فحص WebSockets في كاتو كلاود

ملاحظة

ملاحظة: يُرجى الاتصال بـfeature-releases@catonetworks.com لمزيد من المعلومات حول تفعيل واستخدام هذه الميزة.

نظرة عامة

تعتمد التطبيقات المؤسسية الحديثة بشكل متزايد على الاتصال عبر WebSocket (WS) بدلاً من نماذج الطلب/الإستجابة التقليدية لـ HTTP. تستخدم المنصات مثل Slack وMicrosoft Teams وZoom والخدمات الذكية مثل ChatGPT وCopilot WebSockets لتمكين الاتصال في الوقت الحقيقي والثنائي الاتجاه عبر اتصال دائم واحد.

يُدخل هذا التغيير فجوة حرجة في الرؤية والأمان: لا يمكن تقنيات الفحص التقليدية التي تركز على حركة مرور HTTP تحليل محتويات WebSocket بعد إنشاء الاتصال.

تعالج كاتو كلاود هذا التحدي من خلال الفحص العميق لـ WebSocket، مما يمكّن من الرؤية الكاملة وفرض الضوابط عبر حالات استخدام الأمان في CASB وDLP وAI.

الفوائد الرئيسية

رؤية كاملة لطبقة التطبيق عبر التطبيقات الحديثة
تطبيق السياسات بدقة لخدمات SaaS وAI
قدرات DLP محسنة لحماية البيانات في الوقت الفعلي
تحسين وضع الامتثال مع سجلات المراجعة الكاملة
القضاء على النقاط العمياء في WebSocket

حالات الاستخدام

أمان الذكاء الاصطناعي (جدار الحماية للذكاء الاصطناعي)

تعتمد تطبيقات الذكاء الاصطناعي بشكل كبير على بث WebSocket.

بدون فحص:

تكون الطلبات والاستجابات غير مرئية
قد تتسرب بيانات حساسة (PII، شفرة المصدر) بشكل غير مكتشف

مع الفحص:

رؤية كاملة للطلبات والاستجابات
القدرة على الكشف عن:
- تسرب البيانات
- انتهاكات السياسة
- مخرجات الذكاء الاصطناعي الضارة أو غير الآمنة

تطبيق CASB

تستخدم منصات SaaS الحديثة WebSockets للإجراءات الأساسية.

بدون فحص:

الرؤية على مستوى الاتصال فقط (مثل، "متصل بـ Slack")
بدون القدرة على تمييز أفعال المستخدمين

مع الفحص:

كشف دقيق للأنشطة:
- رفع/تنزيل الملفات
- نشر الرسائل
- مشاركة البيانات
تطبيق السياسة لكل إجراء (مثل، حظر التحميلات الحساسة)

الرؤية، سجل وتوافق

بدون تحليل WebSocket:

فقدان سجلات طبقة التطبيق
بيانات SIEM غير مكتملة
إخفاقات DLP والمراجعة

مع التحليل:

إعادة بناء الأحداث بالكامل
مسارات مراجعة دقيقة
تسجيل جاهز للامتثال

لماذا يتطلب فحص WebSocket

بعد مصافحة ترقية أولية للـ HTTP، تحمل اتصالات WebSocket بيانات التطبيق كسلسلة متواصلة من الرسائل المؤطرة. هذه الرسائل:

ليست مرئية لمحركات الفحص القياسية لـ HTTP
قد تحتوي على بيانات منظمة أو غير منظمة (JSON، ثنائية، أو تنسيقات خاصة)
يمكن أن تشمل معلومات حساسة مثل:
- محتوى من إنتاج المستخدم
- نقل الملفات
- طلبات وردود الذكاء الاصطناعي

بدون تحليل مناسب، ترى محركات الأمان فقط البيانات الوصفية (مثل IPs، المنافذ، جلسة TLS) وتفقد كل سياق طبقة التطبيق.

تحديات في فحص WebSockets

الفحص لـ WebSocket معقد بسبب خصائص البروتوكول:

تجزئة الإطار - يمكن تقسيم الرسائل عبر إطارات متعددة
التمويه - يتم تعتيم حمولات العميل إلى الخادم
التعددية - قد تشترك رسائل منطقية متعددة في اتصال واحد
تغير البروتوكول - قد تستخدم الحمولات JSON أو GraphQL أو MessagePack أو التنسيقات الخاصة

يتطلب الفحص الفعال التحليل الكامل، والتجميع، والتشفير قبل أن تحدث أي تحليلات الأمان.

كيف تفحص كاتو كلاود WebSockets

تقوم كاتو كلاود بأداء فحص WebSocket متزامن بسرعة الأسلاك باستخدام نهج متعدد الطبقات:

تحليل على مستوى الإطار
- ليست مرئية لمحركات الفحص القياسية لـ HTTP
- قد تحتوي على بيانات منظمة أو غير منظمة (JSON، ثنائية، أو تنسيقات خاصة)
- يمكن أن تشمل معلومات حساسة مثل:
  - محتوى من إنتاج المستخدم
  - نقل الملفات
  - طلبات وردود الذكاء الاصطناعي
فك التشفير المدرك للبروتوكول
- تحديد بروتوكولات التطبيقات (مثل JSON، GraphQL)
- يستخرج حقول البيانات المنظمة
استخراج الأحداث
- تحويل الرسائل إلى أحداث أمان ذات معنى، مثل:
  - أفعال المستخدمين
  - تحويل البيانات
  - التفاعل مع الذكاء الاصطناعي
تكامل المحرك
- يرسل البيانات التحليلية إلى:
  - سياسات CASB
  - فحص DLP
  - تحليل جدار الحماية للذكاء الاصطناعي