JP6980944B1 - セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 - Google Patents
セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 Download PDFInfo
- Publication number
- JP6980944B1 JP6980944B1 JP2021121005A JP2021121005A JP6980944B1 JP 6980944 B1 JP6980944 B1 JP 6980944B1 JP 2021121005 A JP2021121005 A JP 2021121005A JP 2021121005 A JP2021121005 A JP 2021121005A JP 6980944 B1 JP6980944 B1 JP 6980944B1
- Authority
- JP
- Japan
- Prior art keywords
- flow
- security
- wan
- meta information
- security service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 65
- 238000004590 computer program Methods 0.000 claims abstract description 16
- 238000007689 inspection Methods 0.000 claims description 19
- 230000008569 process Effects 0.000 abstract description 27
- 230000006870 function Effects 0.000 abstract description 26
- 238000010586 diagram Methods 0.000 abstract description 13
- 238000012544 monitoring process Methods 0.000 description 32
- 238000004458 analytical method Methods 0.000 description 19
- 238000004891 communication Methods 0.000 description 18
- 238000005516 engineering process Methods 0.000 description 18
- 238000012545 processing Methods 0.000 description 11
- 238000001914 filtration Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 9
- 239000004744 fabric Substances 0.000 description 7
- 230000006855 networking Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 6
- 238000013459 approach Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000037406 food intake Effects 0.000 description 1
- 230000004941 influx Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
- H04L12/4625—Single bridge functionality, e.g. connection of two networks over a single bridge
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/036—Updating the topology between route computation elements, e.g. between OpenFlow controllers
- H04L45/037—Routes obligatorily traversing service-related nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するための技術が開示されている。【解決手段】いくつかの実施形態において、セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するためのシステム/プロセス/コンピュータプログラム製品は、ソフトウェア定義ワイドエリアネットワーク(SD-WAN)デバイスからセキュリティサービスのネットワークゲートウェイにおいてフローを受信すること、フローに関連するメタ情報を決定するためにフローを検査すること、および、フローに関連するメタ情報をSD-WANデバイスへ通信すること、を含む。【選択図】 図3
Description
ファイアウォールは、一般的に、不正アクセス(unauthorized access)からネットワークを保護し、一方で、承認された(authorized)通信がファイアウォールを通過するのを許可している。ファイアウォールは、典型的には、コンピュータといった、デバイスまたは一式のデバイス、または、デバイス上で実行されるソフトウェアであり、ネットワークアクセスについてファイアウォール機能を提供する。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能デバイス)のオペレーティングシステムの中へ統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、または、データ・アプライアンス(例えば、セキュリティアプライアンスまたは他のタイプの特殊目的のデバイス)上のソフトウェアとして、統合され、もしくは、実行することもできる。
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これら一式のルールは、しばしば、ポリシ(policy)として参照される。例えば、ファイアウォールは、一式のルールまたはポリシを適用することによって、インバウンドトラフィックをフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによって、アウトバウンドトラフィック(outbound traffic)をフィルタリングすることもできる。ファイアウォールは、また、基本的なルーティング機能を実行することもできる。
本発明の様々な実施形態が、以下の詳細な説明および添付の図面において開示されている。
図1Aは、いくつかの実施形態に従った、例示的なSD-WANアーキテクチャおよびセキュリティサービスを含むシステム環境図である。
図1Bは、いくつかの実施形態に従った、例示的なSD-WANアーキテクチャおよびセキュリティサービスを含むシステム環境図である。
図2は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するための例示的なコンポーネントを示すシステム図である。
図3は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察(insight)のための一貫性のあるモニタリング(monitoring)および分析を提供するための例示的なコンポーネントを示すシステム図である。
図4Aは、いくつかの実施形態に従った、ネットワークゲートウェイの実施形態を示している。
図4Bは、データ・アプライアンスの一つの実施形態の論理コンポーネントの機能図である。
図5は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するためのプロセスを示すフローチャートである。
図6は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供するためのプロセスを示すフローチャートである。
図7は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能およびセキュリティ機能のセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供するためのプロセスを示す別のフローチャートである。
本発明は、プロセス、装置、システム、事項の構成、コンピュータで読取り可能な記憶媒体上に具現化されたコンピュータプログラム製品、及び/又は、プロセッサに結合されたメモリに保管され、かつ/あるいは、提供される命令を実行するように構成されたプロセッサといった、プロセッサを含む、複数の方法で実装することができる。この明細書において、これらの実施形態、または本発明が採用し得るあらゆる他の形態は、技術(techniques)として参照され得る。一般的に、開示されるプロセスのステップの順序は、本発明の範囲内で変更され得る。特に言及されない限り、タスクを実行するように構成されているものとして説明されるプロセッサまたはメモリといったコンポーネントは、所与の時間にタスクを実行するように一時的に構成されている一般的なコンポーネントとして、または、タスクを実行するように製造されている所定のコンポーネントとして実装され得る。ここにおいて使用されるように、用語「プロセッサ(“processor”)」は、コンピュータプログラム命令といった、データを処理するように構成された1つまたはそれ以上のデバイス、回路、及び/又は、処理コアを参照するものである。
本発明に係る1つまたはそれ以上の実施形態の詳細な説明が、本発明の原理を説明する添付の図面と共に以下に提供される。本発明は、そうした実施形態に関連して説明されるが、本発明は、あらゆる実施形態に限定されるものではない。本発明の範囲は、請求項だけによって限定されるものであり、そしえ、本発明は、複数の代替、変形、および均等物を包含している。本発明の完全な理解を提供するために、複数の具体的な詳細が以下の説明において明らかにされる。これらの詳細は、例示のために提供されるものであり、そして、本発明は、これらの所定の詳細のいくつか又は全てを用いることなく、請求項に従って実施され得る。明瞭にするために、本発明と関連する技術分野において知られている技術的事項は、本発明が不必要に不明瞭にならないように、詳細には説明されていない。
先進的または次世代ファイアウォール
マルウェア(malware)は、悪意のあるソフトウェア(例えば、様々な敵対的、侵入的、及び/又は、望ましくないソフトウェアを含む)を指す一般的に使用される用語である。マルウェアは、コード、スクリプト、アクティブコンテンツ、及び/又は、他のソフトウェアの形態であり得る。マルウェアの例示的な使用は、コンピュータ及び/又はネットワーク動作の中断、専有情報(例えば、身元(identity)、財務、及び/又は、知的財産関連情報といった秘密情報)の盗用、及び/又は、私的/専有コンピュータシステム及び/又はコンピュータネットワークへのアクセスの獲得、を含む。不幸にも、マルウェアの検出および軽減に役立つ技法(technique)が開発されると、悪意のある著者はそうした努力を回避する方法を見つける。従って、マルウェアを識別し、かつ、軽減するための技法を改善する必要性が継続的に存在している。
ファイアウォールは、一般的に、不正アクセスからネットワークを保護し、一方で、承認された通信がファイアウォールを通過するのを許可している。ファイアウォールは、典型的には、ネットワークアクセスのためにファイアウォール機能を提供する、デバイス、一式のデバイス、または、デバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムの中に統合することができる。ファイアウォールは、また、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティング(routing)デバイス(例えば、ネットワークルータ)、または、データ・アプライアンス(例えば、セキュリティアプライアンス、または他のタイプの特殊目的デバイス)といった、様々なタイプのデバイスまたはセキュリティデバイス上のソフトウェアアプリケーションとして統合され、または実行することができる。
また、いくつかの実装において、所定の動作は、ASICまたはFPGAといった、特殊目的ハードウェアにおいて実装され得る。
また、いくつかの実装において、所定の動作は、ASICまたはFPGAといった、特殊目的ハードウェアにおいて実装され得る。
ファイアウォールは、典型的に、一式のルールに基づいてネットワーク送信を拒否または許可する。これらのルールのセットは、しばしば、ポリシ(例えば、ネットワークポリシ、またはネットワークセキュリティポリシ)として参照される。例えば、ファイアウォールは、不要な外部トラフィックが保護デバイスに到達するのを防ぐために、一式のルールまたはポリシを適用することによって、インバウンドトラフィック(inbound traffic)をフィルタリングすることができる。ファイアウォールは、また、一式のルールまたはポリシを適用することによってアウトバウンドトラフィックをフィルタリングすることができる(例えば、許可(allow)、ブロック(block)、モニタリング(monitor)、通知(notify)、またはログ(log)、及び/又は、ファイアウォールルールまたはファイアウォールポリシにおいて指定され得る他のアクションであり、これらは、ここにおいて説明されるような、様々な基準に基づいてトリガすることができる)。ファイアウォールは、また、同様に一式のルールまたはポリシを適用することによって、ローカルネットワーク(例えば、イントラネット)トラフィックをフィルタリングすることもできる。
セキュリティデバイス(例えば、セキュリティアプライアンス、セキュリティゲートウェイ、セキュリティサービス、及び/又は、他のセキュリティデバイス)は、様々なセキュリティ動作(例えば、ファイアウォール、アンチ−マルウェア、侵入防止/検出、プロキシ、及び/又は、他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティ・オブ・サービス(QoS)、ネットワーク関連リソースのワークロードバランシング、及び/又は、他のネットワーク機能)、及び/又は、他のセキュリティ及び/又はネットワークキング関連の動作を実行することができる。例えば、ルーティング(routing)は、送信元(source)情報(例えば、IPアドレスおよびポート)、宛先(destination)情報(例えば、IPアドレスおよびポート)、および、プロトコル情報(例えば、レイヤ3 IPベースのルーティング)に基づいて実行され得る。
基本的なパケットフィルタリング・ファイアウォールは、ネットワークを介して送信される個々のパケットをインスペクションすることによって、ネットワーク通信トラフィックをフィルタリングする(例えば、ステートレス(stateless)パケットフィルタリング・ファイアウォールである、パケットフィルタリング・ファイアウォールまたは第1世代ファイアウォール)。ステートレスパケットフィルタリング・ファイアウォールは、典型的に、個々のパケット自体をインスペクションし、そして、インスペクションされたパケットに基づいて(例えば、パケットの送信元および宛先のアドレス情報、プロトコル情報、および、ポート番号の組み合わせを使用して)ルールを適用する。
アプリケーション・ファイアウォールは、また、(例えば、アプリケーション層フィルタリング・ファイアウォール、または、TCP/IPスタックのアプリケーションレベルにおいて機能する第2世代ファイアウォールを使用して)アプリケーション層フィルタリングを実行することもできる。アプリケーション層フィルタリング・ファイアウォールまたはアプリケーション・ファイアウォールは、一般的に、所定のアプリケーションおよびプロトコル(例えば、ハイパーテキスト転送プロトコル(HTTP)を使用したウェブブラウジング、ドメインネームシステム(DNS)要求、ファイル転送プロトコル(FTP)を使用したファイル転送、および、Telnet、DHCP、TCP、UDP、およびTFTP(GSS)といった、様々な他のタイプのアプリケーションおよび他のプロトコル)を識別することができる。例えば、アプリケーション・ファイアウォールは、標準ポート上で通信を試みる未認可(unauthorized)プロトコルをブロックすることができる(例えば、そのプロトコルについて非標準(non-standard)ポートを使用することにより黙って通り抜けること(sneak through)を試みる未認可/外れたポリシプロトコルは、一般的に、アプリケーション・ファイアウォールを使用して識別することができる)。
ステートフル・ファイアウォールは、また、ステートフル・ベースのパケットインスペクションを実行することもでき、そこでは、各パケットが、そのネットワーク送信のパケットフロー(packets/packet flow)と関連する一式のパケットのコンテキストの中でインスペクションされる(例えば、ステートフル・ファイアウォールまたは第3世代ファイアウォール)。このファイアウォール技術は、一般的に、ステートフル・パケットインスペクションとして参照される。ファイアウォールを通過する全ての接続の記録を保持し、そして、パケットが、新たな接続の開始であるか、既存の接続の一部であるか、または、無効なパケットであるかを判断することができるからである。例えば、接続の状態は、それ自体が、ポリシの中のルールをトリガするクライテリアの1つになり得る。
先進的または次世代ファイアウォールは、上述のように、ステートレスおよびステートフルなパケットフィルタリングおよびアプリケーション層フィルタリングを実行することができる。次世代ファイアウォールは、また、追加的なファイアウォール技術を実行することもできる。例えば、先進的または次世代ファイアウォールとして、しばしば参照される所定の新たなファイアウォールは、また、ユーザおよびコンテンツを識別することができる。特に、所定の次世代ファイアウォールは、これらのファイアウォールが自動的に識別できるアプリケーションのリストを、何千ものアプリケーションまで拡大している。そうした次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(例えば、Palo Alto Networks社のPAシリーズのファイアウォール)。
例えば、Palo Alto Networks社の次世代ファイアウォールは、様々な識別技術を使用して、企業が、アプリケーション、ユーザ、およびコンテンツ−単にポート、IPアドレス、およびパケットだけでなく−を識別し、かつ、制御することを可能にする。様々な識別技術は、正確なアプリケーション識別のためのApp-ID、ユーザ識別のためのUser-ID、および、リアルタイムなコンテンツスキャニングのためのContent-IDといったものである(例えば、Webサーフィンを制御し、かつ、データおよびファイルの転送を制限する)。これらの識別技術により、企業は、従来のポートブロッキングファイアウォールによって提供される従来のアプローチに従う代わりに、ビジネス関連の概念を使用して、アプリケーションの使用を安全に可能にすることができる。また、例えば、専用装置として実装される、次世代ファイアウォールのための特定目的ハードウェアは、汎用ハードウェア上で実行されるソフトウェアよりも、アプリケーションインスペクションについてより高いパフォーマンスレベルを一般的に提供する(例えば、Palo Alto Networks社が提供するセキュリティアプライアンスといったものであり、シングルパス・ソフトウェアエンジンと堅く統合されている、専用の、機能固有の処理を利用し、レイテンシ(latency)を最小化する一方で、ネットワークのスループットを最大化する)。
先進的または次世代ファイアウォールは、また、仮想化ファイアウォール(virtualized firewalls)を使用して実装することもできる。そうした次世代ファイアウォールの例は、Palo Alto Networks社から市販されている(例えば、様々な商用仮想化環境をサポートする、Palo Alto Networksのファイアウォールであり、例として、VMware(R) ESXiTMおよびNSXTM、Citrix(R) Netscaler SDXTM、KVM/OpenStack(Centos/RHEL、Ubuntu(R))、並びに、Amazon Web Services(AWS)を含んでいる)。例えば、仮想化ファイアウォールは、物理的フォームファクタ・アプライアンスで利用可能な、類似の、または、完全に同一の次世代ファイアウォールおよび高度な脅威防止機能をサポートすることができ、企業は、プライベート、パブリック、およびハイブリッドなクラウドコンピューティング環境へのアプリケーションの流入を安全に可能にする(enable)ことができる。VMモニタリング、ダイナミックアドレスグループ、および、RESTベースのAPIといった自動化機能により、企業は、VMの変化を積極的にモニタリングすることができ、そのコンテキストをセキュリティポリシへと動的にフィードしており、それによって、VMの変化時に発生し得るポリシの遅れ(lag)を排除している。
進化するSD-WAN環境におけるセキュリティソリューションの技術的課題
セキュリティサービスプロバイダは、ファイアウォール、VPN、および、その他のセキュリティ関連サービスを含む、様々な市販のクラウドベースのセキュリティソリューションを提供する。例えば、いくつかのセキュリティサービスプロバイダは、クラウドベースのセキュリティソリューションを顧客に提供するために、世界中の複数の地域に独自のデータセンタを持っている。
一般的に、クラウドベースの(cloud-based)セキュリティサービスは、世界中の様々な場所/地域でクラウドベースのセキュリティサービスプロバイダによって提供されている。しかしながら、顧客(例えば、所与のクラウドベースのセキュリティサービスプロバイダの企業顧客)は、種々の場所/地域に、本社、ブランチ(branch)、及び/又は、他のオフィスを有し得る。それらは、相互にネットワーク通信し、かつ、種々のSD-WAN接続(例えば、SD-WANファブリック経由)を使用してクラウドベースのセキュリティサービスおよびインターネット内にある。結果として、このことは、しばしば、各オフィスの場所(例えば、ブランチ、本社、等)の各SD-WANデバイスにおいて、並びに、クラウドベースのセキュリティサービスにおいて提供される別のセキュリティ監視層(monitoring layer)を導入する。かくして、このネットワーク/セキュリティアーキテクチャは、以下でさらに説明されるように、計算リソースの非効率的な使用、及び/又は、一貫性のないセキュリティ監視および実施の可能性を生じる。
計算リソース(例えば、CPUおよびメモリ/ストレージ)のそうした非効率的な使用の例は、セキュリティ監視が、アプリケーションの正確な識別を提供すること(例えば、ここにおいては、App IDとも呼ばれる)を含み得ることである。ネットワーク・ゲートウェイ・ファイアウォール(例えば、クラウドベースのセキュリティサービスにおけるもの、及び/又は、そうしたクラウドベースのセキュリティサービスを提供するプライベートクラウド内といった、企業ネットワークインフラストラクチャの中にもの、及び/又は、それらの組み合わせ)、および、SD-WANデバイス(例えば、本社およびブランチオフィスサイトにおける顧客施設機器(customer-premises equipment、CPE)SD-WANデバイス)は、セキュリティの監視/実施、及び/又は、ネットワーク機能(例えば、セキュリティポリシの実施、及び/又は、ネットワークルーティング、等)を実行するために、そうしたApp ID情報(例えば、以下に説明するフローに関連する他のメタ情報)を利用することができる。例えば、フロー(例えば、新しいフロー)のためのApp ID情報を決定することは、また、アプリケーション層ゲートウェイ(Application Layer Gateway、ALG)機能を実行することに拡張もできる。
しかしながら、App ID決定プロセスは、典型的には、計算リソース(例えば、メモリおよびCPUリソース)に関して高価である。結果として、両方のデバイス/コンピューティング要素/ロケーションにおいてApp ID決定プロセスを実行することは、両方のプラットフォーム(例えば、セキュリティサービスにおけるネットワークゲートウェイファイアウォール、および、企業ネットワーク上のCPE SD-WANデバイス)のスケーラビリティを低下させ得る。
同様に、ユーザID、デバイスID、コンテンツID、及び/又は、フローに関連する他のメタデータを決定するプロセスを実行することも、また、典型的には、計算リソース(例えば、メモリおよびCPUリソース)に関して高価である。例えば、ブランチオフィスからのネットワークトラフィックは(例えば、明確なフロー)、SD-WANデバイスを通過し、そして、次に、クラウドベースのセキュリティサービスへ移行することができる。結果として、各フローに関連する高価なメタデータの決定(例えば、App ID、User ID、Device ID、Content ID、及び/又は、フローに関連する他のメタデータ)が、典型的には、2回実行され、これは、上述の下と同様な計算リソースの非効率的使用である。
以下で、また、さらに説明されるように、各フローに関連するそうしたメタデータ決定(例えば、App ID、User ID、Device ID、Content ID、及び/又はフローに関連する他のメタデータ)を決定するためのプロセスを実行することは、場合によって、SD-WANデバイス(例えば、企業ネットワーク上のCPE SD-WANデバイス)およびネットワークゲートウェイファイアウォール(例えば、クラウドベースのセキュリティサービスにおけるもの)において一貫性なく実行され得る。例えば、フローに関連するApp ID、User ID、Device ID、Content ID、及び/又は、その他のメタデータは、SD-WANデバイス(例えば、企業ネットワーク上のCPE SD-WANデバイス)およびネットワークゲートウェイファイアウォール(例えば、クラウドベースのセキュリティサービスにおけるもの)においてわずかに異なって実行され得る。それは、一貫性のないネットワークルーティング/アプリケーション層ゲートウェイの実施、及び/又は、セキュリティポリシの監視/実施を結果として生じる得る。それは、一般的に企業ネットワーク/セキュリティポリシの実施にとって望ましくない。
セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するための技術の概要
従って、セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するための種々の技術が開示される。
いくつかの実施形態において、セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するためのシステム/プロセス/コンピュータプログラム製品は、ソフトウェア定義のワイドエリアネットワーク(SD-WAN)デバイスからセキュリティサービスのネットワークゲートウェイにおいてフローを受信すること、フローに関連するメタ情報を決定するためにフローを検査すること、および、フローに関連するメタ情報をSD-WANデバイスへ通信すること、を含む。
例えば、各フローに関連するそうしたメタデータ情報(例えば、App ID、User ID、Device ID、Content ID、及び/又は、フローに関連する他のメタデータ)を決定するプロセスは、開示される技法を使用して、コンピューティングデバイス/エレメント/ロケーションの1つで実行され得る(例えば、Prisma Access、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から市販されているもの、を介して提供されるような、クラウドベースのセキュリティサービスにおけるものであり、または、開示される技法を実施するために他の市販のクラウドベースのセキュリティサービスが同様に使用され得る。そして、クラウドベースのセキュリティサービスが、プライベートクラウド、1つ以上のパブリッククラウドサービスプロバイダ、及び/又は、それらの任意の組み合わせを使用して提供され得る。)。各フローに関連する決定されたメタデータ情報は、次いで、SD-WANデバイス(例えば、市販のSD-WANデバイスであり、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から市販されている、トラフィックエンジニアリング、モニタリング、およびトラブルシューティング、等を提供するもの、または、開示される技法を実施するために他の市販のSD-WANデバイスが同様に使用され得る)に対して通信され得る(例えば、以下でさらに説明されるように、そうしたメタ情報をパケットヘッダ内にカプセル化することを含む様々な技術を使用するなどして、安全に、かつ、効率的に通信される)。一つの例示的な実施において、各フローに関連するそうした決定されたメタデータ情報は、以下でさらに説明されるように、(例えば、TCPオプションを使用して)フロー上の帯域内(in-band)または帯域外(out of band)で通信される。
結果として、SD-WANデバイス/計算要素は、次いで、そうしたメタデータ情報(例えば、App ID、User ID、Device ID、Content ID、及び/又は、フローに関連する他のメタデータ)を独立して決定するための検査(例えば、ディープパケットインスペクション(Deep Packet Inspection、DPI))を実行する必要なく、所与のフローに関連するメタデータ情報を使用して、セキュリティポリシの実施、ネットワークルーティング、及び/又は、他のアクションを実行することができる。これは、より効率的であり、そして、SD-WANデバイス/計算要素におけるCPUおよびメモリリソースの使用を削減する。
結果として、SD-WANデバイス/計算要素は、次いで、そうしたメタデータ情報(例えば、App ID、User ID、Device ID、Content ID、及び/又は、フローに関連する他のメタデータ)を独立して決定するための検査(例えば、ディープパケットインスペクション(Deep Packet Inspection、DPI))を実行する必要なく、所与のフローに関連するメタデータ情報を使用して、セキュリティポリシの実施、ネットワークルーティング、及び/又は、他のアクションを実行することができる。これは、より効率的であり、そして、SD-WANデバイス/計算要素におけるCPUおよびメモリリソースの使用を削減する。
SD-WAN機能がSD-WAN顧客施設機器(CPE)要素/デバイスによって提供され、かつ、セキュリティ機能がクラウドベースのセキュリティサービスによってクラウドにおいて提供される、企業ネットワークの一つの例においては、次いで、SD-WAN CPEおよびクラウドベースのセキュリティサービスを通過するフロー上で決定され/抽出されたメタデータがSD-WAN CPEとクラウドベースのセキュリティサービスとの間で交換されて、機能性を充実させ、かつ/あるいは、高価な性能計算機能を回避することができる。SD-WAN CPEおよびクラウドベースのセキュリティサービスそれぞれにおいて1回以上実行されるフローに関連する、App ID、User ID、Device ID、Content ID、及び/又はその他のメタデータを決定するための検査/DPIといったものである。
この例においては、SD-WAN CPEがアプリケーションID(App ID)を実行した場合に、SD-WAN CPEは、アプリケーションIDをクラウドベースのセキュリティサービスに通信して、アプリケーション識別を再び実行する必要がないようにする。同様に、クラウドセキュリティ機能がアプリケーション層ゲートウェイ(Application Layer Gateway、ALG)機能を実行した場合には、予測フローをSD-WAN CPEに対して通信することができる。
かくして、セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するための開示される技法を使用して、著しい性能改善が提供される。それは、また、クラウドセキュリティサービスを実行するための計算コストの低減およびSD-WANデバイス/要素のより良いスケーラビリティを促進することができる(例えば、これによって、より低コストの分岐(branch)SD-WANデバイス/要素ソリューションも可能になる)。
従って、以下にさらに説明されるように、セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するための種々の技術が開示される。
加えて、開示される技法は、以下でさらに説明されるように、これらのネットワーキングおよびセキュリティ機能にわたり、各フローに関連するメタデータ情報(例えば、App ID、User ID、Device ID、Content ID、及び/又は、フローに関連する他のメタデータ)の一貫性を提供する、ユニークで、かつ、統合されたセキュリティソリューションも、また、促進する。
セキュリティサービスのためのネットワーク機能とセキュリティ機能について一貫性のあるモニタリングおよび分析を提供するための技術の概要
トラフィックエンジニアリングによって、ポリシが、所定の種類のトラフィックをホワイトリストに掲載し(listed)、かつ、ブランチやモバイルデバイス(例えば、NetflixやYouTube(登録商標)など所定のタイプのトラフィックをホワイトリストに掲載するためといった、分割トンネル構成)から抜け出ることを許可できる、企業ネットワークでは、ホワイトリストに掲載されたトラフィックがクラウドセキュリティ機能をバイパスするため、セキュリティモニタリングが損なわれ得る。企業は、しばしば、ネットワーク/セキュリティポリシを設定し、アプリケーションのサブセットを抜けることができる。、例えば、SD-WANトラフィックフォワーディングポリシを使用して実行できる、インターネットへの直接的なブランチである。
結果として、そうしたアプリケーションのフローについてセキュリティコンテキストは、ネットワーク/セキュリティ・ロギングデータ(例えば、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から市販されているCortexTMデータレイク(data lake)、または、別の市販されているネットワーク/セキュリティ・ロギングデータソリューションが、開示される技法を実装するために同様に使用され得る)には存在しない。なぜなら、そうしたフローは、クラウドベースのセキュリティサービスをバイパスし、そして、例えば、インターネットへ直接的にブランチを抜けるようにルーティングされるからである。この結果生じるそうしたフローにおける視認性(visibility)の欠如は、企業のセキュリティポスチュア(security posture)にギャップを生じさせ得る。同様の問題は、以下のシナリオにおいて発生し得る。(1)企業サイト間を(SD-WANファブリック上で)直接的に流れるフロー、および、(2)エンドポイントデバイスのためのVPNクライアント上の分割トンネル構成であり、フローがエンドポイントデバイスからインターネットへ抜けることができるもの。両方のシナリオにおいて、フローは、セキュリティサービスにおけるセキュリティ監視をバイパスし、これは、そうしたネットワーク/セキュリティポリシ設定の結果として、ネットワーク/セキュリティ・ロギングデータが存在しない、そうしたアプリケーションのフローにおけるセキュリティコンテキストに係るこの技術的問題を引き起こす。
従って、セキュリティサービスのためのネットワーク機能とセキュリティ機能について一貫性のあるモニタリングおよび分析を提供するための種々の技術が開示される。
いくつかの実施形態において、セキュリティサービスのためのネットワーク機能とセキュリティ機能について一貫性のあるモニタリングおよび分析を提供するためのシステム/プロセス/コンピュータプログラム製品は、ソフトウェア定義のワイドエリアネットワーク装置でフローを受信すること、フローを検査して、フローが分割トンネルに関連するか否かを判定すること、および、セキュリティサービスに報告するためにフローに関連するセキュリティ情報を収集するために、SD-WANデバイスでフローを監視すること、を含む。
いくつかの実施形態において、セキュリティサービスのためのネットワーク機能とセキュリティ機能について一貫性のあるモニタリングおよび分析を提供するためのシステム/プロセス/コンピュータプログラム製品は、ソフトウェア定義のワイドエリアネットワーク装置でフローを受信すること、フローが分割トンネルに関連するか否かを決定するためにフローを検査すること、および、SD-WANデバイスからセキュリティサービスへのフローをミラーリングすること、を含む。ここで、セキュリティサービスは、SD-WANデバイスからミラーリングされたフローを監視し、報告のためにフローに関連するセキュリティ情報を収集する。
例えば、このブラインドスポットは、ブランチSD-WAN及び/又はエンドポイントデバイス上のVPNクライアント(例えば、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から入手可能なGlobalProtectクライアントといった市販のVPNクライアント、または、開示された技法を実装するために同様に使用され得る別の市販のVPNクライアントソリューション)に、フローに関するセキュリティ情報(例えば、クラウドセキュリティ機能自体によって収集される情報と同等であり/一貫性のあるセキュリティ情報を含む)を収集かつエクスポートさせることによって、修復され得る。同様な技法は、サイトツーサイト(site to site)トンネルにわたり通過し、それによってクラウドセキュリティ機能をバイパスしている、サイトツーサイト企業トラフィックに対して適用され得る。
例えば、開示される技法は、セキュリティコンテキストを伴うフローデータを収集し、かつ、クラウドベースのセキュリティサービスへ送付するように、SD-WANデバイス/エレメントを構成することを含み得る(例えば、Prisma Accessを介して提供されるといった、クラウドベースのセキュリティサービス、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から入手可能なものであり、または、開示された技法を実装するために同様に使用され得る別の市販のクラウドベースのセキュリティサービスであり、そして、クラウドベースのセキュリティサービスは、プライベートクラウド、1つ以上のパブリッククラウドサービスプロバイダ、及び/又は、それらの任意の組み合わせを使用して提供され得る)。
別の実施例として、開示される技法は、選択されたアプリケーション(例えば、App ID)に関連するトラフィックフローをクラウドベースのセキュリティサービスへミラーリング(mirror)するようにSD-WANデバイス/エレメントを構成することを含み得る。そうして、セキュリティコンテキストがそれらのフローにおいて集められ得る(例えば、SD-WANデバイス/エレメントは、IPfix/Netflowを通じて、または、以下にさらに説明されるような、他のセキュア通信メカニズムを使用して、フローデータをエクスポートすることができる)。
これらの例において、クラウドベースのセキュリティサービスに関連するデータインジェスト(ingestion)層および処理層は、SD-WANデバイス/エレメントおよびクラウドベースのセキュリティサービスからのデータをマージして、クラウドベースのセキュリティサービスソリューションのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供することができる。
セキュリティサービスのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供するための、これらの開示される技術を使用して、企業顧客は、ブランチにおける別のデバイスおよびエンドポイントデバイス(例えば、ラップトップまたはスマートフォンといった、モバイルデバイス)上のサービスを展開、管理、および、監視する必要がない。例えば、SD-WANデバイスまたはVPNクライアントは、データプレーン内に存在し、かつ、分割トンネル機能(function of split tunneling)を実行する。かくして、SD-WANデバイスまたはVPNクライアントは、どのフローがクラウド、インターネット、または、別の企業サイトに対して送信されているかを判断することができ、それによって、クラウドセキュリティサービスをバイパスすることができる。そして、従って、SD-WANデバイスまたはVPNクライアントは、クラウドベースのセキュリティサービスソリューションのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を促進するために、これらの例示的な異なるパスにわたりルーティングされたトラフィックのデータを(例えば、様々なレベルの粒度(granularity)で)収集するように、インテリジェントに設定され得る。
かくして、開示される技法は、また、企業ネットワーク内でトラフィックがどのように流れるかにかかわらず、一貫性のあるセキュリティコンテキストおよびモニタリングを提供するユニークで、かつ、統合されたセキュリティソリューションも促進する。
従って、以下で、また、さらに説明されるように、セキュリティサービスソリューションのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供するための種々の技術が開示される。
例示的なSD-WANアーキテクチャおよびセキュリティサービスを含むシステム環境
図1A−図1Bは、いくつかの実施形態に従った、例示的なSD-WANアーキテクチャおよびセキュリティサービスを含むシステム環境図である。これらの例示的なシステム図は、一般的に、セキュリティサービス(例えば、クラウドベースのセキュリティサービス)と通信するSD-WAN接続を有するブランチオフィスおよび本社サイトを安全にする(securing)ためのセキュリティサービスを示している。
組織が地理的に異なる場所で成長するにつれて、ネットワークを選択することは、コスト、パフォーマンス、およびセキュリティの微妙なバランスを取る行為になる。ソフトウェア定義WAN(SD-WAN)は、ネットワークハードウェア(データプレーン)をその制御メカニズム(制御プレーン)から分離することにより、WANの管理と運用を簡素化する。SD-WAN技術により、企業は、低コストのインターネットアクセスを使用して高性能なWANを構築することができる。SD-WANの採用に伴い、組織は、ますますインターネットに直接的に接続するようになり、リモートネットワークおよびモバイルユーザーを保護するためのセキュリティの課題をもたらしている。加えて、サービスとしてのソフトウェア(サース)(Software as a Service、SaaS)アプリケーションの展開が著しく増加し、多くの組織がそうしたクラウドベースのサース・アプリケーションに直接的に接続し、さらなるセキュリティの課題をもたらしている。SD-WAN技術の採用は、コスト削減に多くの利点をもたらし、そして、組織を機動的かつ最適化することを可能にする。しかしながら、上記と同様に、それは、また、ブランチオフィスおよびユーザをサイバー攻撃および他の技術的なセキュリティ上の課題の対象にもしている。
SD-WANセキュリティは、一般的に、ネットワークと同じようにフレキシブルであることが望ましいが、以下に説明されるように、図1Aおよび図1Bに示されるような、様々な企業ネットワーク環境において進化しているSD-WANネットワークに対して従来のセキュリティアプローチを適合させることも、また、技術上の課題である。従来のキャンパスネットワーク設計では、ネットワークセキュリティ・アプライアンス(appliances)の完全なスタックがインターネットの境界線(perimeter)に存在しており、これは、全てのトラフィックが、インターネットの境界線でネットワークセキュリティ・アプライアンスのそうした完全なスタックを通過するように、コアネットワークを切り抜ける場合に真である。しかしながら、SD-WANは、SD-WANがクラウド/サース・アプリケーションを統合するように構成されている場合のように、このネットワークアーキテクチャを常に使用するわけではない。
従来のアプローチに対する代替案は、ネットワークセキュリティ・アプライアンスをブランチオフィスに展開することである。しかしならが、この従来のアプローチは、セキュリティ装置/要素をブランチオフィスにより近づけるので、展開を複雑にする。
SD-WAN技術は、一般的にソフトウェア定義ネットワーキング(SDN)の原理を使用し、そして、制御プレーンとデータプレーンを分離する。この原則に基づいて、SD-WANの展開は、一般的に、以下のコンポーネントを含む。(1)WANトポロジを集中設定し、そして、トラフィックパス規則を定義するための使用を管理するコントローラ、および、(2)物理的または仮想的に、全てのサイトに常駐し、そして、SD-WANファブリックの接続点および終端点として機能する、SD-WANエッジデバイス。
一つの例示的なSD-WANタイプ1展開(例えば、ブランチおよび本社展開)では、各ブランチサイトにおいて、組織は、1つ以上のSD-WANエッジデバイスを展開し、そして、SD-WANファブリックまたはSD-WANオーバーレイを形成するようにそれらを接続する。管理者(administrator)は、クラウドまたは組織の構内で、これらのエッジデバイスを管理および設定し、かつ、各サイトでトラフィックフォワーディングポリシ(traffic forwarding policy)を定義するためにSD-WANコントローラを使用する。
一つの例示的な展開(例えば、ブランチ、本社、地域データセンタの展開)について図1Aを参照すると、IPSecトンネルが、各データセンタにおけるSD-WANエッジデバイス102A、102B、および102Cそれぞれと(例えば、各ブランチおよび本社サイトにおけるSD-WANエッジデバイス間のIPSecトンネルを含む)、セキュリティサービス120(例えば、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から市販されている、Prisma Accessを介して提供されるといった、クラウドベースのセキュリティサービス)との間に設定されている。この例示的なシステム図は、110に示されるように、1つのWANリンク(タイプ1)で各ブランチサイトからトラフィックのセキュリティを確保するための一つの例示的な展開である。SD-WANファブリック110およびセキュリティサービス120は、それぞれインターネット140と通信する。セキュリティサービス120は、データストア130(例えば、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から市販されているCortexTMデータレイクといった、ネットワーク/セキュリティ・ロギングデータのためにデータストア)と通信する。
具体的に、このアーキテクチャは、各ブランチおよび本社サイトのSD-WANデバイスと共に、地域データセンタのSD-WANデバイスを追加する。これらの地域データセンタは、公共の、または、プライベートのクラウド環境であってよい。地域データセンタでのSD-WANデバイスは、その地域内でより小さなサイトについてネットワークトラフィックを集約する。例えば、インターネットへの接続の帯域幅が小さい複数の地域ブランチサイトが存在する場合、組織は、この展開を利用できる。
別の例示的な展開(例えば、ブランチ、本社、地域データセンタ)について図1Bを参照すると、IPSecトンネルが、各データセンタにおけるSD-WANエッジデバイス1と(例えば、SD-WANデバイス102Dおよび102Eを含む)、セキュリティサービス120(例えば、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から市販されている、Prisma Accessを介して提供されるといった、クラウドベースのセキュリティサービス)との間に設定されている。この例示的なシステム図は、地域ハブ(Region Hub)/POPアーキテクチャを使用したSD-WAN展開のセキュリティを確保するための例示的な展開ですある。示されるように、IPSecトンネルは、地域データセンタまたはハブ106Aおよび106Bそれぞれと、セキュリティサービス120との間に設定されている。
今日の一般的なネットワークアーキテクチャは、企業の本社とブランチオフィスとの間のトラフィックを、MPLSリンクまたは専用の暗号化されたVPNリンクのいずれかでトンネルすることであつ。クラウドベースのサービス(例えば、Microsoft Office 365(R)、Salesforce(R)といった、サース・ソリューションを含む)が増え、そして、インターネット上で利用できる情報が増えるにつれて、トラフィックを、最終的な宛先にルーティングする前に集約ポイント(aggregation point)に戻すことが、一般的に意味が薄れている。局所的にブランチからトラフィックを遮断することは(例えば、オンプレミス(on-premises)装置とは対照的に)、一般的に、トラフィックがその宛先により速く到達し、かつ、帯域幅の利用をより効率的にすることを可能にする。しかしながら、ブランチ内のデバイスとインターネットとの間のトラフィックを直接的に許容することは、また、上述したのと同様に、新しい技術的なセキュリティ上の課題をもたらす。
具体的には、これら及び他の例示的なSD-WANアーキテクチャおよびセキュリティサービスにおいて、フローは、セキュリティサービス120を通過するか、またはセキュリティサービス120をバイパスするように、そして、セキュリティサービス120を通過しないで地域データセンタまたはハブもしくはインターネットにルーティングされるように構成され得る。かくして、これら及び他の例示的なSD-WANアーキテクチャおよびセキュリティサービスは、セキュリティサービスを通過するトラフィックが、SD-WAN出口(egress)装置/要素、並びに、セキュリティサービスの両方において、非効率的に検査/監視されるので(例えば、DPIまたは他の監視/検査アクティビティ)、上述の技術的セキュリティ問題を引き起こす。加えて、これら及び他の例示的なSD-WANアーキテクチャおよびセキュリティサービスは、セキュリティサービスをバイパスするトラフィックが一貫性をもって検査/監視されず、そして、ネットワークに対するキュリティ洞察およびセキュリティサービスのためのネットワーク機能について分析が収集されないため、上述の技術的セキュリティ問題を引き起こす。
かくして、開示される技法は、図2に関して以下でさらに説明されるように、これらの例示的なSD-WANアーキテクチャおよびセキュリティサービスにおいて実行され得る。
図2は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するための例示的なコンポーネントを示すシステム図である。
図2を参照すると、ネットワークゲートウェイの背後で/保護されているデバイスが202で示されており、オンプレミスネットワークゲートウェイが204A、204B、および204Cで示されており(例えば、Palo Alto Networks社から市販されているネットワークゲートウェイ・ファイアウォールソリューションといったセキュリティプラットフォームであり、または、他の市販のセキュリティプラットフォームソリューションが、ここにおいて開示されるように、ネットワークゲートウェイを実装するために同様に構成され得る)そして、クラウドデバイスが206A、206B、および206Cで示されている(例えば、Palo Alto Networks社から市販されているSD-WANソリューションといった、SD-WANデバイス/要素、または、他の市販のSD-WANソリューションが、開示される技術を実施するために同様に構成され得る)。
具体的に、図2は、セキュリティサービスのためのネットワーク機能とセキュリティ機能との間でフローメタデータ交換を通信するための一つの例示的なメカニズムを示している。示されるように、パケットは、この例におけるAPP ID情報といった、追加のフローメタデータ情報と共に埋め込まれている。示されるように、パケット208は、IPヘッダ(IP header)210、UDPヘッダ(UDP header)212、APP IDカプセル化(APP ID Encapsulation)214、内部IPヘッダ(Inner IP Header)216、および、内部UDP/TCPヘッダ(Inner UDP/TCP Header)218を含んでいる。フローに関連する追加的なタイプのメタデータ情報(例えば、ユーザID(User ID)、デバイスID(Device ID)、コンテンツID(Content ID)、及び/又は、フローに関連する他のメタデータ)が、同様に、カプセル化され、そして、パケットヘッダに含まれ得る。
例えば、各フローに関連するそうしたメタデータ情報(例えば、App ID、User ID、Device ID、Content ID、及び/又は、フローに関連する他のメタデータ)を決定するプロセスは、開示される技術を使用して、コンピューティングデバイス/要素/場所のうちの1つで(例えば、図1Aおよび1Bに示されるようなセキュリティサービス120といった、クラウドベースのセキュリティサービスで)実行され得る。各フローに関連する決定されたメタデータ情報は、次いで、SD-WANデバイス(例えば、図1Aおよび1Bに示されるようなSD-WANデバイス102A、102B、または102C)と通信され得る(例えば、安全かつ効率的に通信される)。一つの例示的な実装において、そうした各フローに関連する決定されたメタデータ情報は、フロー上で帯域内(in-band)で通信されるか(例えば、図2に示されるように、上述のようなカプセル化されたパケットヘッダ情報を使用して)、または、帯域外(out of band)で通信される。結果として、SD-WANデバイス/コンピューティング要素は、次いで、所与のフローに関連するメタデータ情報を使用して、セキュリティポリシの実施及び/又は他のアクションを実行することができ、SD-WANデバイス/コンピューティング要素においてより効率的であり、かつ、CPUおよびメモリリソースの使用を削減する、そうしたメタデータ情報(例えば、App ID、User ID、Device ID、Content ID、及び/又は、フローに関連する他のメタデータ)を独立して決定するために、検査(例えば、ディープパケットインスペクション(Deep Packet Inspection、DPI))をローカルに実行する必要は無い。
SD-WAN機能がSD-WAN顧客施設機器(CPE)要素/デバイスによって提供され、かつ、セキュリティ機能がクラウドベースのセキュリティサービスによってクラウドにおいて提供される、一つの例示的な企業ネットワークにおいては、SD-WAN CPEを通過するフロー上で決定され/抽出されたメタデータおよびクラウドベースのセキュリティサービスが、次いで、SD-WAN CPEとクラウドベースのセキュリティサービスとの間で交換され、機能性を充実させ、かつ/あるいは、高価な機能計算の実行を回避することができる。App ID、User ID、Device ID、Content ID、及び/又は、SD-WANおよびクラウドベースのセキュリティサービスそれぞれにおいて、1回以上実施されるフローに関連する他のメタデータを決定するための検査/DPIといったものである。
この例において、SD-WAN CPEがアプリケーションID(App ID)を実行した場合、SD-WAN CPEは、アプリケーションIDをクラウドベースのセキュリティサービスに通信して、クラウドセキュリティ機能が、再度アプリケーション識別(identification)を実行する必要がないようにする。同様に、クラウドセキュリティ機能が、アプリケーション層ゲートウェイ(Application Layer Gateway、ALG)機能を実行した場合には、予測フローをSD-WAN CPEに通信することができる。
様々な他のパケットヘッダは(例えば、User ID、Device ID、Content ID、及び/又は、他のメタフロー情報、をカプセル化するため)、同様に実装することができ、種々の開示される実施形態を考慮すると今や当業者にとっては明らかなように、セキュリティサービスのためのネットワーク機能とセキュリティ機能との間でフローメタデータ交換を提供するための開示される技術を実行するために、セキュリティサービスのためのネットワーク機能とセキュリティ機能との間で種々の他のフローメタデータ交換を促進する。
かくして、セキュリティサービスのためのネットワーク機能とセキュリティ機能との間でフローメタデータ交換を提供するための開示される技法を使用して、著しい性能改善が提供される。これは、クラウドセキュリティサービスを実行するための計算コストの低減、および、SD-WANデバイス/要素のより良いスケーラビリティを促進するすることができる(例えば、それによって、より低コストのブランチSD-WANデバイス/要素ソリューションを可能にする)。
加えて、開示される技術は、また、以下でさらに説明されるように、これらのネットワーキングおよびセキュリティ機能にわたり、各フローに関連するメタデータ情報(例えば、App ID、User ID、Device ID、Content ID、及び/又は、フローに関連する他のメタデータ)の一貫性を提供する、ユニークで統合されたセキュリティソリューションを促進する。
図3は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察(insight)のための一貫性のあるモニタリング(monitoring)および分析を提供するための例示的なコンポーネントを示すシステム図である。
図3を参照すると、YouTube(登録商標)サービス340のためのネットワークトラフィックが、ホワイトリスト(whitelisted)されており、そして、302Aで示されるようなSD-WANデバイス/エレメントからのブランチ/ヘッドクォーターから、インターネットへルーティングされるように、そして、312aに示されるようにセキュリティサービス320をバイパスするように構成されている。トラフィックエンジニアリングにより、所定のタイプのトラフィックが、ホワイトリストされ、かつ、ブランチまたはエンドポイントデバイスを抜けること(例えば、ホワイトリストされるNetflixやYouTube(登録商標)といった、所定のタイプのトラフィックのような、分割トンネル構成)を許されるように、ポリシが許可することができる、企業ネットワークにおいては、ホワイトリストされたトラフィックがクラウドセキュリティ機能をバイパスするので、セキュリティ監視が損なわれ得る。企業は、典型的に、アプリケーションのサブセットが、例えば、ブランチを直接的にインターネットへ抜けるのを許可し、それは、SD-WANトラフィック転送ポリシを使用して実行され得る。
結果として、そうしたアプリケーションのフローにおけるセキュリティコンテキストは、ネットワーク/セキュリティ・ロギングデータ(logging data)(例えば、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から市販されているCortexTMデータレイク)内に存在しない。そうしたフローは、クラウドベースのセキュリティサービスをバイパスし、そして、例えば、ブランチを直接的にインターネットへ抜けるように、ルーティングされるからである。
この結果として生じる、そうしたフローにおける視認性の欠如は、企業のセキュリティポスチュアにギャップを生じさせ得る。同様の問題は、以下のシナリオにおいて発生し得る。(1)企業サイト間を(SD-WANファブリック上で)直接的に流れるフロー、および、(2)エンドポイントデバイスのためのVPNクライアント上の分割トンネル構成であり、フローがエンドポイントデバイスから直接的にインターネットへ抜けることができるもの。
この結果として生じる、そうしたフローにおける視認性の欠如は、企業のセキュリティポスチュアにギャップを生じさせ得る。同様の問題は、以下のシナリオにおいて発生し得る。(1)企業サイト間を(SD-WANファブリック上で)直接的に流れるフロー、および、(2)エンドポイントデバイスのためのVPNクライアント上の分割トンネル構成であり、フローがエンドポイントデバイスから直接的にインターネットへ抜けることができるもの。
例えば、このブラインドスポットは、302Aに示されるようなブランチCPE SD-WAN(例えば、及び/又は、VPNクライアント)に、フロー上のセキュリティ情報(クラウドセキュリティ機能自体によって収集される情報と同等のもの)を収集させ、かつ、エクスポートさせ、そして、フロー上のそうしたセキュリティ情報をセキュリティサービス320へ通信させることによって、矯正され得る(例えば、上記と同様に312aに示されるような、セキュアな通信接続を使用して、セキュリティサービスをバイパスする、分割トンネルトラフィックとして設定されたフローについて312nに示されるようなもの、帯域外の通信メカニズム、または、セキュリティサービスとの他の周期的な通信接続、もしくは、他の同様なセキュアな通信メカニズムといったものが、開示される技法を実行するために同様に実施され得る。)。それは、次いで、ロギングのためにセキュリティ情報をデータストア330(例えば、カリフォルニア州サンタクララに本社を置くPalo Alto Networks社から市販されているCortexTMデータレイクを使用するといった、ネットワーク/セキュリティ・ロギングデータストアであり、そうした企業ネットワーク活動のためのセキュリティサービスについてレポートし、かつ、分析するために使用され得るもの)に保管し得る。
同様な技法は、サイトツーサイトトンネルにわたり通信される、サイトツーサイト企業トラフィックに対して適用され得る。企業のためのeメールサーバ308を含むデータセンタ306までSD-WANファブリック304を通過するトラフィックのような314aおよび316aに示される、クラウドセキュリティ機能スキップするものである。例えば、開示される技術は、セキュリティコンテキストを伴うフローデータを収集し、かつ、クラウドベースのセキュリティサービスへ送付するようにSD-WANデバイス/エレメントを構成することを含み得る。314nで示されるように、(例えば、セキュアな通信接続を使用して、帯域外の通信メカニズム、または、セキュリティサービスとの他の周期的な通信接続、もしくは、他の同様なセキュアな通信メカニズムといったものが、開示される技法を実行するために同様に実施され得る)といったものである。
別の例として、開示される技術は、318mで示されるような、クラウドベースのセキュリティサービスに対して選択されたアプリケーションに属しているトラフィックフローをミラーリングするようにSD-WANデバイス/エレメントを構成することを含み得る。そうして、セキュリティコンテキストは、これらのフロー上で同様に収集され得る(例えば、そうでなければセキュリティサービスを通過するであろう、新たなフローと同様なセキュリティサービスへのセキュアな通信接続を確立すること、または、他の同様なセキュア通信メカニズムが、開示される技法を実行するために、同様に実施され得る)。
対照的に、セールスフォース(Salesforce)サービス350といった、所定のフローは、セキュリティサービス320を通じてSD-WANデバイス302Aおよび302Bからルーティングされ、そして、このように、そうしたフローが一貫性をもってモニタリングされ、かつ、そのフローデータがデータストア330にログされることを確実にするためには、それ以上のアクションが必要とされないだろう。
これらの例において、クラウドベースのセキュリティサービスに関連するデータインジェスト層および処理層は、SD-WANデバイス/エレメントおよびクラウドベースのセキュリティサービスからのデータをマージして、クラウドベースのセキュリティサービスソリューションのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供することができる。
セキュリティサービスのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供するための、これらの開示される技術を使用して、企業顧客は、ブランチにおける別のデバイスおよびエンドポイントデバイス(例えば、ラップトップまたはスマートフォンといった、モバイルデバイス)上のサービスを展開、管理、および、監視する必要がない。例えば、SD-WANデバイスまたはVPNクライアントは、データプレーン内に存在し、かつ、分割トンネル機能(function of split tunneling)を実行する。かくして、SD-WANデバイスまたはVPNクライアントは、どのフローがクラウド、インターネット、または、別の企業サイトに対して送信されているかを判断することができ、それによって、クラウドセキュリティサービスをバイパスすることができる。そして、従って、SD-WANデバイスまたはVPNクライアントは、クラウドベースのセキュリティサービスソリューションのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を促進するために、これらの例示的な異なるパスにわたりルーティングされたトラフィックのデータを(例えば、様々なレベルの粒度(granularity)で)収集するように、インテリジェントに設定され得る。
かくして、開示される技法は、また、企業ネットワーク内でトラフィックがどのように流れるかにかかわらず、一貫性のあるセキュリティコンテキストおよびモニタリングを提供するユニークで、かつ、統合されたセキュリティソリューションも促進する。
ネットワークゲートウェイ204の一つの実施形態が、図4Aに示されている(例えば、図2の204A−204Cに示されているネットワークゲートウェイ、といったもの)。示される例は、様々な実施形態において、ネットワークゲートウェイがデータ・アプライアンスとして実装される場合に、ネットワークゲートウェイ204に含まれ得る物理的コンポーネントの表現である。具体的に、データ・アプライアンスは、高性能マルチコア中央処理装置402およびランダムアクセスメモリ404を含んでいる。データ・アプライアンスは、また、ストレージ410(1つ以上のハードディスクまたは固体記憶ユニット、といったもの)も含んでいる。様々な実施形態において、データ・アプライアンスは、(RAM404、ストレージ410、及び/又は、他の適切な場所にあるか否かにかかわらず)企業ネットワークのモニタリング、および、開示される技法の実装に使用される情報を保管する。そうした情報の例は、アプリケーション識別子、コンテンツ識別子、ユーザ識別子、要求されるURL、IPアドレスマッピング、ポリシ、および、他の設定情報、署名、ホスト名/URL分類情報、マルウェアプロファイル、および、機械学習モデルを含む。データ・アプライアンスは、また、1つ以上の任意的なハードウェアアクセラレータを含み得る。例えば、データ・アプライアンスは、暗号化および復号化動作を実行するように構成された暗号エンジン406、および、マッチングを実行し、ネットワークプロセッサとして動作し、かつ/あるいは、他のタスクを実行するように構成された1つ以上のフィールドプログラマブルゲートアレイ408を含み得る。
データ・アプライアンスによって実行されるものとしてここにおいて説明される機能性は、種々の方法で提供され/実施され得る。例えば、データ・アプライアンスは、専用のデバイスまたはデバイスのセットであってよい。データ・アプライアンスによって提供される機能性は、汎用コンピュータ、コンピュータサーバ、ゲートウェイ、及び/又は、ネットワーク/ルーティングデバイス上のソフトウェアとしても、統合され、または、実行され得る。いくつかの実施形態において、データ・アプライアンスによって提供されるものとして説明される少なくともいくつかのサービスが、代わりに(または、加えて)、クライアント装置上で実行するソフトウェアによってクライアント装置(例えば、ラップトップ、スマートフォン、等といった、エンドポイント装置)に対して提供される。
データ・アプライアンスがタスクを実行するものとして説明されるときはいつでも、単一のコンポーネント、コンポーネントのサブセット、または、データ・アプライアンスの全てのコンポーネントは、タスクを実行するために協働することができる。同様に、データ・アプライアンスのコンポーネントがタスクを実行するものとして説明されるときはいつでも、サブコンポーネントは、タスクを実行することができ、かつ/あるいは、コンポーネントは、他のコンポーネントと共にタスクを実行することができる。様々な実施形態において、データ・アプライアンスの一部は、1つ以上の第三者によって提供される。データ・アプライアンスに利用可能な計算リソースの量といった要因に応じて、データ・アプライアンスの様々な論理コンポーネント及び/又は機能は省略されてよく、そして、ここにおいて説明される技術が、それに応じて適合される。同様に、追加的な論理コンポーネント/機能が、該当する場合には、データ・アプライアンスの実施形態に含まれ得る。種々の実施形態におけるデータ・アプライアンスに含まれるコンポーネントの一つの例は、アプリケーションを識別するように(例えば、パケットフロー分析に基づいてアプリケーションを識別するための様々なアプリケーション・シグネチャを使用して)構成されたアプリケーション識別エンジンである。例えば、アプリケーション識別エンジンは、セッションが関与するトラフィックが何のタイプか決定することができる。Webブラウジング−ソーシャルネットワーキング、Webブラウジング−ニュース、SSH、等といったものである。
開示されるシステム処理アーキテクチャは、異なる展開シナリオにおいて異なるタイプのクラウドと共に使用され得る。(1)パブリッククラウド、(2)プライベートクラウド・オンプレミス、および、(3)ハイエンド物理ファイアウォール内、といったものである。プライベートクラウドを実行するために、いくつかの処理能力が割り当てられ得る(例えば、Palo Alto Networks社 PA-5200シリーズのファイアウォール・アプライアンスにおける管理プレーン(MP)を使用する)。
図4Bは、データ・アプライアンスの一つの実施形態の論理コンポーネントの機能図である。示される例は、様々な実施形態(例えば、図2の204A−204Cで示されるネットワークゲートウェイといったもの)においてネットワークゲートウェイ204に含まれ得る論理コンポーネントの表現である。別段の規定がない限り、ネットワークゲートウェイ204の種々の論理コンポーネントは、一般的に、1つ以上のスクリプト(例えば、必要に応じて、Java、python、等で書かれたもの)のセットとして含む、様々な方法で実装可能である。
示されるように、ネットワークゲートウェイ204は、ファイアウォールを有し、そして、管理プレーン432およびデータプレーン434を含んでいる。管理プレーンは、ポリシの設定およびログデータの閲覧のためのユーザーインターフェイスを提供することによるといった、ユーザーインタラクションの管理に責任を負う。データプレーンは、パケット処理およびセッション処理を実行することによるといった、データ管理に責任を負う。
ネットワークプロセッサ436は、クライアント装置204といった、クライアント装置からパケットを受信し、そして、それらを処理のためにデータプレーン434に提供するように構成されている。フローモジュール438は、新しいセッションの一部としてパケットを識別するときはいつでも、新しいセッションフローを生成する。後続のパケットは、フロールックアップに基づいて、そのセッションに属しているものとして識別される。該当する場合、SSL復号化エンジン440によってSSL復号化が適用される。さもなければ、SSL復号化エンジン440による処理は省略される。復号化エンジン440は、ネットワークゲートウェイ204がSSL/TLSおよびSSHの暗号化されたトラフィックを検査および制御するのを助け、そして、従って、そうでなければ暗号化されたトラフィックに隠されたままであり得る脅威を停止するのを助けることができる。復号化エンジン440は、また、重要なコンテンツが企業/セキュアな顧客のネットワークから離れるのを防止するのを助けることもできる。復号化は、URLカテゴリ、トラフィックソース、トラフィック宛先、ユーザ、ユーザグループ、およびポート、などのパラメータに基づいて選択的に制御され得る(例えば、イネーブルされ、または、ディセーブルされる)。復号化ポリシ(例えば、復号化するセッションを指定する)に加えて、復号化プロファイルは、ポリシによって制御されるセッションに対する様々なオプションを制御するように割り当てられ得る。例えば、所定の暗号スイート(cipher suites)および暗号化プロトコルバージョンの使用が要求され得る。
アプリケーション識別(APP-ID)エンジン442は、セッションが関与するトラフィックが何のタイプか決定するように構成されている。一つの例として、アプリケーション識別エンジン442は、受信データ内のGETリクエストを認識し、そして、セッションがHTTPデコーダを要求していると結論付けることができる。いくつかの場合、例えば、Webブラウジングセッションにおいて、識別されたアプリケーションは変更可能であり、そして、そうした変更はネットワークゲートウェイ204によって認められる(noted)。例えば、ユーザは、最初に、企業のWiki(訪問したURLに基づいて「Webブラウジング−プロダクティビティ(“Web Browsing-Productivity”)」として分類されるもの)を閲覧し、そして、次いで、続けて、ソーシャルネットワーキングサイト(訪問したURLに基づいて「Webブラウジング−ソーシャルネットワーキング(“Web Browsing-Social Networking”)」として分類されるもの)を閲覧することができる。異なるタイプのプロトコルは、対応するデコーダを有している。
アプリケーション識別エンジン442によって行われた決定に基づいて、パケットは、脅威エンジン444によって、パケット(順番を外れて受信され得るもの)を正しい順番に組み立て、トークン化を実行し、かつ、情報を抽出するように構成された適切なデコーダに送付される。脅威エンジン444は、また、パケットに何が起こるべきかを決定するために、署名マッチング(signature matching)も実行する。必要に応じて、SSL暗号化エンジン446は、復号化されたデータを再暗号化することができる。パケットは、伝達(transmission)のために(例えば、宛先へ)転送モジュール448を使用して転送される。
図4Bにも、また、示されるように、ポリシ452は、受信され、そして、管理プレーン432に保管される。ポリシは、ドメイン名、及び/又は、ホスト/サーバ名を使用して指定され得る1つ以上のルールを含むことができ、そして、ルールは、監視されるセッショントラフィックフローからの様々な抽出されたパラメータ/情報に基づいて、加入者/IPフローに対するセキュリティポリシ実施のためといった、1つ以上の署名または他のマッチング基準(criteria)または経験則(heuristics)を適用することができる。インターフェイス(I/F)通信器450は、管理通信のために(例えば、(REST)API、メッセージ、または、ネットワークプロトコル通信、もしくは、他の通信メカニズムを介して)提供される。
セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するための例示的なプロセス
図5は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能とセキュリティ機能との間のフローメタデータ交換を提供するためのプロセスを示すフローチャートである。
一つの実施形態において、プロセス500は、上述のシステムアーキテクチャ(例えば、図1A−図4Bに関して上述したようなもの)を使用して実行される。
このプロセスは、ソフトウェア定義ワイドエリアネットワーク(SD-WAN)デバイスからセキュリティサービスのネットワークゲートウェイにおいてフローが受信されると、502で開始する。例えば、セキュリティサービスは、上述のように、クラウドベースのセキュリティサービスとであり得る。
504では、フローに関連するメタ情報を決定するために、フローを検査することが実行される。例えば、フローは、セキュリティサービスのネットワークゲートウェイにおける新しいフローであると決定することができ、APP IDは、上述のように、ディープパケットインスペクションを使用して、新しいフローについて決定され得る。
506では、フローに関連するメタ情報をSD-WANデバイスへ通信する。例えば、App ID情報(例えば、ユーザID、デバイスID、コンテンツIDなど、フローに関連する検査/抽出された他のメタ情報、等)がカプセル化され、そして、上記と同様にパケットヘッダ内に含めることができる。SD-WANデバイスは、また、次いで、上記と同様に、フローに関連するメタ情報を使用して、ルーティングポリシまたはセキュリティポリシを実施することができる。
いくつかの実施形態において、SD-WANデバイスは、別のフローに関連するメタ情報をセキュリティサービスに通信する。
セキュリティサービスのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供するための例示的なプロセス
図6は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能およびセキュリティ機能についてセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供するためのプロセスを示すフローチャートである。
一つの実施形態において、プロセス600は、上述のシステムアーキテクチャ(例えば、図1A−図4Bに関して上述したようなもの)を使用して実行される。
本プロセスは、ソフトウェア定義ワイドエリアネットワーク(SD-WAN)デバイスでフローが受信されると、602で開始される。
604では、フローが分割トンネルに関連するか否かを決定するために、フロー検査することが実行される。例えば、SD-WANデバイスは、セキュリティポリシ(例えば、ホワイトリストに記載されたトラフィック/フローについて)を使用して分割トンネルを実装するように構成され得る。そして、フローが分割トンネルに関連する場合、フローは、次いで、上記と同様に、セキュリティポリシに基づいてセキュリティサービスをバイパスすることが許可され得る。
606において、フローは、セキュリティサービスに報告するため、フローに関連するセキュリティ情報を収集するために、SD-WANデバイスでモニタリングされる。例えば、フローに関連する収集されたセキュリティ情報は、上記と同様に、入口IPアドレス、出口IPアドレス、入口ポート番号、出口ポート番号、プロトコル、および、セッションデータ使用量と時間関連統計を含み得る。フローに関連する収集されたセキュリティ情報は、フローに関連するセッションが終了した後でセキュリティサービスに報告され、かつ/あるいは、上記と同様に、そうした情報は、また、セキュリティサービスに定期的に報告され得る。
いくつかの実施形態において、別のフローは、セキュリティサービスをバイパスするサイトツーサイトトンネルであり、そして、SD-WANデバイスは、上記と同様に、セキュリティサービスに報告するために、別のフローに関連するセキュリティ情報を収集する。
図7は、いくつかの実施形態に従った、セキュリティサービスのためにネットワーク機能およびセキュリティ機能のセキュリティ洞察のための一貫性のあるモニタリングおよび分析を提供するためのプロセスを示す別のフローチャートである。
一つの実施形態において、プロセス700は、上述のシステムアーキテクチャ(例えば、図1A−4図Bに関して上述したようなもの)を使用して実行される。
本プロセスは、ソフトウェア定義ワイドエリアネットワーク(SD-WAN)デバイスでフローが受信されると、702で開始される。
704では、フローが分割トンネルに関連するか否かを決定するために、フローを検査することが実行される。例えば、SD-WANデバイスは、セキュリティポリシ(例えば、ホワイトリストに記載されたトラフィック/フローについて)を使用して分割トンネルを実装するように構成され得る。そして、フローが分割トンネルに関連する場合、フローは、次いで、上記と同様に、セキュリティポリシに基づいてセキュリティサービスをバイパスすることが許可され得る。
706において、フローは、SD-WANデバイスからセキュリティサービスにミラーリングされ、そこで、セキュリティサービスは、報告するため、フローに関連するセキュリティ情報を収集するために、SD-WANデバイスからミラーリングされたフローをモニタリングする。例えば、セキュリティサービスは、フローに関連する種々のセキュリティ情報を収集するために、SD-WANデバイスからミラーリングされたフローをモニタリングすることができ、これには、上記と同様に、入口IPアドレス、出口IPアドレス、入口ポート番号、出口ポート番号、プロトコル、および、セッションデータ使用量と時間関連統計が含まれ得る。
前述の実施形態は、理解を明確にするためにある程度詳細に説明されてきたが、本発明は、提供される詳細に限定されるものではない。本発明を実施するための多くの代替的な方法が存在している。開示される実施形態は、例示的なものであり、限定的なものではない。
Claims (27)
- プロセッサであり、
ソフトウェア定義ワイドエリアネットワーク(SD-WAN)デバイスからセキュリティサービスのネットワークゲートウェイにおいてフローを受信し、前記フローは、セッションに関連するネットワークパケットのセットを含み、
前記フローに関連するメタ情報を決定し、かつ、抽出するために、前記フローを検査し、
前記フローに関連するメタ情報は、前記フローに関連するアプリケーション識別子、前記フローに関連するユーザ識別子、前記フローに関連するデバイス識別子、前記フローに関連するコンテンツ識別子、および、前記フローに関連する他のメタデータ、のうちの1つ以上を含み、かつ、
前記フローに関連する前記抽出されたメタ情報を前記SD-WANデバイスへ通信し、
前記SD-WANは、前記フローに関連する前記メタデータを獲得するために、ディープパケットインスペクションを実行する前記SD-WANデバイスの計算リソースを使用する必要なく、ポリシに基づいて前記フローに関連する前記メタデータを利用し、
前記ポリシは、ルーティングポリシまたはセキュリティポリシを含み、かつ、
前記SD-WANデバイスは、前記フローに関連する前記メタ情報を使用して、前記ルーティングポリシまたは前記セキュリティポリシを実行する、
ように構成されている、プロセッサと、
前記プロセッサに結合されており、かつ、前記プロセッサに命令を提供するように構成されている、メモリと、
を含む、システム。 - 前記フローは、前記セキュリティサービスの前記ネットワークゲートウェイにおいて新しいフローであると決定され、かつ、
前記メタ情報は、前記フローに関連するアプリケーション識別子を含む、
請求項1に記載のシステム。 - 前記メタ情報は、ディープパケット検査を使用して決定された前記フローに関連するアプリケーション識別子を含む、
請求項1に記載のシステム。 - 前記メタ情報は、前記フローに関連するユーザ識別子を含む、
請求項1に記載のシステム。 - 前記メタ情報は、前記フローに関連するデバイス識別子を含む、
請求項1に記載のシステム。 - 前記セキュリティサービスは、クラウドベースのセキュリティサービスである、
請求項1に記載のシステム。 - 前記セキュリティサービスは、パブリッククラウドサービスプロバイダを使用して提供される、クラウドベースのセキュリティサービスである、
請求項1に記載のシステム。 - 前記セキュリティサービスは、複数のパブリッククラウドサービスプロバイダを使用して提供される、クラウドベースのセキュリティサービスである、
請求項1に記載のシステム。 - 前記SD-WANデバイスは、別のフローに関連するメタ情報を前記セキュリティサービスへ通信する、
請求項1に記載のシステム。 - 方法であって、
ソフトウェア定義ワイドエリアネットワーク(SD-WAN)デバイスからセキュリティサービスのネットワークゲートウェイにおいてフローを受信するステップであり、前記フローは、セッションに関連するネットワークパケットのセットを含む、ステップと、
前記フローに関連するメタ情報を決定し、かつ、抽出するために、前記フローを検査するステップであり、
前記フローに関連するメタ情報は、前記フローに関連するアプリケーション識別子、前記フローに関連するユーザ識別子、前記フローに関連するデバイス識別子、前記フローに関連するコンテンツ識別子、および、前記フローに関連する他のメタデータ、のうちの1つ以上を含む、
ステップと、
前記フローに関連する前記抽出されたメタ情報を前記SD-WANデバイスへ通信するステップであり、
前記SD-WANは、前記フローに関連する前記メタデータを獲得するために、ディープパケットインスペクションを実行する前記SD-WANデバイスの計算リソースを使用する必要なく、ポリシに基づいて前記フローに関連する前記メタデータを利用し、
前記ポリシは、ルーティングポリシまたはセキュリティポリシを含み、かつ、
前記SD-WANデバイスは、前記フローに関連する前記メタ情報を使用して、前記ルーティングポリシまたは前記セキュリティポリシを実行する、
ステップと、
を含む、方法。 - 前記フローは、前記セキュリティサービスの前記ネットワークゲートウェイにおいて新しいフローであると決定され、かつ、
前記メタ情報は、前記フローに関連するアプリケーション識別子を含む、
請求項10に記載の方法。 - 前記メタ情報は、ディープパケット検査を使用して決定された前記フローに関連するアプリケーション識別子を含む、
請求項10に記載の方法。 - 前記メタ情報は、前記フローに関連するユーザ識別子を含む、
請求項10に記載の方法。 - 前記メタ情報は、前記フローに関連するデバイス識別子を含む、
請求項10に記載の方法。 - コンピュータプログラムであって、有形のコンピュータで読取り可能な記憶媒体に保管されている複数のコンピュータ命令を含み、
前記コンピュータによって前記複数のコンピュータ命令が実行されると、前記コンピュータに、
ソフトウェア定義ワイドエリアネットワーク(SD-WAN)デバイスからセキュリティサービスのネットワークゲートウェイにおいてフローを受信するステップであり、前記フローは、セッションに関連するネットワークパケットのセットを含む、ステップ、
前記フローに関連するメタ情報を決定し、かつ、抽出するために、前記フローを検査するステップであり、
前記フローに関連するメタ情報は、前記フローに関連するアプリケーション識別子、前記フローに関連するユーザ識別子、前記フローに関連するデバイス識別子、前記フローに関連するコンテンツ識別子、および、前記フローに関連する他のメタデータ、のうちの1つ以上を含む、
ステップ、および、
前記フローに関連する前記抽出されたメタ情報を前記SD-WANデバイスへ通信するステップであり、
前記SD-WANは、前記フローに関連する前記メタデータを獲得するために、ディープパケットインスペクションを実行する前記SD-WANデバイスの計算リソースを使用する必要なく、ポリシに基づいて前記フローに関連する前記メタデータを利用し、
前記ポリシは、ルーティングポリシまたはセキュリティポリシを含み、かつ、
前記SD-WANデバイスは、前記フローに関連する前記メタ情報を使用して、前記ルーティングポリシまたは前記セキュリティポリシを実行する、
ステップ、
を実施させる、
コンピュータプログラム。 - 前記フローは、前記セキュリティサービスの前記ネットワークゲートウェイにおおいて新しいフローであると決定され、かつ、
前記メタ情報は、前記フローに関連するアプリケーション識別子を含む、
請求項15記載のコンピュータプログラム。 - 前記メタ情報は、ディープパケット検査を使用して決定された前記フローに関連するアプリケーション識別子を含む、
請求項15に記載のコンピュータプログラム。 - 前記メタ情報は、前記フローに関連するユーザ識別子を含む、
請求項15に記載のコンピュータプログラム。 - 前記メタ情報は、前記フローに関連するデバイス識別子を含む、
請求項15に記載のコンピュータプログラム。 - 前記セキュリティサービスは、クラウドベースのセキュリティサービスである、
請求項15に記載のコンピュータプログラム。 - 前記セキュリティサービスは、パブリッククラウドサービスプロバイダを使用して提供される、クラウドベースのセキュリティサービスである、
請求項15に記載のコンピュータプログラム。 - 前記セキュリティサービスは、複数のパブリッククラウドサービスプロバイダを使用して提供される、クラウドベースのセキュリティサービスである、
請求項15に記載のコンピュータプログラム。 - 前記SD-WANデバイスは、別のフローに関連するメタ情報を前記セキュリティサービスに通信する、
請求項15に記載のコンピュータプログラム。 - 前記セキュリティサービスは、クラウドベースのセキュリティサービスである、
請求項10に記載の方法。 - 前記セキュリティサービスは、パブリッククラウドサービスプロバイダを使用して提供される、クラウドベースのセキュリティサービスである、
請求項10に記載の方法。 - 前記セキュリティサービスは、複数のパブリッククラウドサービスプロバイダを使用して提供される、クラウドベースのセキュリティサービスである、
請求項10に記載の方法。 - 前記SD-WANデバイスは、別のフローに関連するメタ情報を前記セキュリティサービスに通信する、請求項10に記載の方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021186746A JP7224422B2 (ja) | 2020-10-30 | 2021-11-17 | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/086,186 US11095612B1 (en) | 2020-10-30 | 2020-10-30 | Flow metadata exchanges between network and security functions for a security service |
| US17/086,191 US11785048B2 (en) | 2020-10-30 | 2020-10-30 | Consistent monitoring and analytics for security insights for network and security functions for a security service |
| US17/086,186 | 2020-10-30 | ||
| US17/086,191 | 2020-10-30 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021186746A Division JP7224422B2 (ja) | 2020-10-30 | 2021-11-17 | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6980944B1 true JP6980944B1 (ja) | 2021-12-15 |
| JP2022073936A JP2022073936A (ja) | 2022-05-17 |
Family
ID=76807514
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021121005A Active JP6980944B1 (ja) | 2020-10-30 | 2021-07-21 | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 |
| JP2021186746A Active JP7224422B2 (ja) | 2020-10-30 | 2021-11-17 | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 |
| JP2023016506A Pending JP2023098874A (ja) | 2020-10-30 | 2023-02-07 | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021186746A Active JP7224422B2 (ja) | 2020-10-30 | 2021-11-17 | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 |
| JP2023016506A Pending JP2023098874A (ja) | 2020-10-30 | 2023-02-07 | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 |
Country Status (3)
| Country | Link |
|---|---|
| EP (2) | EP3993331B1 (ja) |
| JP (3) | JP6980944B1 (ja) |
| CN (2) | CN116633607A (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI820973B (zh) * | 2022-10-18 | 2023-11-01 | 財團法人資訊工業策進會 | 資訊安全預警裝置以及方法 |
| WO2024105524A1 (en) | 2022-11-14 | 2024-05-23 | Palo Alto Networks, Inc. | Centralized identity redistribution |
| US20240179125A1 (en) * | 2022-11-30 | 2024-05-30 | Cisco Technology, Inc. | Service optimization in networks and cloud interconnects |
| CN116318839A (zh) * | 2023-02-07 | 2023-06-23 | 东莞市鸣鹿信息科技有限公司 | 基于dpi技术的sd-wan流量识别方法、系统、设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190036814A1 (en) * | 2017-07-31 | 2019-01-31 | Cisco Technology, Inc. | Traffic steering with path ordering |
| US20200322230A1 (en) * | 2019-04-03 | 2020-10-08 | Cisco Technology, Inc. | On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints |
| US20200366530A1 (en) * | 2013-07-10 | 2020-11-19 | Nicira, Inc. | Network-link method useful for a last-mile connectivity in an edge-gateway multipath system |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8713668B2 (en) * | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
| US20160050182A1 (en) * | 2014-08-14 | 2016-02-18 | Cisco Technology Inc. | Diverting Traffic for Forensics |
| US10063451B2 (en) * | 2015-09-28 | 2018-08-28 | Juniper Networks, Inc. | Providing application metadata using export protocols in computer networks |
| EP3414932B1 (en) * | 2016-02-10 | 2020-09-02 | Hughes Network Systems, LLC | System and method for policy-based multipath wan transports for improved quality of service over broadband networks |
| US10951529B2 (en) * | 2018-12-13 | 2021-03-16 | Fortinet, Inc. | Dynamic service-based load balancing in a software-defined wide area network (SD-WAN) |
| US11159487B2 (en) * | 2019-02-26 | 2021-10-26 | Juniper Networks, Inc. | Automatic configuration of perimeter firewalls based on security group information of SDN virtual firewalls |
-
2021
- 2021-07-05 EP EP21183807.3A patent/EP3993331B1/en active Active
- 2021-07-05 EP EP23164673.8A patent/EP4221092A1/en active Pending
- 2021-07-21 JP JP2021121005A patent/JP6980944B1/ja active Active
- 2021-07-30 CN CN202310545987.4A patent/CN116633607A/zh active Pending
- 2021-07-30 CN CN202110871478.1A patent/CN114531263B/zh active Active
- 2021-11-17 JP JP2021186746A patent/JP7224422B2/ja active Active
-
2023
- 2023-02-07 JP JP2023016506A patent/JP2023098874A/ja active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200366530A1 (en) * | 2013-07-10 | 2020-11-19 | Nicira, Inc. | Network-link method useful for a last-mile connectivity in an edge-gateway multipath system |
| US20190036814A1 (en) * | 2017-07-31 | 2019-01-31 | Cisco Technology, Inc. | Traffic steering with path ordering |
| US20200322230A1 (en) * | 2019-04-03 | 2020-10-08 | Cisco Technology, Inc. | On-path dynamic policy enforcement and endpoint-aware policy enforcement for endpoints |
Non-Patent Citations (1)
| Title |
|---|
| 内林 俊洋 TOSHIHIRO UCHIBAYASHI ほか: "iKaaS−プライバシーに配慮したIoTプラットフォーム− iKaaS -Privacy Preserved IoT Platform-", 電子情報通信学会論文誌B 早期公開論文 [ONLINE], JPN6021040726, 29 September 2017 (2017-09-29), JP, ISSN: 0004618454 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7224422B2 (ja) | 2023-02-17 |
| CN114531263B (zh) | 2023-05-23 |
| EP4221092A1 (en) | 2023-08-02 |
| CN116633607A (zh) | 2023-08-22 |
| JP2022073936A (ja) | 2022-05-17 |
| EP3993331B1 (en) | 2023-05-03 |
| JP2022074146A (ja) | 2022-05-17 |
| CN114531263A (zh) | 2022-05-24 |
| JP2023098874A (ja) | 2023-07-11 |
| EP3993331A1 (en) | 2022-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750563B2 (en) | Flow metadata exchanges between network and security functions for a security service | |
| US20210234860A1 (en) | Securing local network traffic using cloud computing | |
| JP6980944B1 (ja) | セキュリティサービスのためのネットワーク機能とセキュリティ機能との間のフローメタデータ交換 | |
| JP7304983B2 (ja) | クラウドベースのセキュリティサービスのための大規模なローカル化 | |
| US11949654B2 (en) | Distributed offload leveraging different offload devices | |
| US11785048B2 (en) | Consistent monitoring and analytics for security insights for network and security functions for a security service | |
| JP7503219B2 (ja) | コンテナ化されたアプリケーションのセキュリティ | |
| US20210314301A1 (en) | Private service edge nodes in a cloud-based system for private application access | |
| US11949661B2 (en) | Systems and methods for selecting application connectors through a cloud-based system for private application access | |
| US20220385631A1 (en) | Distributed traffic steering and enforcement for security solutions | |
| US20230198944A1 (en) | Networking and security split architecture | |
| US20240214363A1 (en) | Cloud-based tunnel protocol systems and methods for multiple ports and protocols | |
| US20240121187A1 (en) | Deploying ipv6 routing | |
| WO2024105524A1 (en) | Centralized identity redistribution | |
| Thangavel et al. | Sniffers Over Cloud Environment: A Literature Survey |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210729 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210729 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210729 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20211019 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20211117 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6980944 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |