Symantec High Risk Web Isolation – so wird das gratis Feature angewendet

Die Symantec Web Protection Lösung von Broadcom ermöglicht einen sicheren Zugriff auf das Web. Was dieses Produkt alles beinhaltet, wollen wir uns kurz anschauen, bevor ich dann auf den Aspekt «Web Isolation» vertieft eingehen möchte.

Symantec Web Protection ist vereinfacht gesagt ein Secure Web Gateway (SWG), also ein Proxy, welches den Surf-Traffic steuert und kontrolliert. Diesen Proxy gibt es als virtuelle oder physische Appliance zur on-premises Installation (Edge SWG, bekannt als ProxySG) oder als Cloud Service (Cloud SWG, WSS). Beides ist in Symantec Web Protection enthalten. Je nach Anforderung, Standort oder Situation kann man also einen eigenen Proxy, den Cloud Dienst oder beides nutzen (zum selben Preis). Die Policy für beide Proxy-Ausprägungen wird vom zentralen Management Center aus gesteuert.

Verschiedene Komponenten und Features schützen und kontrollieren den Datenverkehr:

• • Intelligence Services, die Threat Datenbank von Broadcom. Verschiedene Parameter steuern den Web Zugriff:
    • URL Filter (Kategorien wie Social «Networking», «Malicious Outbound Data”, “Compromised Sites”). Für bisher unbekannte URLs erfolgt eine dynamische Kategorisierung und Malware Detection. Alleine darüber, was hier im Hintergrund abläuft, könnte man eine Serie von Blog Artikeln schreiben. Einiges dazu finden Sie hier: https://docs.broadcom.com/doc/webpulse-en
    • Threat Risk Level. Auch wenn eine URL noch unbekannt ist, kann ihr ein Wert für das Risiko eines Zugriffs zugeordnet werden. (1=safe, 10=bekannt böse). https://docs.broadcom.com/doc/need-for-threat-risk-levels-in-secure-web-gateways-en. Diese Threat Risk Level werden wir weiter unten noch benötigen.
    • Geo Location: Aus welchem Land heraus erfolgt ein Zugriff, bzw. in welchem Land steht der Web Service.
    • Application Controls: Erkennung von über 35’000 Web Applikationen. (Stichwort CASB, Shadow IT Monitoring) und deren Attributen (ISO27001 zertifiziert, SAML support, …)
  • Content Analysis und Sandboxing
    • Die Content Analysis Appliance (bzw. der entsprechende Web-Service) untersucht die heruntergeladenen Objekte mittels Hash Datenbanken, klassischen AV Engines und Machine Learning Engines.
    • Durch obige Methoden noch nicht als  gut oder bösartig erkannten Objekte können an einen Sandbox Service weitergeleitet werden. Der Cloud Dienst ist in der Symantec Web Protection enthalten. https://docs.broadcom.com/doc/content-analysis-pb
  • Web Isolation / Browser Isolation
    • Damit bösartige Webseiten keine Browser-Schwachstelle ausnutzen können, können Webseiten auf einem Isolation Service gerendert werden. Dieser Service ist in einer Basisvariante in der Symantec Web Protection enthalten. Auf dieses Feature wollen wir weiter unten detailliert eingehen.
  • Cloud Firewall Service
    • Wenn man nicht nur Web Traffic zum Cloud Proxy schicken will, sondern sämtlichen ausgehenden Internet-Traffic eines mobilen Notebooks oder einer Aussenstelle, so kann man diesen mit dem beinhalteten Port- und Applikations-basierten Firewall-Service kontrollieren. https://docs.broadcom.com/doc/web-protection-cloud-firewall-service
  • Reporter
    • Statistische Auswertungen über die Proxy Zugriffs Logs, als Appliance oder Cloud Service
  • Management Center
    • Die Verwaltungs-Zentrale aller Proxy Komponenten (Edge SWG, Content Analysis, Proxy Policy für Edge und Cloud SWG, Reporter).

Dies sind kurz zusammengefasst die wichtigsten Komponenten der Symantec Web Protection. Darüber hinaus sind natürlich all die Basis-Proxy-Features enthalten wie TLS Inspection, Authentication, Caching, etc …

Wenn ein User im Web surft, so werden Daten von einem Server heruntergeladen und meist in einem Browser dargestellt. Wenn ein Browser eine ausnutzbare Schwachstelle enthält, so kann ein Angreifer diese ausnutzen und im schlimmsten Fall die Kontrolle über den gesamten PC gewinnen. Damit dies nicht geschieht, versuchen Secure Web Gateways das Herunterladen von solchen Daten zu verhindern. Solche bösartigen Daten lassen sich aber nicht in jedem Fall zweifelsfrei erkennen. Natürlich wird man den Zugriff auf «dubiose» Webseiten unterbinden. Was ist aber z.B. mit ganz neuen Webseiten? Soll man den Zugriff darauf verbieten? Da werden die User und anschliessend der Helpdesk keine Freude daran haben.

Ein Lösungsansatz ist die sogenannte Web Isolation oder Browser Isolation: Die Webseiten werden nicht «heruntergeladen» und im lokalen Browser interpretiert und dargestellt. Sondern sie werden in einem Browser Service im Internet aufbereitet und nur harmlose Rendering Informationen («ein Bild») werden bis zum User geschickt. Dies ist Vergleichbar mit einem Terminal Service: Die Daten sind auf einem entfernten Server, der User sieht sie nur. Auf dem lokalen Browser kann also nichts Schlimmes geschehen.

Im Jahr 2017 hat Symantec die Firma Fireglass übernommen, welche eine solche Browser Isolation Lösung als Appliance angeboten hatte. Da eine solche Lösung aber sehr ressourcen- und arbeitsintensiv ist, wenn man für tausende von Usern quasi zentral einen Browser zur Verfügung stellen will, hat fast niemand diese Lösung selber installiert. Darum wird sie heute nur noch als Cloud Service angeboten. Sie müssen nur noch in der Proxy Policy bestimmen, unter welchen Umständen der Traffic an den Isolation Service geschickt wird, Symantec kümmert sich um die nötige Skalierung.

Diesen Isolation Service gibt es in zwei Varianten: High Risk Isolation (HRI) und Full Isolation.

• • High Risk Isolation
    • Ist in der Symantec Web Protection enthalten.
    • Damit kann jede Webseite isoliert werden, welcher keine URL Kategorie zugeordnet ist oder die ein Risk Level von 5 oder grösser hat. Der Zugriff auf harmlose Webseiten kann also normal gewährt werden, böse Webseiten werden blockiert und Webseiten mit einem erhöhten Risiko können gefahrlos über den Isolation Service erreichbar gemacht und so ein «overblocking» verhindert werden.
    • Ist ein shared Tenant. D.h. der Service kann «bloss» genutzt werden. Der Admin erhält aber keinen Zugriff auf die Logdaten, kann nicht genau steuern, wie isoliert wird usw. Wenn man noch mehr Kontrolle über den Isolation Service haben will, so kann man den Full Isolation Service nutzen.
  • Full Isolation
    • Ist eine Zusatzlizenz.
    • Damit kann man jede Webseite auf Wunsch isolieren.
    • Man erhält einen eigenen Tenant – es werden an den gewünschten Standorten dedizierte Isolation Tenants gestartet.
    • Auf diese haben Sie administrativen Zugriff und können so erweiterte Features nutzen. Beispielsweise kann beim Download eines passwortgeschützten ZIP Archivs der User nach diesem Kennwort gefragt, damit das File vorgängig extrahiert und nach Viren untersucht werden kann. Oder der User wird daran gehindert, seine Credentials auf Phishing Webseiten einzugeben. Oder Excel Files werden in einer Webvorschau geöffnet.

Der Cloud Proxy Service (WSS) ist schon für Web Isolation vorbereitet. Falls Sie einen on-premises Proxy benutzen, so geht das am einfachsten mit der aktuellen SGOS Version 7.3. (Auf SGOS 6.7.5 ist die Konfiguration ein wenig umständlicher). Für die enthaltene «High Risk Isolation» gehen Sie im Proxy Admin Interface des Management Centers zu Administration -> Isolation, aktivieren den Isolation Service und wählen Ihr TLS Inspection Zertifikat aus. Falls sie «full isolation» mit einem eigenen Tenant haben, so wählen Sie «custom destination» und geben die entsprechenden Informationen Ihres Tenants an. Zusätzlich können Sie noch weitere Header zum Service schicken, da diese dann auch dort in den Logs ersichtlich sind. Für HRI ist dies nicht nötig.

Nun können Sie in der Proxy Policy festlegen, welcher Traffic den Isolation Service nutzen soll. Für HRI können Sie die URL Kategorie «uncategorized» und Risk Level ab 5 zum Isolation Service schicken. Da nur Browser sinnvoll mit der Isolation umgehen können, aktivieren wir dieses Feature nur für normale Browser und nicht für z.B. cURL. Weiter führen wir eine Ausnahmeliste für Webseiten, welche mit Isolation nicht richtig funktionieren.

Im Visual Policy Manger (VPM) erstellen wir also folgende Regeln.

Destination: Ausnahmeliste:

Source: “Combined Object” Browser User-Agents:

Destination: High Risk:

Action: WebIsolation:

Destination: Isolation:

Falls Sie Full Isolation benutzen, können hier weitere Kategorien hinzugefügt werden. Oder Sie erstellen zum Beispiel eine weitere Regel, die den Traffic von «high value targets» wie der Geschäftsleitung grundsätzlich immer isoliert.

Sobald die Policy installiert ist, kann die Isolation genutzt und getestet werden.

Normale Webseite:

• • Surfen Sie z.B. auf http://testrating.webfilter.bluecoat.com/threatrisk/level/4?locale=en_US. Dies ist eine Testseite mit dem Risiko Level 4. Diese wird nach unserer Policy nicht zum Isolation Service geschickt.

• • • Der Source Code der Webseite enthält ganz normales HTML

Riskante Webseite:

• • Die Testseite http://testrating.webfilter.bluecoat.com/threatrisk/level/5?locale=en_US hingegen hat ein Risiko Level von 5, welches nach unserer Policy isoliert wird. Dies ist am roten Balken oben ersichtlich.

• • • Ansonsten merken die User nichts davon, dass die Webseite isoliert wird. Videos und ähnlicher Content würden ganz normal abgespielt.
    • Der Source Code der Webseite ist nun aber verändert und enthält im Wesentlichen nur noch ein JavaScript, welches den Isolierten Content darstellt mit einem Verweis zu sg-isolation.prod.fire.glass (bzw. Ihrem Company Tenant im Falle von Full Isolation)

Diverse weitere Punkte würden den Rahmen dieses Artikels sprengen. Der Vollständigkeit halber will ich sie aber kurz antönen:

Die Policy sieht für den Cloud Proxy etwas anders aus: Falls Sie das Cloud Web UI zur Policy Konfiguration verwenden, kann dort direkt eine Isolation Policy konfiguriert werden:

Verwenden Sie aber das Management Center, um Ihre Universal Proxy Policy zum Cloud SWG zu pushen, so muss im Moment noch ein CPL Layer geschrieben werden. In einer hoffentlich bald kommenden Version können Sie aber dann obige Policy direkt auch in der Cloud verwenden. Aktuell sieht der entsprechende CPL Layer in etwa so aus:

Falls Sie Full Isolation lizenziert haben, so können Sie Ihren Tenant unter meinetenantid-mgmt.prod.fire.glass im Detail konfigurieren, wie das schon früher bei der on-premises Installation von Fireglass der Fall war.

Das Feature “High Risk Isolation” ist in Ihrer Web Protection Lizenz bereits enthalten. Nutzen Sie es! Mit wenigen Klicks ist es eingerichtet.

Falls Sie Fragen zu Web Isolation haben, Hilfe bei der Konfiguration des Features oder beim Upgrade auf SGOS 7.3 wünschen oder Interesse an Full Isolation haben, so wenden Sie sich gerne an unser Content Security Team: https://www.avantec.ch/loesungen/symantec/symantec-web-isolation/#kontakt