تكوين خدمة RBI من أجل تصفح الويب الآمن

توضح هذه المقالة كيفية تكوين خدمة العزل في المتصفح عن بعد (RBI) للحماية من التهديدات المستندة إلى الويب.

For more information about the RBI service, see Securing Browsing Sessions Through Remote Browser Isolation (RBI).

نظرة عامة على خدمة RBI

تحمي RBI الأجهزة من التهديدات المستهدفة عبر الويب والمحتوى الضار الذي يمكن تضمينه في المواقع والخدمات الإنترنتية. تعمل RBI كخدمة معزولة من كاتو تحاكي نشاط التصفح للمستخدمين ثم تبث الحركة المحاكية إلى جهاز المستخدم. هذا يحافظ على أمان الجهاز من تهديدات البرامج الضارة من خلال التأكد من أن جميع التعليمات البرمجية ضمن المتصفح تُنفذ عن بعد ولا تُنفذ أبدًا على الجهاز.

في الحالات التي لا يمكن فيها لخدمة RBI محاكاة الحركة، يمكنك تكوين إجراء بديل يحدد كيفية التعامل مع الحركة. على سبيل المثال، إذا قمت بتعطيل خدمة RBI مؤقتًا، أو إذا كانت الخدمة غير قابلة للوصول لحظيًا.

ملاحظة

ملاحظة: وظيفة RBI غير متاحة لنقاط Presence الخاصة بكاتو الموجودة في الصين. ستقوم هذه النقاط دائمًا بتطبيق الإجراء البديل للحركة ذات الصلة.

تخصيص ضوابط الأمان لـ RBI

يمكنك تخصيص إعدادات الأمان لجلسات RBI بتحديد دقيق للإجراءات التي يمكن للمستخدم القيام بها على الموقع. على سبيل المثال، يمكنك منع المستخدمين من الكتابة أو لصق النصوص في النماذج عبر الإنترنت، ومنعهم من تسريب بيانات الاعتماد والبيانات الحساسة الأخرى.

هذه هي الإجراءات التي يمكنك السماح بها أو حظرها لجلسات RBI:

  • تحميل - تحميل أي ملف

  • تحميل - تنزيل أي ملف

  • طباعة - طباعة محتوى الويب

  • نسخ/لصق - نسخ بيانات من الموقع أو لصق بيانات في الموقع

  • كتابة - كتابة النص في الموقع

ملاحظة: تنطبق قيود RBI فقط ضمن جلسة المتصفح المعزولة. الإجراءات التي يتم بدءها خارج حاوية RBI (مثل قوائم المتصفح المضيف أو الاختصارات على مستوى نظام التشغيل) تتجاوز ضوابط RBI. لتطبيق هذه الضوابط بشكل كامل، ينبغي تطبيق سياسات المستوى المتصفح أو مستوى النهايات الطرفية (مثل أدوات مسؤولي Chrome، وأدوات DLP) بجانب إعدادات RBI.

جلسات RBI المستمرة

لتعزيز أمان التصفح وتحسين تجربة المستخدم النهائية، يمكنك تكوين RBI للسماح للمستخدمين بمواصلة التصفح إلى وجهات متعددة ضمن نفس جلسة RBI. هذا يضمن أن الوجهات التي تحددها لا تفتح في جلسة غير معزولة أو في جلسة RBI مختلفة. هذه هي الحالات المثال لجلسات RBI المستمرة:

  • منع التصفح غير المعزول إلى المجالات الخطرة - إنشاء قائمة نطاق واسعة باستخدام أحرف الاستبدال لضمان حدوث جلسة التصفح بالكامل للمستخدم في بيئة معزولة، حتى إذا نشر المستخدم بعيدًا عن المجالات غير المصنفة أو غير المحددة

  • المصادقة على موقع - تكوين قائمة بالمجالات التي تشمل جميع النطاقات الفرعية لتطبيق مشاركة الملفات للسماح للمستخدمين بتسجيل الدخول عندما يتم توجيههم إلى مجال مختلف للمصادقة

استخدام RBI مع جدار الحماية للإنترنت

استخدم سياسة جدار الحماية الإنترنتي لتنفيذ أي حركة يتم محاكاتها بواسطة خدمة RBI. يمكن تكوين القواعد فقط لفئات التطبيقات غير المصنفة أو غير المحددة، أو الفئة المخصصة للتصفح عن بعد. تتم حماية كل الحركة الأخرى بواسطة مجموعة واسعة من خدمات الأمان الإضافية من كاتو.

ملاحظة

Note: أنواع المحتوى هذه مدعومة من قبل RBI. فئة مخصصة تحتوي على أنواع أخرى من المحتوى غير مدعومة:

أنواع المحتوى المدعومة

  • إخفاء الهوية

  • بوت نت

  • نشاط إجرامي

  • مخدرات

  • مقامرة

  • اختراق

  • نطاقات مركونة

  • برامج تجسس

  • غش

  • احتيال مشتبه به

  • برامج خبيثة مشتبه بها

  • مواد إباحية

  • غير مصنفة

  • غير معرفة

  • مشاركة الملفات

  • التخزين عبر الإنترنت

المتطلبات الأساسية لخدمة RBI

  • يتطلب تمكين خدمة RBI ترخيص RBI. لمزيد من المعلومات حول شراء ترخيص RBI، يرجى الاتصال بممثل كاتو الخاص بك.

  • TLS Inspection must be enabled for traffic configured for RBI.

  • لكي تعمل خدمة RBI بشكل صحيح، يجب أن يسمح جدار الحماية الإنترنتي بالوصول إلى عنوان URL http://securebrowsing.catonetworks.com/. إذا كان جدار الحماية الإنترنتي الخاص بك يحتوي على قاعدة حظر ANY-ANY في الأسفل، أضف قاعدة صريحة ذات أولوية أعلى تسمح بالحركة إلى هذا العنوان.

  • إذا لم تستخدم Cato كخادم DNS، أضف سجلًا إلى خادم DNS الخاص بك للعنوان http://rbi.catonetworks.com/ ليحل إلى 10.254.254.161.

Working with RBI

يشرح هذا القسم كيفية تكوين خدمة RBI لتوفير تصفح ويب آمن للمستخدمين النهائيين.

RBI.png

هذا نموذج عمل لتطبيق RBI:

  1. تفعيل خدمة RBI.

  2. تهيئة الإجراءات التي يقوم المستخدم بحظرها أثناء جلسة RBI.

  3. تكوين جلسات RBI المستمرة للوجهات المطلوبة.

  4. تحديد الإجراء البديل.

  5. تكوين قاعدة جدار حماية الإنترنت مع إجراء التصفح عن بعد.

Enabling and Disabling the RBI Service

عند تمكين خدمة RBI، يصبح إجراء التصفح عن بُعد لجدار الحماية للإنترنت متاحًا، ويمكنك حينها إنشاء قواعد لتوجيه حركة المرور إلى الخدمة. افتراضيًا، يتم تعطيل RBI.

لتفعيل أو تعطيل RBI لحسابك:

  1. من لوحة التنقل، اختر الأمان > RBI.

  2. انقر على المنزلق للتفعيل (أخضر) أو التعطيل (رمادي) لخدمة RBI للحساب.

  3. انقر على حفظ.

Configuring Blocked User Actions for RBI Sessions

حدد الإجراءات التي يتم حظرها لجلسات RBI. تنطبق هذه الإعدادات على جميع جلسات RBI لحسابك. بشكل افتراضي، يُسمح بالكتابة وتُحظر جميع الإجراءات الأخرى.

لتحديد الإجراءات المحظورة لجلسات RBI:

  1. من لوحة التنقل، اختر الأمان > RBI.

  2. تحت تفضيلات حساب RBI، اختر الإجراءات التي تريد حظرها.

  3. انقر فوق حفظ.

    يتم تكوين الإجراءات المحظورة.

Configuring Continuous RBI Sessions

اختر الخيار لمواصلة جلسات RBI. ثم قم بتحديد الوجهات التي تفتح ضمن جلسة RBI الحالية من خلال تحديد مجموعات القيم من النطاقات وعناوين URL وإضافتها إلى قائمة السماح.

For more about Value Sets, see Working with Categories.

RBI_Continue_Session.png

لتكوين جلسات RBI المستمرة:

  1. من لوحة التنقل، اختر الأمان > RBI.

  2. تحت تفضيلات حساب RBI، اختر خيار متابعة جلسة RBI.

  3. انقر فوق قائمة مجموعات القيم الخاصة بقائمة السماح المنسدلة واختر مجموعة واحدة أو أكثر من المجموعات الموجودة من القائمة، أو قم بتكوين مجموعة جديدة كما يلي:

    1. في القائمة المنسدلة، انقر فوق إنشاء مجموعة جديدة. يفتح لوحة إنشاء مجموعة جديدة.

      RBI_Create_new_set_panel.png

    2. أدخل الاسم والوصف لـمجموعة القيمة.

    3. تحت النوع، اختر قائمة النطاق.

      ملاحظة: بالنسبة لقائمة السماح لـ RBI يمكنك تكوين مجموعة قيم واحدة من نوع قائمة النطاق فقط. لا يمكن تكوين أنواع أخرى.

    4. أدخل نطاقًا واحدًا أو أكثر أو عناوين URL مفصولة بفواصل ثم انقر إضافة. يجب أن تكون القيم نطاقات أو عناوين URL صحيحة، ويمكنك تضمين حرف استبدال واحد في القيمة.

    5. انقر فوق تطبيق. تُنشأ مجموعة القيمة ويمكن اختيارها من قائمة السماح الخاصة بـ RBI.

  4. انقر فوق حفظ. تُكوّن مجموعات القيم لمواصلة جلسات RBI.

Defining the Fallback Action for Rules Configured with RBI

يحدد إجراء البديل ما يحدث عندما لا يمكن تنفيذ إجراء RBI لقاعدة جدار الحماية للإنترنت. يمكنك ضبط البديل على حظر حركة المرور، أو مطالبة المستخدم لاتخاذ القرار بشأن ما إذا كان يرغب في المتابعة أم لا.

لتحديد إجراء البديل لخدمة RBI:

  1. من لوحة التنقل، اختر الأمان > RBI.

  2. من قائمة منسدلة إجراء البديل، اختر حظر أو مطالبة.

  3. انقر على حفظ.

    تم تكوين إجراء البديل.

Creating an Internet Firewall Rule for Remote Browsing

يمكنك استخدام قواعد جدار الحماية الإنترنتي لتحديد متى يقوم كاتو بتوجيه الحركة إلى خدمة RBI. يجب تكوين القواعد مع تعيين فئة التطبيق كـ غير مصنف، غير محدد، أو فئة مخصصة بدون تطبيقات أو فئات أخرى مكونة. لمزيد من المعلومات حول تكوين قواعد جدار الحماية الإنترنتي، انظر إدارة سياسة جدار الحماية الإنترنتي.

لإنشاء قاعدة جدار الحماية الإنترنتي للتصفح عن بعد:

  1. من قائمة التنقل، اختر الأمان > جدار الحماية الإنترنتي.

  2. انقر فوق جديد.

  3. أدخل الاسم للقاعدة.

  4. يمكنك تمكين أو تعطيل القاعدة باستخدام شريط التمرير (أخضر ممكّن، رمادي معطل).

  5. قم بتكوين ترتيب القاعدة لهذه القاعدة.

    تضاف القواعد الجديدة في الجزء السفلي من قاعدة القواعد. يمكنك تغيير الترتيب الذي تُطبق به هذه القاعدة.

  6. قم بتوسيع المصدر واختر نوع المصدر.

    • اختر النوع (على سبيل المثال: مضيف، واجهة شبكة، IP، أي). القيمة الافتراضية هي أي.

    • عند الحاجة، اختر كائنًا معينًا من القائمة المنسدلة لهذا النوع.

  7. قم بتوسيع قسم App/Category وحدد Application Category.

    اختر واحدًا أو أكثر من Uncategorized وUndefined أو Custom Category من قائمة Application Category المنسدلة. عندما يكون هناك أكثر من كائن App/Category في القاعدة، يوجد علاقة OR بينهما.

  8. قم بتعيين Action لهذه القاعدة كRemote Browsing (RBI).

  9. (اختياري) قم بتكوين خيارات التتبع لإنشاء Events وإرسال Send Notification. يبدأ حساب التردد بعد إرسال الإشعار الأول.

    لمزيد من المعلومات حول الإشعارات، راجع المقالة ذات الصلة بمجموعات الاشتراك والقوائم البريدية ودمج الإشعارات في قسم Alerts.

  10. انقر على Apply. تم إضافة القاعدة الجديدة إلى قاعدة القواعد.

  11. انقر على Save.

    تم حفظ القاعدة.

Best Practices for Implementing RBI with the Internet Firewall

نوصي بتنفيذ سياسة RBI الخاصة بك تدريجيًا مع نطاقات محددة، لتجنب سوء تكوين قواعد السياسة الذي يمكن أن يؤدي إلى استخدام RBI للمرور الذي يجب أن يكون لديه وصول مباشر إلى الوجهات. هذه أمثلة على أفضل الممارسات الموصى بها لتنفيذ RBI.

أفضل الممارسات لتنفيذ RBI للوجهات غير المصنفة وغير المعرفة:

  • إذا كان هناك بالفعل قاعدة جدار حماية الإنترنت مكونة لفئات التطبيقات Uncategorized وUndefined:

    1. ابدأ بتتبع الأحداث للقاعدة المكونة لتحديد وجهات Uncategorized أو Undefined المحددة التي تكون ضرورية للمستخدمين لديك.

    2. أضف قاعدة ذات أولوية أعلى مع الإجراء Remote Browsing المحدد لنطاق محدد من المواقع الهامة Uncategorized وUndefined.

  • إذا لم يكن هناك قاعدة مكونة للفئات Uncategorized وUndefined:

    1. أضف قاعدة تغطي الوجهات Uncategorized وUndefined بالإجراء Allow أو Prompt، وقم بضبطها لتتبع Events.

    2. ابدأ بتتبع الأحداث لتحديد وجهات Uncategorized أو Undefined المحددة التي تكون ضرورية للمستخدمين لديك.

    3. قم بإنشاء قاعدة ذات أولوية أعلى مع الإجراء Allow أو Prompt، وأضف تدريجيًا الوجهات الهامة المحددة التي تحددها، حتى يتم إضافة جميع الوجهات الهامة.

    4. اضبط القاعدة ذات الأولوية الأعلى على الإجراء Remote Browsing.

  • بما أن RBI مدعوم فقط للمتصفحات، إذا كنت قلقًا بشأن المرور غير المتصفح إلى Uncategorized وUndefined domains ، نوصي بإنشاء قاعدة Block لجدار الحماية الإنترنت لـ Uncategorized وUndefined المرور. ضع هذه القاعدة في مرتبة أقل من قاعدة RBI لهذه النطاقات.

    يؤمن هذا المرور إلى هذه النطاقات المشبوهة التي تنشأ من العملاء غير المتصفح (على سبيل المثال، سكريبتات cURL).

Implementing RBI with a Private App

يمكنك تطبيق RBI على تطبيق خاص بحيث لا يمكن الوصول إلى التطبيق إلا من خلال جلسة RBI. لتنفيذ ذلك، تحتاج أولاً إلى إنشاء فئة مخصصة ثم تضمينها في قاعدة جدار الحماية مع إجراء RBI.

Note

ملاحظة: لتنفيذ RBI مع تطبيق خاص، يجب تمكين جلسة RBI مستمرة مع إضافة مجالات المصادقة SSO الخاصة بك إلى مجموعة قيم قائمة السماح. For more information, see Configuring Continuous RBI Sessions.

RBI.png

لتنفيذ RBI مع تطبيق خاص:

  1. من قائمة التنقل، اختر الموارد > الفئات.

  2. انقر على جديد.

    يتم فتح لوحة تحرير الفئة.

  3. أضف اسمًا وتحت القائمة المنسدلة الأعضاء، اختر فئة التطبيق.

  4. اختر الفئات التي تريد تنفيذ RBI لها.

  5. انقر على تطبيق، ثم انقر على حفظ.

  6. من قائمة التنقل، انقر على الأمان > جدار الحماية الإلكتروني.

  7. Follow the steps outlined in Creating an Internet Firewall Rule for Remote Browsing. في قسم التطبيق/الفئة، اختر فئة مخصصة واختر الفئة التي أنشأتها في الخطوة 5.

Customizing the User Experience

في جلسة RBI المعزولة، يتم عرض شريط للمستخدم. لتلبية متطلبات علامتك التجارية، يمكنك تخصيص التصميم عن طريق تغيير لون الخلفية والنص ولون النص.

Custom_RBI.png

لتخصيص تجربة المستخدم:

  1. من قائمة التنقل، انقر على الحساب > RBI.

  2. لتغيير لون الخلفية، انقر فوق لون الشريط واختر لونًا.

  3. لتغيير لون النص، انقر فوق لون النص واختر لونًا.

  4. لتغيير النص، انقر في تخصيص نص التنبيه وقم بتحديث النص.

  5. انقر على حفظ.

Reviewing RBI Events

يمكنك مراجعة أحداث الأمان في Home > Events والعثور على السجلات المتعلقة بجلسات محاكاة RBI التي تم تنفيذها للاتصال الذي تطابق مع قاعدة جدار حماية بالإجراء Remote Browsing. يتم تصنيف هذه الأحداث بالفئة الفرعية Internet Firewall والإجراء RBI.

عندما لا يمكن تنفيذ جلسة RBI ويتم تنشيط Fallback Action ، تكون الأحداث المعنية بالإجراء Block أو Prompt اعتمادًا على تكوينك.

هذا مثال لفلتر يمكنك إنشاؤه لعرض الأحداث المتعلقة بـ RBI:

RBI_Event_Filter.png

هذا مثال لحدث يتعلق بجلسة RBI:

RBI_Event.png

Troubleshooting the RBI Service

يمكنك استخدام محاكي مدير RBI للمساعدة في تشخيص المشكلات التي يواجهها المستخدمون النهائيون عند محاولة تصفح الوجهات المُهيأة لمحاكاة RBI. يمكن أن تساعد الأداة في عزل سبب المشكلة، وتساعدك في توفير معلومات مفيدة للدعم لإيجاد حل.

Note

ملاحظة: بعد 30 دقيقة من عدم النشاط، تنتهي جلسة RBI تلقائيًا وتغلق علامة تبويب المتصفح. لمتابعة التصفح، يجب على المستخدم إعادة فتح الموقع في متصفحه.

Troubleshooting the RBI Service for a URL

إذا واجه المستخدم مشكلة في تصفح عنوان URL معين ، يمكنك إنشاء جلسة محاكاة RBI اختبارية للعنوان باستخدام Administrator RBI Simulator. أدخل عنوان URL صالحًا لـ HTTPS أو HTTP ثم اتبع الرابط الناتج لعرض الموقع في جلسة RBI. ترسل الأداة هذه الحركة مباشرة إلى خدمة RBI دون المرور عبر سحابة Cato. يمكن أن يساعد هذا في تحديد ما إذا كانت مشكلة المستخدم تتعلق بخدمة RBI نفسها ، أو ناجمة عن مشاكل أخرى مثل تكوين الحساب أو الاتصال بالبنية التحتية لـ Cato. على سبيل المثال ، المستخدم المتصل بـ Cato لا يمكنه تصفح موقع Uncategorized مكون لـ RBI ، ولكن يمكن للمسؤول الوصول إلى الموقع باستخدام الأداة. قد يشير هذا إلى أن خدمة RBI تعمل بشكل صحيح وأن المشكلة تتعلق بالاتصال بين PoP والخدمة.

يطبق Administrator RBI Simulator الضوابط الأمنية لـ RBI المعرفة في RBI Account Preferences.

بعد تشغيل جلسة RBI من الأداة ، يمكنك الإبلاغ عن النتائج إلى الدعم لمساعدتهم في حل المشكلة.

RBI_Admin_Utility.png

لاستكشاف الأخطاء باستخدام Administrator RBI Simulator:

  1. من لوحة التنقل ، حدد Security > RBI.

  2. تحت Administrator RBI Simulator ، أدخل عنوان URL صالحًا لـ HTTP أو HTTPS. على سبيل المثال: https://maps.google.com

  3. انقر على Generate. تم إنشاء عنوان URL لجلسة RBI.

  4. انقر على الرابط بجوار عنوان URL. تفتح جلسة RBI في المتصفح الافتراضي لديك.

Known Limitations

  • خدمة RBI لديها دعم محدود للتوطين

هل كان هذا المقال مفيداً؟

4 من 7 وجدوا هذا مفيداً

لا توجد تعليقات