110871070A CN114070577A CN 114070577 A CN114070577 A CN 114070577A CN 202110871070 A CN202110871070 A CN 202110871070A CN 114070577 A CN114070577 A CN 114070577A
- Authority
- CN
- China
- Prior art keywords
- cloud
- based security
- public
- service
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2528—Translation at a proxy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/668—Internet protocol [IP] address subnets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/69—Types of network addresses using geographic information, e.g. room number
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5061—Pools of addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
公开了用于提供基于云的安全服务的大规模本地化的技术。在一些实施例中,一种用于提供基于云的安全服务的大规模本地化的系统/方法/计算机程序产品包括:在基于云的安全服务的网络网关处接收连接请求;从与租户相关联的注册公共IP地址集施行源网络地址转换(NAT);以及使用基于云的安全服务来提供对软件即服务(SaaS)的安全访问。
Description
背景技术
防火墙一般保护网络免受未授权的访问,同时准许授权的通信穿过防火墙。防火墙通常是为网络访问提供防火墙功能的设备或设备集或在设备(诸如计算机)上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其它类型的有网络通信能力的设备)的操作系统中。防火墙也可以集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据器具(例如,安全器具或其它类型的专用设备)中或作为软件在它们上执行。
防火墙通常基于规则集拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙可以通过应用规则或策略集来过滤入站流量。防火墙还可以通过应用规则或策略集来过滤出站流量。防火墙也可能能够施行基本的路由功能。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1是根据一些实施例的示例基于云的安全服务的系统图概述。
图2A是根据一些实施例的示例基于云的安全服务的系统图解。
图2B是根据一些实施例的示例基于云的安全服务的另一个系统图解。
图3A和图3B是图示根据一些实施例的用于为基于云的安全服务提供大规模本地化的网络网关的示例组件的系统框图。
图4A图示了根据一些实施例的网络网关的实施例。
图4B是数据器具的实施例的逻辑组件的功能图解。
图5是图示根据一些实施例的用于提供基于云的安全服务的大规模本地化的过程的流程图。
图6是图示根据一些实施例的用于提供基于云的安全服务的大规模本地化的过程的另一个流程图。
具体实施方式
本发明可以以许多方式实现,包括作为过程;装置;系统;物质的组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置为执行存储在耦合到处理器的存储器上和/或由该存储器提供的指令的处理器。在本说明书中,这些实施方式或者本发明可以采取的任何其它形式可以被称为技术。一般而言,在本发明的范围内,可以更改所公开的过程的步骤次序。除非另有说明,否则被描述为被配置为施行任务的诸如处理器或存储器之类的组件可以被实现为被临时配置为在给定时间施行任务的通用组件或被制造为施行任务的特定组件。如本文中所使用的,术语“处理器”指代被配置为处理数据(诸如计算机程序指令)的一个或多个设备、电路和/或处理核心。
下面提供了本发明的一个或多个实施例的详细描述连同图示本发明原理的附图。结合这样的实施例描述了本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限定,并且本发明涵盖许多替代、修改和等同物。为了提供对本发明的透彻理解,在以下描述中阐述了许多特定细节。这些细节是出于示例的目的而提供的,并且本发明可以根据权利要求来实践,而无需这些特定细节中的一些或全部。为了清楚起见,没有详细描述与本发明相关的技术领域中已知的技术材料,使得不会不必要地模糊本发明。
高级或下一代防火墙
恶意软件是通用术语,其通常用于指代有恶意的软件(例如,包括多种敌对、侵入性和/或以其它方式不想要的软件)。恶意软件可以是以代码、脚本、活动内容和/或其它软件的形式。恶意软件的示例用途包括扰乱计算机和/或网络操作、窃取专有信息(例如,机密信息,诸如身份、财务和/或知识产权相关信息)和/或获得对私有/专有计算机系统和/或计算机网络的访问。不幸的是,随着帮助检测和减轻恶意软件的技术发展,邪恶的作者找到了规避这样的努力的方式。因此,存在对用于标识和减轻恶意软件的技术的改进的持续需要。
防火墙一般保护网络免受未授权的访问,同时准许授权的通信穿过防火墙。防火墙通常是为网络访问提供防火墙功能的设备、设备集或在设备上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其它类型的有网络通信能力的设备)的操作系统中。防火墙也可以集成到各种类型的设备或安全设备中或作为软件应用在各种类型的设备或安全设备上执行,所述设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据器具(例如安全器具或其它类型的专用设备,并且在一些实施方式中,某些操作可以在专用硬件中实现,所述专用硬件诸如ASIC或FPGA)。
防火墙通常基于规则集拒绝或准许网络传输。这些规则集通常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用规则或策略集来过滤入站流量,以防止不想要的外部流量到达受保护的设备。防火墙还可以通过应用规则或策略集来过滤出站流量(例如,允许、阻止、监视、通知或记录,和/或可以在防火墙规则或防火墙策略中指定其它动作,所述动作可以基于诸如本文中所描述的各种准则来触发)。防火墙还可以通过类似地应用规则或策略集来过滤本地网络(例如,内联网)流量。
安全设备(例如,安全器具、安全网关、安全服务和/或其它安全设备)可以施行各种安全操作(例如,防火墙、反恶意软件、入侵预防/检测、代理和/或其它安全功能)、联网功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载平衡和/或其它联网功能)和/或其它安全和/或联网相关操作。例如,可以基于源信息(例如,IP地址和端口)、目的地信息(例如,IP地址和端口)和协议信息(例如,基于层3 IP的路由)来施行路由。
基本分组过滤防火墙通过检查在网络上传输的单个分组来过滤网络通信流量(例如,分组过滤防火墙或第一代防火墙,它们是无状态分组过滤防火墙)。无状态分组过滤防火墙通常(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)检查单个分组本身,并基于检查到的分组应用规则。
应用防火墙还可以(例如,使用在TCP/IP堆栈的应用级别上工作的应用层过滤防火墙或第二代防火墙)施行应用层过滤。应用层过滤防火墙或应用防火墙一般可以标识某些应用和协议(例如,使用超文本传送协议(HTTP)的网络浏览、域名系统(DNS)请求、使用文件传送协议(FTP)的文件传送、以及各种其它类型的应用和其它协议,诸如远程登录、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻止试图通过标准端口通信的未授权协议(例如,试图通过使用该协议的非标准端口潜入的未授权/策略外协议一般可以使用应用防火墙来标识)。
状态防火墙还可以施行基于有状态的分组检查,其中每个分组均在与该网络传输的多个分组流/分组流(例如,状态防火墙或第三代防火墙)相关联的一系列分组的上下文中进行检查。该防火墙技术一般被称为有状态分组检查,因为它维护穿过防火墙的所有连接的记录,并能够确定分组是新连接的开始、现有连接的一部分还是无效分组。例如,连接状态本身可以是触发策略内规则的准则之一。
如上面所讨论的,高级或下一代防火墙可以施行无状态和有状态分组过滤以及应用层过滤。下一代防火墙还可以施行附加的防火墙技术。例如,某些较新的防火墙(有时称为高级或下一代防火墙)也可以标识用户和内容。特别地,某些下一代防火墙正在将这些防火墙可以自动标识的应用列表扩展到数千个应用。这样的下一代防火墙的示例是从PaloAlto网络公司商业上可获得的(例如,Palo Alto网络公司的PA系列防火墙)。
例如,Palo Alto网络公司的下一代防火墙使得企业能够使用各种标识技术来标识和控制应用、用户和内容——而不仅仅是端口、IP地址和分组,所述标识技术诸如以下各项:用于准确的应用标识的App-ID,用于用户标识的用户-ID(例如,按用户或用户组),以及用于实时内容扫描(例如,控制网络冲浪并限制数据和文件传送)的内容-ID。代替遵循传统端口阻挡防火墙提供的传统方法,这些标识技术允许企业使用与业务相关的概念安全地实现应用使用。此外,用于下一代防火墙的专用硬件实现为例如专用器具一般为应用检查提供比在通用硬件(例如,诸如由Palo Alto网络公司提供的安全器具,其利用专用的、功能特定的处理,该处理与单程软件引擎紧密集成以最大化网络吞吐量,同时最小化等待时间)上执行的软件更高的性能级别。
高级或下一代防火墙也可以使用虚拟化防火墙来实现。这样的下一代防火墙的示例从Palo Alto网络公司商业上可获得(例如,Palo Alto网络公司的防火墙,其支持各种商业虚拟化环境,包括例如VMware® ESXi™和NSX™、Citrix® Netscaler SDX™、KVM/OpenStack(Centos/RHEL、Ubuntu®)和亚马逊网络服务(AWS))。例如,虚拟化防火墙可以支持物理形状因子器具中可用的类似或完全相同的下一代防火墙和高级威胁预防特征,从而允许企业安全地实现应用流入和流经其私有、公共和混合云计算环境。诸如VM监视、动态地址组和基于REST的API之类的自动化特征允许企业主动监视VM改变,将该上下文动态馈入安全策略,由此消除当VM改变时可能出现的策略滞后。
针对基于云的安全服务提供商的技术挑战
安全服务提供商提供各种商业上可获得的基于云的安全解决方案,包括各种防火墙、VPN和其它安全相关服务。例如,一些安全服务提供商在全世界多个地区中具有他们自己的数据中心,以为他们的客户提供这样的基于云的安全解决方案。
一般而言,基于云的安全服务由全世界不同位置/区域中的基于云的安全服务提供商提供。然而,客户(例如,给定基于云的安全服务提供商的企业客户)可能在某些位置/区域中具有机构和/或移动用户,这样的基于云的安全服务提供商没有用于向这样的客户提供其基于云的安全服务的数据中心。结果,对于基于云的安全服务提供商具有本地数据中心的位置/区域之外的许多客户来说,这通常引入网络性能等待时间。
此外,对于基于云的安全服务提供商没有本地数据中心的位置/区域,基于云的安全服务提供商可能不提供足够的本地化支持。具体地,许多网站/服务基于用户的位置来确定本地化包(例如,显示语言/内容),这主要由用户的IP地址的注册位置来确定。照此,如果用户流量从基于云的安全服务的网络网关流出,则那么与该网络网关相关联的公共IP地址通常成为该用户流量的源IP地址。假设在该示例中与基于云的安全服务的网络网关相关联的公共IP地址将不被注册在与用户的实际位置相同的地理(geo)位置,则网站/服务通常将显示与用户的实际位置不同的语言/内容,这对于基于云的安全服务提供商的这样的客户来说一般是不太合期望的用户体验。
例如,如果位于法国的用户连接到在德国的基于云的安全服务提供商的网络网关(例如,由于安全服务提供商没有位于意大利的数据中心,并且他们最近的网络网关位于德国),则那么网站/服务将把该用户的会话视为好像该用户位于德国,因为该用户的会话被给予该网络网关的出口IP地址,该出口IP地址将与在德国注册的公共IP地址相关联。结果,这一般导致该用户(例如,和位于安全服务提供商没有网络网关/数据中心的位置/区域的安全服务提供商的其它用户)不太合期望的用户体验。
因此,需要的是为基于云的安全服务提供本地化的新的且改进的技术。
用于提供基于云的安全服务的大规模本地化的技术
因此,公开了用于提供基于云的安全服务的大规模本地化的各种技术。
所公开的技术基于如下观察,例如,在公共云中,IP地址位置/区域和实例位置/区域一般是不相关的。因此,所公开的技术有效地解耦了给定网络网关(例如,基于云的安全服务提供商的物理网络网关或这样网络网关的虚拟实例)的位置/区域(例如,城市、州、县、区、省、国家和/或大陆)和与关联于该给定网络网关的(一个或多个)IP地址相关联的地理位置。
例如,如果给定的基于云的安全提供商位于比利时的网络网关与基于美国(US)的IP地址相关联,则那么它的出口流量被互联网上可用的网站/服务(例如,软件即服务(SaaS)提供商网站或互联网上的任何其它网站/服务)视为来自US的流量。
相比之下,如果位于荷兰的用户的给定用户会话的用户流量从在比利时的网络网关流出,但是在该示例中出口IP地址实际上是基于荷兰的IP地址,则那么网站/服务将基于该出口IP地址推断用户位于荷兰,由此为在荷兰的用户提供更合期望的本地体验,而不管基于云的安全提供商的网络网关的物理位置如何。作为示例,如果网站/服务是MicrosoftOffice 365®服务,则那么Microsoft Office 365®服务可以为用户提供适当的基于荷兰的本地体验(例如,为该基于荷兰的用户选择用于SaaS的适当语言包等)。
在一些实施例中,用于提供基于云的安全服务的大规模本地化的系统/方法/计算机程序产品包括:在基于云的安全服务的网络网关处接收连接请求;从与租户相关联的注册公共IP地址集施行源网络地址转换(NAT);以及使用基于云的安全服务提供对软件即服务(SaaS)的安全访问。
例如,所公开的基于云的安全服务为用户提供了增强的本地用户体验,如将在下面进一步描述的。所公开的基于云的安全服务还为用户提供了增强的安全解决方案,因为注册的公共IP地址集对于基于云的安全服务的每个租户(例如,客户)来说是不同的,如也将在下面进一步描述的。
在一些实施例中,用于提供基于云的安全服务的大规模本地化的系统/方法/计算机程序产品进一步包括使用公共云服务提供商(例如,基于云的计算服务,诸如GoogleCloud Platform®(谷歌云平台,GCP),或提供类似解决方案的其它公共云服务提供商,其可以包括Amazon Web Services®(亚马逊网络服务,AWS)、Microsoft Azure®服务等,和/或由基于云的安全服务提供商控制的这样基于云的计算服务和/或数据中心的各种组合)提供基于云的安全服务,所述公共云服务提供商提供从它们的各种区域基于云的计算服务数据中心中的每一个到一个或多个SaaS提供商的高速网络连接性。结果,当使用这样的SaaS提供商解决方案时,基于云的安全服务的用户也体验到更低的等待时间,由此当经由基于云的安全服务使用这样的SaaS提供商解决方案时,进一步增强了用户体验以及安全性。
在示例实施方式中,为了利用公共云服务提供商的优势,基于云的安全服务利用谷歌公共云服务(例如,商业上可获得的谷歌云平台(GCP)服务当前在全球具有100+个存在点(PoP),参见https://cloud.google.com/vpc/docs/edge-locations),并实现用于网站/服务的增强的本地用户体验的所公开的技术,诸如将在下面进一步描述的。此外,使用一个或多个公共云服务来实现基于云的安全服务增强了基于云的安全服务的灵活性和规模(例如,与仅使用基于云的安全服务提供商的区域数据中心相反,所述区域数据中心可能不覆盖全世界那么多的区域,可能不具有与许多公共云服务提供商相比那么多的用于扩展的计算资源,和/或可能不具有从它们的各种区域基于云的计算服务数据中心到一个或多个SaaS提供商的高速网络连接性)。
在该示例实施方式中,基于云的安全服务提供商的网络网关通过对连接到用户企业网络之外的站点以访问互联网上的网站/服务的传入用户会话施行源NAT(SNAT)操作来实现用于网站/服务的增强的本地用户体验的所公开的技术。具体地,与分配给可能位于不同位置/区域中的网络网关的IP地址和/或该网络网关IP地址与不同于用户的位置/区域的位置/区域相关联相反,这样的用户会话被分配与到网络网关的用户传入会话的位置/区域相关联的IP地址。
在该示例实施方式中,基于云的安全服务提供商还为每个其支持的位置/区域(例如,PoP)维护IP地址范围集合,以用作基于云的安全服务提供商的服务的每个客户/租户的不同公共IP地址池(例如,与要求每个其客户提供例如数百个这样公共IP地址范围相反)。此外,通过为每个客户/租户维护这样公共IP地址池不同,基于云的安全服务提供商还为每个他们的客户促进了更安全的解决方案(例如,与具有跨不同客户共享的这样的公共IP地址池相反),以及(例如,通过在数百个PoP处支持这样的技术)促进了所公开技术的大规模本地化益处。例如,客户可以利用不同的公共IP地址池来实现各种安全策略(例如,假设基于云的安全服务提供商利用不同并且仅用于与ACME公司相关联的用户的公共IP地址池,ACME公司可以允许连接到其Salesforce®服务的用户会话绕过基于用户会话的分配的公共IP地址的多因素身份验证)。
在一个实施例中,基于云的安全服务提供商的网络网关(例如,Palo Alto网络公司的防火墙的PAN-OS操作系统)被配置为支持所公开的新NAT能力(例如,SNAT操作),用于提供基于云的安全服务的大规模本地化,如将在下面进一步描述的。
照此,用于提供基于云的安全服务的大规模本地化的所公开的技术促进用户的增强的本地体验。例如,基于云的安全服务的用户可以利用各种SaaS应用和/或互联网网站/服务,并且这些将以与用户的位置相关联的本地语言来呈现/提供,这与用于将该用户连接到基于云的安全服务的基于云的安全服务的网络网关相反(例如,如上面类似描述的,该基于云的安全服务可以在与该用户不同的地理位置/区域中)。
因此,公开了用于提供基于云的安全服务的大规模本地化的各种技术,如将在下面进一步描述的。
用于提供基于云的安全服务的大规模本地化的系统处理架构
在一些实施例中,基于云的安全服务使用一个或多个公共云解决方案来实现,以提供更大的规模和全世界覆盖范围(例如,在更大数量的区域中提供数据中心,诸如数百个PoP,如上面类似描述的)。例如,随着企业客户的业务在全球扩展,其中新的远程网络位置在全球涌现,并且移动用户在世界漫游,确保企业客户的用户、数据中心和远程站点保持连接和安全可能是有挑战性的。
照此,使用所公开的技术,可以使用基于云的基础设施来实现基于云的安全服务,从而允许基于云的安全服务提供商避免例如调整防火墙大小和计算资源分配、以及最小化与企业的通常分布式组织相关联的覆盖差距或不一致性的挑战。此外,公共云的弹性随着需求移位和流量模式改变而高效扩展。照此,基于云的安全服务可以通过利用由基于云的安全服务提供商管理的这样的基于云的安全基础设施,对远程网络和移动用户实施下一代安全部署。
例如,安全处理节点(例如,网络网关,其可以使用商业上可获得的安全平台解决方案、诸如从Palo Alto网络公司可获得的各种防火墙来实现)可以本地部署在服务内以检查所有流量,以便标识应用、威胁和内容。此外,基于云的安全服务可以提供对SaaS应用的使用的可见性,以及控制哪些SaaS应用对企业客户的用户可用的能力(例如,包括访问、控制和其它安全相关策略,诸如基于会话的IP地址的多因素身份验证(MFA)要求,如上面类似描述的)。照此,基于云的安全服务可以在全球部署和管理安全基础设施,以保护例如企业客户的数据中心、总部、远程站点(例如,分支机构和远程网络)和移动用户。
图1是根据一些实施例的示例基于云的安全服务的系统图概述。在102处所示出的该示例基于云的安全服务中,各种移动用户104A和104B、远程站点106A和106B(例如,以保护远程网络位置,诸如分支机构和远程网络,以及具有基于云的下一代防火墙的那些分支中的用户)以及(一个或多个)企业客户的总部/数据中心108与基于云的安全服务通信。数据存储110(例如,CortexTM数据湖或另一个数据存储解决方案)也与基于云的安全服务通信,用于存储基于云的安全服务的各种日志和/或其它信息。
例如,基于云的安全服务可以提供各种防火墙、VPN(例如,使用一个或多个IP地址池建立IPsec隧道,以允许该服务为客户端VPN隧道分配IP地址,从而促进例如客户的企业网络中的内部资源、企业客户的移动用户以及他们的远程网络/站点位置中的用户之间的安全通信),以及基于策略(例如,可由企业客户配置的安全策略)的移动用户、远程站点和总部/数据中心的其它安全相关服务,诸如用于对120处所示出的互联网上的网站/服务(例如,包括SaaS提供商服务)的安全访问。
图2A是根据一些实施例的示例基于云的安全服务的系统图解。例如,基于云的安全服务200可以使用诸如谷歌云平台(GCP)之类的商业上可获得的公共云解决方案来实现,以促进受支持的SaaS提供商(例如,如所示出的Microsoft Office 365®和/或其它受支持的SaaS提供商,诸如Salesforce®等)的低等待时间,以及实现所公开的技术,用于当基于云的安全服务的用户连接到互联网上的网站/服务(包括互联网上可用的这样的SaaS提供商解决方案)时他们的增强的本地体验。如对于本领域普通技术人员来说将显而易见的是,所公开的技术可以类似地使用从其它公共云服务提供商、各种公共云服务提供商的组合商业上可获得的公共云解决方案来实现,或者也可以通过使用由基于云的安全服务提供商维护/控制的区域数据中心或其任何组合来实现。
参考图2A,基于云的安全服务200的网络网关202被实现为在数据中心的服务器上执行的虚拟网络网关202(例如,安全平台,诸如从Palo Alto网络公司可获得的防火墙解决方案,或者另一种商业上可获得的安全平台解决方案,可以类似地被配置为实现如本文中所公开的网络网关)。在该示例中,网络网关在位于德国的GCP数据中心中的服务器上执行。位于意大利的用户204A(例如,经由IPsec隧道或另一个安全/虚拟专用网络(VPN)连接)被安全地连接到位于德国的网络网关202(例如,基于云的安全服务提供在用户204A的端点设备上执行的代理,以自动且安全地将用户连接到最近的区域网络网关,在该区域网络网关中,企业客户可以例如选择基于云的安全服务中的位置,该位置充当基于云的网络网关,以保护他们的移动用户,诸如将在下面进一步描述的)。类似地,位于西班牙的用户204B安全地连接到位于德国的网络网关202。在示例实施方式中,基于云的安全服务还提供代理(未示出)(例如,端点代理,诸如从Palo Alto网络公司可获得的GlobalProtect代理),该代理可以在各种计算平台上执行,所述计算平台诸如用户204A和204B(例如,以及其它用户和数据器具、服务器等)的端点设备(例如,执行诸如Linux OS、Microsoft Windows® OS、AppleMac OS®、Apple iOS®和Google Android® OS之类的各种操作系统(OS)的端点设备),其促进到最近网关的这样的自动和安全连接和/或基于其它准则(例如,等待时间、工作负载平衡等)。
如图2A中所示出的,使用所公开的技术,网络网关202自动施行源NAT(SNAT)操作,以当与222处所示出的Microsoft Office 365®服务连接时,将意大利公共IP地址(例如,与意大利地理位置相关联的公共IP地址)分配为与用户204A的会话相关联的出口IP地址。类似地,网络网关202自动施行SNAT操作以当与222处所示出的Microsoft Office 365®服务连接时,将西班牙公共IP地址(例如,与西班牙地理位置相关联的公共IP地址)分配为与用户204B的会话相关联的出口IP地址。
如222A和222B处所示出的,基于云的安全服务的用户204A和204B可以通过网络网关202连接以访问各种SaaS应用、诸如Microsoft Office 365®(例如,和/或其它互联网网站/服务),并且作为网络网关202施行的上面所描述的SNAT操作的结果,这样将以与每个用户的相应位置相关联的本地语言被呈现/提供(例如,缺乏这样的SNAT操作,诸如MicrosoftOffice 365®之类的SaaS应用将基于与位于德国的网络网关202相关联的(一个或多个)公共IP地址(例如,与德国的地理位置相关联的(一个或多个)公共IP地址)推断用户位于德国,这将不提供合期望的用户本地化体验)。
此外,公共云提供商(在该示例中为GCP)(例如,使用利用从其区域云平台站点到各种SaaS提供商站点的谷歌拥有的光纤网络连接的GCP优质网络)提供从其各种区域基于云的计算服务数据中心中的每一个到包括Microsoft Office 365®的一个或多个SaaS提供商的高速网络连接性。结果,基于云的安全服务200的用户204A和204B当连接到网络网关202以访问这样的SaaS提供商解决方案(例如,Microsoft Office 365®)时也将经历较低的等待时间,由此进一步增强了当经由基于云的安全服务安全地使用SaaS提供商解决方案时的用户体验。
图2B是根据一些实施例的示例基于云的安全服务的另一个系统图解。在该示例中,基于云的安全服务200的网络网关202A、202B和202C位于如所示出的不同地理位置中。还如所示出的,每个位于不同位置/区域中的基于云的安全服务的用户可以自动且安全地连接到基于云的安全服务提供商的网络网关,诸如下面进一步描述的。例如,位于华沙(波兰)的用户连接到位于德国法兰克福的eu-west-3数据中心中的网络网关202A;位于加拿大温哥华的用户连接到位于美国俄勒冈州的us-west-1数据中心中的网络网关202B;并且位于加利福尼亚州旧金山的用户连接到也位于美国俄勒冈州的us-west-2数据中心中的网络网关202C。在示例实施方式中,基于云的安全服务可以使用诸如GCP之类的公共云平台来实现,该公共云平台当前提供超过130个网络边缘位置(PoP),并且还为基于云的安全服务的用户提供具有减少的互联网服务提供商(ISP)跳数(hop)的低等待时间、低损耗网络,以访问各种受支持的SaaS解决方案,如上面类似描述的。
在一个实施例中,所公开的网络网关(例如,图2A的网络网关202和图2B的网络网关202A-C)被配置为实施关于客户端设备之间以及客户端设备和服务器/其它设备之间的通信的策略(例如,安全策略),所述其它设备诸如用户/设备204A和204B(例如,可以施行网络通信的任何端点设备)和例如外部目的地(例如,其可以包括受保护/受安全保护的企业网络之外的任何设备、服务器和/或网站/服务,其经由诸如互联网之类的外部网络可到达)。这样的策略的示例包括管控流量整形、服务质量和流量路由的策略。策略的其它示例包括安全策略,诸如要求扫描传入(和/或传出)电子邮件附件、网站内容、通过即时消息传递程序交换的文件和/或其它文件传送等中的威胁的策略。在一些实施例中,网络网关还被配置为相对于停留在受保护/受安全保护的企业网络(未在图2A和图2B中示出)内的流量实施策略。
图3A和图3B是图示根据一些实施例的用于提供基于云的安全服务的大规模本地化的网络网关的示例组件的系统框图。在示例实施方式中,基于云的安全服务提供商的网络网关300A和网络网关300B可以使用商业上可获得的虚拟网关(例如,使用安全平台,诸如从Palo Alto网络公司商业上可获得的防火墙)来实现。例如,如将在下面描述的,图2A的网络网关202和图2B的网络网关202A-C可以每个如图3A中的300A和图3B中的300B所示出的来实现。
在示例实施方式中,对于移动用户,基于云的安全服务提供在企业客户的用户(例如,图3B的移动用户304A和304B)的端点设备上部署和执行的代理(例如,从Palo Alto网络公司商业上可获得的GlobalProtect应用、或者另一个VPN客户端应用可以类似地被配置为施行如本文中所描述的公开操作),以自动且安全地将移动用户连接到区域网络网关。在该示例实施方式中,基于云的安全服务具有多于100个计算位置,以适应全世界部署并提供本地化体验,并且基于云的安全服务被配置为基于性能和等待时间将每个位置映射到计算位置。
具体地,当移动用户连接到基于云的安全服务提供商的网络网关时,代理施行以下选择过程来确定要连接哪个网关。如果移动用户在具有基于云的安全服务提供商的本地网络网关的国家中连接,则那么移动用户连接到该位置/区域(例如,国家)中的网络网关。更具体地,基于云的安全服务提供商为每个受支持的位置/区域的虚拟网关注册网络域(例如,如图3B中所示出的,基于云的安全服务提供商为意大利虚拟网关(GW)302A和西班牙虚拟GW 302B注册不同的网络域)。移动用户连接到他们的本地位置/区域(例如,国家)的这样的注册域。如图3B中所示出的,如下面进一步描述的,在一些情况下,这样的虚拟网关可以在位于不同位置/区域中的网络网关上执行(例如,正在执行西班牙虚拟网关(GW)和意大利虚拟GW的网络网关实际上可以在位于德国的GPC站点上的服务器上执行)。此外,如果国家中存在多于一个网关(例如,如图2B中所示出的网络网关202B和202C),则那么移动用户(例如,在使用到网络网关的IPsec/VPN隧道发起安全连接时)连接到具有最低等待时间的国内网络网关。在一些情况下,用户可以从他们的代理手动选择附加的网络网关(例如,如果网络/安全管理员已经允许用户手动选择这样的网络网关的话)。例如,在一些配置中,企业客户可以例如选择基于云的安全服务中的位置,所述位置充当基于云的网络网关,以保护其移动用户。
对于远程网络,诸如对于基于云的安全服务的企业客户的意大利分支机构和西班牙分支机构,企业客户的网络管理员可以配置不同的IPsec隧道(例如,VPN隧道),用于将每个这样的远程网络(RN)连接到由基于云的安全服务提供商提供的一个或多个网络网关(例如,通常配置它们以选择一个或多个位于最近的网络网关,并且然后进一步的网络网关选择准则可以是等待时间/工作负载等,如上面类似描述的)。配置有到由基于云的安全服务提供商提供的两个或更多个网络网关的不同IPsec隧道的RN也可以被配置为然后选择具有最低等待时间的网络网关(例如,在使用到网络网关的IPsec/VPN隧道发起安全连接时)。
参考图3A,意大利机构306A被配置为经由IPsec/VPN隧道326A连接到基于云的安全服务的网络网关300A的远程网络(RN)入口模块340。RN入口模块340是虚拟网络网关的软件组件(例如,以C编程语言实现,或者以可以用于实现该组件的另一种编程语言实现),其使用控制平面配置模块330A(例如,使用安全平台的组件实现,如下面关于图4B类似描述的)来施行入口连接处理和分组检查,用于安全分析和安全策略实施(例如,控制平面配置模块330A可以通过解码分组来施行深度分组检查(DPI)以监视流/会话,施行安全策略实施等)。
具体地,RN入口模块340和远程网络(RN)出口模块350被配置为在远程网络(RN)的网络网关处施行源NAT(SNAT)处理操作。更具体地,RN入口模块340确定企业客户将IPsec隧道326A配置为从意大利机构306A连接。在该示例实施方式中,IPsec隧道配置信息被存储在数据存储380中(例如,当为分支机构创建隧道时,它与基于机构位置的区相关联),其中安全管理平台向基于云的安全服务的不同区域/位置中的网络网关提供用于基于云的安全服务的企业客户的这样的IPsec配置信息(例如,作为从Palo Alto网络公司商业上可获得的安全管理平台的Panorama或者另一个商业上可获得的安全管理平台可以类似地用于分发这样的配置数据,所述配置数据可以本地存储在包括这样的IPsec隧道到位置/区域/国家区的映射的表中)。结果,RN入口模块将经由IPsec隧道326A连接的任何新流(例如,新会话)与意大利区相关联(例如,存储在数据存储380中的新流/会话表可以被更新以将所确定的位置/区域(在这种情况下,意大利区)与新流/会话相关联,使得位置数据(意大利区)被包括在与该新流/会话相关联的元数据中)。为了完成新流/会话的SNAT处理操作(例如,其中SNAT处理操作基于与新流/会话相关联的区来确定出口IP地址),RN NAT出口模块350从意大利的公共IP地址池为该租户选择/分配IP地址,以分配新的基于意大利的公共IP地址作为用于新的流/会话的出口IP地址(例如,出口IP地址一般指的是基于云的安全服务用于对互联网的出口流量(诸如用于访问互联网上的网站/(SaaS)服务)的IP地址,如370A处所示出的(例如,基于云的安全服务提供商可以为每个客户/租户获得按国家/区的公共IP地址,并且然后将其分发到每个网络网关进行本地存储,诸如在数据存储380中)。上面所描述的SNAT处理操作可以类似地针对经由不同的IPsec隧道326B从西班牙机构306B连接的新流/会话来施行,以分配新的基于西班牙的公共IP地址作为用于新流/会话的出口IP地址,如370B处所示出的。
在一些情况下,用于施行SNAT处理操作以选择出口IP地址的上面所描述的区可以基于国家内的区域。作为示例,企业客户可能在加拿大部署了两个远程网络(RN)位置:加拿大中部和加拿大东部。该示例中的两个位置都映射到加拿大计算位置(例如,位于加拿大的网络网关)。然而,加拿大魁北克省使用与加拿大其它省份(英语)不同的默认语言(法语)。照此,基于云的安全服务的网络网关被配置为向来自这些不同RN的会话分配不同的出口IP地址,以实现如上面类似描述的期望的本地用户体验(例如,位置使用不同的出口IP地址,以确保用户当连接到网站/(SaaS)服务时取得该区域的正确默认语言)。
参考图3B,包括意大利虚拟GW 302A和西班牙虚拟GW 302B的每个虚拟网关均配置有不同的注册域名(例如,完全限定域名(FQDN)/IP地址)。当意大利移动用户304A试图连接到网络网关300B时,在意大利移动用户304A的端点设备上执行的代理发起到与意大利虚拟GW 302A相关联的注册域名(例如,完全限定域名(FQDN)/IP地址)的网络连接(例如,当代理被配置为发起到移动用户的当前位置中可用的(一个或多个)虚拟网关的注册域名(完全合格域名(FQDN))的连接时)。结果,意大利虚拟GW 302A自动确定传入用户的位置是意大利,并且与意大利移动用户304A的新流/会话相关联的元数据可以存储在数据存储380中,如上面类似描述的。为了完成用于新流/会话的SNAT处理操作(例如,其中SNAT处理操作基于与新流/会话相关联的区来确定出口IP地址),移动用户(MU)NAT出口模块360从意大利的公共IP地址池为该租户选择/分配IP地址,以分配新的基于意大利的公共IP地址作为用于新流/会话的出口IP地址,如在370处所示出的,如上面类似描述的(例如,基于云的安全服务提供商可以为每个客户/租户获得按国家/区的公共IP地址,并且然后将其分发到每个网络网关进行本地存储,诸如在数据存储380中)。上面所描述的SNAT处理操作可以类似地针对经由西班牙虚拟GW 302B从西班牙移动用户304B连接的新流/会话来施行,以分配新的基于西班牙的公共IP地址作为用于新流/会话的出口IP地址,如在370D处所示出的。
在该示例实施方式中,基于云的安全服务提供商的网络网关由此通过对正在连接到用户的企业网络之外的站点以访问互联网上的网站/服务的传入用户会话施行源NAT(SNAT)处理操作来高效且安全地实现用于网站/服务的增强的用户本地体验的所公开的技术。具体地,如上面类似描述的,与分配给可能位于不同位置/区域的网络网关的出口IP地址和/或该网络网关IP地址与不同于用户位置/区域的位置/区域相关联相反,这样的用户会话被分配与到网络网关的用户传入会话的位置/区域相关联的出口IP地址。在该示例实施方式中,基于云的安全服务提供商的网络网关(例如,Palo Alto网络公司防火墙的PAN-OS操作系统)被配置为支持所公开的新SNAT能力(例如,SNAT处理操作),用于提供基于云的安全服务的大规模本地化。
如上面类似描述的,在该示例实施方式中,基于云的安全服务提供商还为每个其支持的位置/区域(例如,PoP)维护IP地址范围集,以用作基于云的安全服务提供商服务的每个客户/租户的不同公共IP地址池(例如,与要求每个其客户提供例如数百个这样的公共IP地址范围相反)。此外,通过为每个客户/租户维护这样的公共IP地址池不同,基于云的安全服务提供商还为每个他们的客户促进了更安全的解决方案(例如,与具有跨不同客户共享的这样的公共IP地址池相反),以及(例如,通过在数百个PoP处支持这样的技术)促进了所公开技术的大规模本地化益处。例如,客户可以利用不同的公共IP地址池来实现各种安全策略(例如,假设基于云的安全服务提供商利用不同的公共IP地址池,并且仅用于与ACME公司相关联的用户,ACME公司可以允许连接到其Salesforce®服务的用户会话绕过基于用户会话的分配的公共IP地址的多因素身份验证)。
图4A中示出了网络网关202的实施例。在各种实施例中,如果网络网关被实现为数据器具,则所示出的示例是可以包括在网络网关202中的物理组件的表示。具体地,数据器具包括高性能多核中央处理单元(CPU)402和随机存取存储器(RAM)404。数据器具还包括存储装置410(诸如一个或多个硬盘或固态存储单元)。在各种实施例中,数据器具存储(无论是在RAM 404、存储装置410和/或其它适当的位置)在监视企业网络和实现所公开的技术中使用的信息。这样的信息的示例包括应用标识符、内容标识符、用户标识符、请求的URL、IP地址映射、策略和其它配置信息、签名、主机名/URL分类信息、恶意软件简档和机器学习模型。数据器具还可以包括一个或多个可选的硬件加速器。例如,数据器具可以包括被配置为施行加密和解密操作的密码引擎406,以及被配置为施行匹配、充当网络处理器和/或施行其它任务的一个或多个现场可编程门阵列(FPGA)408。
本文中所描述的如由数据器具施行的功能可以以多种方式提供/实现。例如,数据器具可以是专用设备或设备集。数据器具提供的功能也可以集成到通用计算机、计算机服务器、网关和/或网络/路由设备中,或者作为软件在通用计算机、计算机服务器、网关和/或网络/路由设备上执行。在一些实施例中,被描述为由数据器具提供的至少一些服务代替地(或附加地)由在客户端设备上执行的软件提供给客户端设备(例如,客户端设备204A)。
每当数据器具被描述为施行任务时,数据器具的单个组件、组件子集或所有组件可以协作来施行任务。类似地,每当数据器具的组件被描述为施行任务时,子组件可以施行该任务和/或该组件可以结合其它组件来施行该任务。在各种实施例中,数据器具的部分由一个或多个第三方提供。取决于诸如对数据器具可用的计算资源的量之类的因素,可以省略数据器具的各种逻辑组件和/或特征,并且相应地适配本文中所描述的技术。类似地,在适用的情况下,附加的逻辑组件/特征可以被包括在数据器具的实施例中。在各种实施例中,包括在数据器具中的组件的一个示例是应用标识引擎,其被配置为(例如,基于分组流分析使用用于标识应用的各种应用签名)标识应用。例如,应用标识引擎可以确定会话涉及什么类型的流量,诸如网络浏览-社交网络;网络浏览-新闻;SSH等等。
所公开的系统处理架构可以在不同部署场景中与不同类型的云一起使用,所述不同类型的云诸如以下各项:(1)公共云;(2)内部私有云;以及(3)在高端物理防火墙内部,可以(例如,使用Palo Alto网络PA-5200系列防火墙器具中的管理平面(MP))分配一些处理能力来执行私有云。
图4B是数据器具的实施例的逻辑组件的功能图解。在各种实施例中,所示出的示例是可以包括在网络网关202中的逻辑组件的表示。除非另有指定,否则网络网关202的各种逻辑组件一般可以多种方式实现,所述方式包括作为一个或多个脚本的集合(例如,在适用的情况下,以Java、python等编写的脚本)。
如所示出的,网络网关202包括防火墙,并且包括管理平面432和数据平面434。管理平面诸如通过提供用于配置策略和查看日志数据的用户接口来负责管理用户交互。数据平面诸如通过施行分组处理和会话处置来负责管理数据。
网络处理器436被配置为从诸如客户端设备204之类的客户端设备接收分组,并将它们提供给数据平面434进行处理。每当流模块438将分组标识为新会话的一部分时,它就创建新的会话流。基于流查找,后续分组将被标识为属于会话。在适用的情况下,SSL解密引擎440应用SSL解密。否则,省略SSL解密引擎440的处理。解密引擎440可以帮助网络网关202检查和控制SSL/TLS和SSH加密流量,并且因此帮助停止可能以其它方式仍然隐藏在加密流量中的威胁。解密引擎440还可以帮助防止敏感内容离开企业/安全客户的网络。可以基于诸如URL类别、流量源、流量目的地、用户、用户组和端口之类的参数来选择性地控制(例如,启用或禁用)解密。除了(例如,指定解密哪些会话的)解密策略之外,解密简档可以被分配来控制由策略控制的会话的各种选项。例如,可能需要使用特定的密码套件和加密协议版本。
应用标识(APP-ID)引擎442被配置为确定会话涉及什么类型的流量。作为一个示例,应用标识引擎442可以识别接收到的数据中的GET请求,并得出结论会话需要HTTP解码器。在一些情况下,例如网络浏览会话,所标识的应用可以改变,并且网络网关202将注意到这样的改变。例如,用户可以初始地浏览到公司维基(基于访问的URL被分类为“网络浏览-生产力”),并且然后后续浏览到社交网站(基于访问的URL被分类为“网络浏览-社交网络”)。不同类型的协议都具有对应的解码器。
基于应用标识引擎442做出的确定,威胁引擎444将分组发送到适当的解码器,该解码器被配置为将分组(其可能被无序接收)组装成正确的次序,施行令牌化,并提取出信息。威胁引擎444还施行签名匹配,以确定分组应该发生什么。根据需要,SSL加密引擎446可以对经解密的数据重新加密。使用转发模块448转发分组用于传输(例如,到目的地)。
也如图4B中所示出的,策略452被接收并存储在管理平面432中。策略可以包括一个或多个规则,所述规则可以使用域和/或主机/服务器名称来指定,并且规则可以应用一个或多个签名或其它匹配准则或启发法,诸如用于基于来自被监视的会话流量流的各种提取的参数/信息的针对订户/IP流的安全策略实施。接口(I/F)通信器450被提供用于(例如,经由(REST)API、消息或网络协议通信或其它通信机制)管理通信。
在该示例实施例中可以包括附加的逻辑组件/特征。例如,上面关于图3A-3B描述的网络网关组件(例如,诸如在302A和302B处所示出的基于位置的虚拟网关、RN入口模块340、RN NAT出口模块350、MU NAT出口模块360和/或数据存储380等)也可以包括在各种实施例中的数据器具中。
用于提供基于云的安全服务的大规模本地化的示例过程
图5是图示根据一些实施例的用于提供基于云的安全服务的大规模本地化的过程的流程图。在一个实施例中,过程500使用上面所描述的系统架构来施行(例如,诸如上面关于图1-4B所描述的)。
当在基于云的安全服务的网络网关处接收到连接请求时,该过程开始于502。例如,可以使用公共云服务提供商或使用公共云服务提供商的组合来提供基于云的安全服务,如上面类似描述的。
在504处,从与租户相关联的注册公共IP地址集施行源网络地址转换(NAT)。例如,基于云的安全服务可以为基于云的安全服务的每个客户/租户获得每个其支持的位置/区域的注册IP地址池,如上面类似描述的。
在506处,使用基于云的安全服务来提供对软件即服务(SaaS)的安全访问。照此,对于使用基于云的安全服务访问SaaS的用户来说,实现了如上面类似描述的期望的本地用户体验(例如,位置使用不同的出口IP地址来确保用户取得与移动用户的位置和/或远程网络/分支机构相关联的位置/区域的正确默认语言,如上面类似描述的)。
图6是图示根据一些实施例的用于提供基于云的安全服务的大规模本地化的过程的另一个流程图。在一个实施例中,过程600使用上面所描述的系统架构来施行(例如,诸如上面关于图1-4B所描述的)。
当在基于云的安全服务的网络网关处接收到连接请求时,该过程开始于602。在示例实施方式中,使用公共云服务提供商来提供基于云的安全服务,所述公共云服务提供商提供从其各种区域基于云的计算服务数据中心中的每一个到一个或多个SaaS提供商的高速网络连接性,如上面类似描述的。
在604处,基于与连接请求相关联的安全隧道配置,与新会话相关联的区被确定以选择用于施行源网络地址转换(SNAT)操作的出口IP地址。例如,对于来自经由网络域请求连接到网络网关的远程网络/分支机构的新会话,所选择的出口IP与对应于安全隧道的区的区(例如,位置/区域)相关联,以促进SaaS用户的增强的本地用户体验。
在606处,基于与连接请求相关联的域,与新会话相关联的区被确定以选择用于施行源网络地址转换(SNAT)操作的出口IP地址。例如,对于经由网络域请求连接到网络网关的移动用户的新会话,来自网络网关的所选择的出口IP与对应于发送连接请求的用户的区的区(例如,位置/区域)相关联,以促进SaaS用户的增强的本地用户体验。
在608处,使用所选择的出口IP地址来提供对网站/服务的安全访问。照此,对于使用基于云的安全服务访问网站/服务的用户来说,实现了如上面类似描述的期望的本地用户体验(例如,位置使用不同的出口IP地址来确保用户取得与移动用户的位置和/或远程网络/分支机构相关联的位置/区域的正确默认语言,如上面类似描述的)。
尽管为了清楚理解的目的,已经对前述实施例在一些细节方面进行了描述,但是本发明不限于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的而非限制性的。
Claims (20)
1.一种系统,包括:
处理器,被配置为:
在基于云的安全服务的网络网关处接收连接请求;
从与租户相关联的注册公共IP地址集施行源网络地址转换(NAT),其中来自网络网关的出口IP与对应于发送连接请求的用户的区域的区域相关联,以促进SaaS用户的增强的本地用户体验;以及
使用基于云的安全服务来提供对软件即服务(SaaS)的安全访问,其中所述基于云的安全服务是使用公共云服务提供商提供的,所述公共云服务提供商提供从公共云服务提供商的各种区域基于云的计算服务数据中心中的每一个到一个或多个SaaS提供商的高速网络连接性;以及
存储器,被耦合到处理器并被配置为向处理器提供指令。
2.根据权利要求1所述的系统,其中所述基于云的安全服务为每个其支持的区域维护IP地址范围集,以为基于云的安全服务的每个客户提供不同的公共IP地址池。
3.根据权利要求1所述的系统,其中使用公共云服务提供商来提供基于云的安全服务。
4.根据权利要求1所述的系统,其中使用多个公共云服务提供商来提供基于云的安全服务。
5.根据权利要求1所述的系统,其中所述基于云的安全服务为每个其支持的区域维护IP地址范围集,以为基于云的安全服务的每个客户提供不同的公共IP地址池,并且其中第一客户配置与关联于第一客户的不同公共IP地址池相关联的不同安全策略。
6.根据权利要求1所述的系统,其中所述网络网关实施安全策略。
7.根据权利要求1所述的系统,其中所述网络网关包括虚拟防火墙。
8.根据权利要求1所述的系统,其中所述连接请求与新会话相关联,并且其中所述处理器进一步被配置为:
确定与新会话相关联的区。
9.根据权利要求1所述的系统,其中所述连接请求与新会话相关联,并且其中所述处理器进一步被配置为:
基于与连接请求相关联的安全隧道配置来确定与新会话相关联的区。
10.根据权利要求1所述的系统,其中所述连接请求与新会话相关联,并且其中所述处理器进一步被配置为:
基于与连接请求相关联的域来确定与新会话相关联的区。
11.一种同步蜂蜜网络配置以反映目标网络环境的方法,包括:
在基于云的安全服务的网络网关处接收连接请求;
从与租户相关联的注册公共IP地址集施行源网络地址转换(NAT),其中来自网络网关的出口IP与对应于发送连接请求的用户的区域的区域相关联,以促进SaaS用户的增强的本地用户体验;以及
使用基于云的安全服务来提供对软件即服务(SaaS)的安全访问,其中所述基于云的安全服务是使用公共云服务提供商提供的,所述公共云服务提供商提供从公共云服务提供商的各种区域基于云的计算服务数据中心中的每一个到一个或多个SaaS提供商的高速网络连接性。
12.根据权利要求11所述的方法,其中所述基于云的安全服务为每个其支持的区域维护IP地址范围集,以为基于云的安全服务的每个客户提供不同的公共IP地址池。
13.根据权利要求11所述的方法,其中使用公共云服务提供商来提供基于云的安全服务。
14.根据权利要求11所述的方法,其中使用多个公共云服务提供商来提供基于云的安全服务。
15.根据权利要求11所述的方法,其中所述基于云的安全服务为每个其支持的区域维护IP地址范围集,以为基于云的安全服务的每个客户提供不同的公共IP地址池,并且其中第一客户配置与关联于第一客户的不同公共IP地址池相关联的不同安全策略。
16.一种计算机程序产品,所述计算机程序产品体现在非暂时性计算机可读存储介质中,并且包括计算机指令,用于:
在基于云的安全服务的网络网关处接收连接请求;
从与租户相关联的注册公共IP地址集施行源网络地址转换(NAT),其中来自网络网关的出口IP与对应于发送连接请求的用户的区域的区域相关联,以促进SaaS用户的增强的本地用户体验;以及
使用基于云的安全服务来提供对软件即服务(SaaS)的安全访问,其中所述基于云的安全服务是使用公共云服务提供商提供的,所述公共云服务提供商提供从公共云服务提供商的各种区域基于云的计算服务数据中心中的每一个到一个或多个SaaS提供商的高速网络连接性。
17.根据权利要求16所述的计算机程序产品,其中所述基于云的安全服务为每个其支持的区域维护IP地址范围集,以为基于云的安全服务的每个客户提供不同的公共IP地址池。
18.根据权利要求16所述的计算机程序产品,其中使用公共云服务提供商来提供基于云的安全服务。
19.根据权利要求16所述的计算机程序产品,其中使用多个公共云服务提供商来提供基于云的安全服务。
20.根据权利要求16所述的计算机程序产品,其中所述基于云的安全服务为每个其支持的区域维护IP地址范围集,以为基于云的安全服务的每个客户提供不同的公共IP地址池,并且其中第一客户配置与关联于第一客户的不同公共IP地址池相关联的不同安全策略。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/985050 | 2020-08-04 | ||
| US16/985,050 US10911407B1 (en) | 2020-08-04 | 2020-08-04 | Localization at scale for a cloud-based security service |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114070577A true CN114070577A (zh) | 2022-02-18 |
Family
ID=74261012
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110871070.4A Pending CN114070577A (zh) | 2020-08-04 | 2021-07-30 | 基于云的安全服务的大规模本地化 |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US10911407B1 (zh) |
| EP (1) | EP3952255A1 (zh) |
| JP (2) | JP7012896B1 (zh) |
| CN (1) | CN114070577A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584359A (zh) * | 2022-02-24 | 2022-06-03 | 烽台科技(北京)有限公司 | 安全诱捕方法、装置和计算机设备 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11556862B2 (en) * | 2019-09-14 | 2023-01-17 | Oracle International Corporation | Techniques for adaptive and context-aware automated service composition for machine learning (ML) |
| CN115868144A (zh) * | 2020-06-29 | 2023-03-28 | 伊鲁米纳公司 | 经由安全发现框架的临时云提供商凭据 |
| WO2022031694A1 (en) * | 2020-08-03 | 2022-02-10 | Cazena, Inc. | Scalable security for saas data lakes |
| US11271899B2 (en) * | 2020-08-09 | 2022-03-08 | Perimeter 81 Ltd | Implementing a multi-regional cloud based network using network address translation |
| US20220200952A1 (en) * | 2020-12-21 | 2022-06-23 | Oracle International Corporation | Network address translation between networks |
| US11489808B1 (en) * | 2021-08-03 | 2022-11-01 | Oversec, Uab | Providing a split-configuration virtual private network |
| US11799826B1 (en) * | 2021-11-24 | 2023-10-24 | Amazon Technologies, Inc. | Managing the usage of internet protocol (IP) addresses for computing resource networks |
| US20240146727A1 (en) * | 2022-10-28 | 2024-05-02 | Cisco Technology, Inc. | Exchange engine for secure access service edge (sase) provider roaming |
| US20240187377A1 (en) * | 2022-12-05 | 2024-06-06 | Netskope, Inc. | Conditional egress ip for delivery of localized content |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532752A (zh) * | 2013-10-10 | 2014-01-22 | 北京首信科技股份有限公司 | 移动互联网络用户上网日志实现融合的管理装置和方法 |
| US20180115514A1 (en) * | 2016-10-24 | 2018-04-26 | Nubeva, Inc. | Providing Scalable Cloud-Based Security Services |
| US10027624B1 (en) * | 2016-10-28 | 2018-07-17 | 8X8, Inc. | Region-based redirection and bridging of calls |
| CN111095876A (zh) * | 2017-10-02 | 2020-05-01 | Vm维尔股份有限公司 | 创建跨多个公共云的虚拟网络 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7428411B2 (en) * | 2000-12-19 | 2008-09-23 | At&T Delaware Intellectual Property, Inc. | Location-based security rules |
| JP2010154097A (ja) * | 2008-12-24 | 2010-07-08 | Nippon Telegr & Teleph Corp <Ntt> | 通信制御装置、通信制御方法および通信制御プログラム |
| WO2011141993A1 (ja) * | 2010-05-11 | 2011-11-17 | 株式会社チェプロ | 双方向通信システムおよびこれに用いるサーバ装置 |
| TWI451266B (zh) * | 2010-12-29 | 2014-09-01 | Chunghwa Telecom Co Ltd | A system and method for enabling cloud computing services based on user location |
| US9350644B2 (en) * | 2012-04-13 | 2016-05-24 | Zscaler. Inc. | Secure and lightweight traffic forwarding systems and methods to cloud based network security systems |
| US9189619B2 (en) * | 2012-11-13 | 2015-11-17 | International Business Machines Corporation | Runtime based application security and regulatory compliance in cloud environment |
| US20140189092A1 (en) * | 2012-12-28 | 2014-07-03 | Futurewei Technologies, Inc. | System and Method for Intelligent Data Center Positioning Mechanism in Cloud Computing |
| US10547676B2 (en) * | 2013-05-02 | 2020-01-28 | International Business Machines Corporation | Replication of content to one or more servers |
| US9307355B2 (en) * | 2013-06-27 | 2016-04-05 | Bluecats Australia Pty Limited | Location enabled service for enhancement of smart device and enterprise software applications |
| US10397345B2 (en) * | 2013-08-21 | 2019-08-27 | Adobe Inc. | Location-based asset sharing |
| US9426069B2 (en) * | 2013-09-27 | 2016-08-23 | Verizon Patent And Licensing Inc. | System and method of cross-connection traffic routing |
| US9485617B2 (en) * | 2014-01-14 | 2016-11-01 | Sean Tasdemiroglu | Dynamic location-based mapping system and method |
| US20160070555A1 (en) | 2014-09-09 | 2016-03-10 | Microsoft Corporation | Automated tenant upgrades for multi-tenant services |
| US10218776B2 (en) * | 2014-10-14 | 2019-02-26 | Nokia Of America Corporation | Distribution of cloud services in a cloud environment |
| US9935984B1 (en) * | 2017-07-31 | 2018-04-03 | Malwarebytes Inc. | Scalable cloud-based endpoint security system |
| CN107995499B (zh) | 2017-12-04 | 2021-07-23 | 腾讯科技(深圳)有限公司 | 媒体数据的处理方法、装置及相关设备 |
| US10547679B1 (en) * | 2018-01-02 | 2020-01-28 | Architecture Technology Corporation | Cloud data synchronization based upon network sensing |
| US11258775B2 (en) | 2018-04-04 | 2022-02-22 | Oracle International Corporation | Local write for a multi-tenant identity cloud service |
| US11121985B2 (en) * | 2019-08-27 | 2021-09-14 | Vmware, Inc. | Defining different public cloud virtual networks for different entities based on different sets of measurements |
-
2020
- 2020-08-04 US US16/985,050 patent/US10911407B1/en active Active
- 2020-12-11 US US17/120,047 patent/US11558350B2/en active Active
-
2021
- 2021-07-16 EP EP21186228.9A patent/EP3952255A1/en active Pending
- 2021-07-30 CN CN202110871070.4A patent/CN114070577A/zh active Pending
- 2021-08-02 JP JP2021126416A patent/JP7012896B1/ja active Active
-
2022
- 2022-01-18 JP JP2022005607A patent/JP7304983B2/ja active Active
- 2022-12-14 US US18/065,958 patent/US11888816B2/en active Active
-
2023
- 2023-12-06 US US18/531,490 patent/US20240214349A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532752A (zh) * | 2013-10-10 | 2014-01-22 | 北京首信科技股份有限公司 | 移动互联网络用户上网日志实现融合的管理装置和方法 |
| US20180115514A1 (en) * | 2016-10-24 | 2018-04-26 | Nubeva, Inc. | Providing Scalable Cloud-Based Security Services |
| US10027624B1 (en) * | 2016-10-28 | 2018-07-17 | 8X8, Inc. | Region-based redirection and bridging of calls |
| CN111095876A (zh) * | 2017-10-02 | 2020-05-01 | Vm维尔股份有限公司 | 创建跨多个公共云的虚拟网络 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584359A (zh) * | 2022-02-24 | 2022-06-03 | 烽台科技(北京)有限公司 | 安全诱捕方法、装置和计算机设备 |
| CN114584359B (zh) * | 2022-02-24 | 2023-06-09 | 烽台科技(北京)有限公司 | 安全诱捕方法、装置和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11558350B2 (en) | 2023-01-17 |
| EP3952255A1 (en) | 2022-02-09 |
| US11888816B2 (en) | 2024-01-30 |
| JP7012896B1 (ja) | 2022-02-15 |
| JP7304983B2 (ja) | 2023-07-07 |
| JP2022058641A (ja) | 2022-04-12 |
| US10911407B1 (en) | 2021-02-02 |
| US20240214349A1 (en) | 2024-06-27 |
| US20220045987A1 (en) | 2022-02-10 |
| JP2022032038A (ja) | 2022-02-24 |
| US20230115001A1 (en) | 2023-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11888816B2 (en) | Localization at scale for a cloud-based security service | |
| US11632396B2 (en) | Policy enforcement using host information profile | |
| US20210250333A1 (en) | Private application access with browser isolation | |
| US20210336934A1 (en) | Cloud-based web application and API protection | |
| US20210314301A1 (en) | Private service edge nodes in a cloud-based system for private application access | |
| US20220029965A1 (en) | Scaling private application access support per client | |
| US11477165B1 (en) | Securing containerized applications | |
| US11949661B2 (en) | Systems and methods for selecting application connectors through a cloud-based system for private application access | |
| JP6980944B1 (ja) | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 | |
| US20220141254A1 (en) | Consistent monitoring and analytics for security insights for network and security functions for a security service | |
| US11936623B2 (en) | Systems and methods for utilizing sub-clouds in a cloud-based system for private application access | |
| US20210377223A1 (en) | Client to Client and Server to Client communication for private application access through a cloud-based system | |
| US20230019448A1 (en) | Predefined signatures for inspecting private application access | |
| US11799858B2 (en) | Network entity ID AAA | |
| US20240056388A1 (en) | Supporting overlapping network addresses universally | |
| US20220385631A1 (en) | Distributed traffic steering and enforcement for security solutions | |
| US20230015603A1 (en) | Maintaining dependencies in a set of rules for security scanning | |
| US11522913B1 (en) | Simplifying networking setup complexity for security agents | |
| US20240121187A1 (en) | Deploying ipv6 routing | |
| WO2024105524A1 (en) | Centralized identity redistribution |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |