Este artículo explica cómo configurar la base de reglas de Control de Aplicaciones como parte de la solución Cloud Access Security Broker (CASB) de Cato. Esta base de reglas ayuda a gestionar cómo los usuarios pueden acceder y trabajar con las aplicaciones predefinidas y categorías de sistema.
Para obtener más información sobre la política de Control de Aplicaciones en Cato, vea ¿Qué es la solución CASB unificada?.
La política de Control de Aplicaciones es una extensión de los firewalls de Internet y WAN para Aplicaciones en la Nube. Solo los flujos permitidos por las políticas de firewall son inspeccionados por la política de Control de Aplicaciones integrada. La política de Control de Aplicaciones no se aplica a las aplicaciones con el tipo Aplicación en el Catálogo de Aplicaciones.
Nota
Nota: Para gestionar el uso de aplicaciones con una regla de Control de Aplicaciones, asegúrese de que esta aplicación esté permitida por los firewalls de Internet y WAN.
La política de Control de Aplicaciones es una base de reglas ordenada que permite definir actividades y criterios requeridos para aplicaciones y categorías. Cada regla define una aplicación o una categoría. Una vez que una regla coincide con el tráfico, las reglas de menor prioridad (debajo de la regla coincidente) no se aplicarán al tráfico.
La regla final en la base de reglas es una regla implícita de permitir CUALQUIERA CUALQUIERA, por lo que si una conexión no coincide con una regla, entonces es permitida por la regla implícita final.
Las políticas de Restricción de Inquilinos limitan a qué inquilinos SaaS pueden acceder los usuarios, impidiendo el acceso a cuentas personales o no autorizadas y reduciendo los riesgos de fuga de datos. Cato aplica estos controles a través de dos métodos: Conciencia de Inquilino, que aplica acciones específicas de permitir o bloquear de inquilinos dentro del Control de Aplicaciones, y la política de Restricción de Inquilinos, que inyecta encabezados HTTP para dirigir aplicaciones al inquilino correcto. Juntas, estas capacidades aseguran que los usuarios accedan solo a los inquilinos aprobados por su organización.
Para más información, ver Gestionando Restricciones de Inquilinos para Aplicaciones SaaS (Política de Restricciones de Inquilinos) y Restringiendo el Acceso a Inquilinos de Aplicaciones SaaS..
La política de Control de Aplicaciones permite a diferentes administradores editar la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada y luego publicarlos en la política de cuenta (la revisión publicada). Para más información sobre cómo gestionar las revisiones de políticas, ver Trabajando con Revisions de Políticas.
Trabajando con el Asistente de Configuración de Control de Aplicaciones
El Asistente de Configuración de Control de Aplicaciones revisa de manera autónoma su política utilizando estos controles e insights. Cuando un control falla, puede revisar y actualizar su política directamente en el Asistente sin editar reglas individuales. Esto le ayuda a mantenerse seguro mientras simplifica la gestión de políticas. Para más información, consulte Usando el Asistente de Configuración.
- Para las reglas de aplicación, debe habilitar Inspección TLS para inspeccionar el tráfico que coincide con la regla.
-
Como resultado de una política de aplicación más granular, asegúrese de que la política del firewall de Internet tenga dos reglas con alta prioridad (cerca de la parte superior de la base de reglas) para bloquear el tráfico QUIC. Es más seguro permitir solo protocolos estándar y bloquear estos elementos en reglas separadas:
- Aplicación - GQuic
- Servicio - QUIC
Nota
Nota: Cuando habilita inicialmente la política de Control de Aplicaciones, automáticamente se agrega una regla en la parte superior de la base de reglas del firewall de Internet que bloquea el tráfico QUIC y GQUIC. Esto sigue las mejores prácticas de seguridad de Cato.
Si es necesario, puede editar esta regla según los requisitos de su cuenta.
- La política de Control de Aplicaciones está incluida en la licencia CASB. Para más información sobre la compra de la licencia CASB, por favor contacte a su representante de Cato.
Cuando añade una regla a la política de Control de Aplicaciones, configure cada sección en la regla que sea necesaria para definir el acceso y las acciones permitidas para esa aplicación.
Recomendamos que cuando esté implementando la política por primera vez, o añadiendo una nueva aplicación a una política existente, ejecute las nuevas reglas con la acción de Monitorización. Luego revise los eventos y vea si esta regla bloquearía el tráfico permitido.
Una regla de Control de Aplicaciones tiene las siguientes secciones:
- General - Nombre y severidad que elige asignar a la regla. También permite habilitar o deshabilitar la regla.
- Aplicación - Aplicación predefinida, categoría, aplicación personalizada o Aplicación Autorizada que coincide con esta regla. Solo las aplicaciones soportadas aparecen en la lista de aplicaciones predefinidas.
-
Actividades - Defina uno o más elementos que definan el comportamiento de la aplicación, y si hay una relación AND o OR entre los elementos.
Puede seleccionar Cualquier Actividad Granular para que la regla coincida con todas las actividades realizadas para una aplicación granular, sin embargo, solo están disponibles las acciones Permitir y Monitorear.
Si el campo Actividades no está configurado y está vacío, entonces la regla coincide
-
Para aplicaciones, seleccione la actividad coincidente a la que se aplica la acción. Para más información, vea ¿Qué es el Servicio DLP de Cato?.
Nota
Nota: Para las reglas de aplicaciones, debe habilitar Inspección TLS para inspeccionar el tráfico que coincide con la regla.
-
Para categorías, seleccione la actividad o criterio correspondiente al que se aplica la acción.
Nota
Nota: Para las reglas de categoría con una actividad definida, debe habilitar Inspección TLS para inspeccionar el tráfico que coincide con la regla.
-
- Métodos de Acceso - Requisitos para los agentes de usuario en hosts y dispositivos que puedan conectarse a su cuenta.
-
Fuente - Fuente del tráfico para esta regla.
- Puede establecer la Fuente a un País para crear una regla que haga cumplir el tráfico que se origina en ese país, basado en la geolocalización IP
- Para más información sobre otros elementos de Fuente para una regla, consulte Referencia para objetos de reglas
-
Postura del dispositivo - Seleccione el Perfil de Dispositivo que el dispositivo debe cumplir para que la acción se aplique al dispositivo.
Por ejemplo, una regla con la acción Permitir, y los dispositivos deben cumplir con el Perfil de Dispositivo para esa regla, de lo contrario, el tráfico se bloquea. Para obtener más información sobre cómo usar Perfiles de Dispositivo con reglas de seguridad, consulte Agregar condiciones de criterios de dispositivos a reglas de firewall.
- Tiempo - Defina el periodo de tiempo en el que la regla está activa.
-
Acciones - Aplique la acción especificada al tráfico que coincida con la regla. Las opciones son:
- Permitir: La acción es permitida y no se crea evento
- Monitorear: La acción es permitida y se crea un evento
- Bloquear: La acción es bloqueada
- Defina las opciones de seguimiento para eventos y notificaciones por correo electrónico.
Cree una nueva regla de Control de Aplicaciones y configure la configuración de la regla para implementar la política de Control de Aplicaciones para su organización.
Las opciones de Tiempo definen el rango de tiempo que la regla está habilitada. Puede configurar opciones personalizadas para una regla o elegir el horario laboral predeterminado definido para la cuenta.
Para crear una nueva regla de Control de Aplicaciones:
- Desde el menú de navegación, selecciona Seguridad > Aplicación & Datos Integrado.
- Haz clic en Nuevo y selecciona Regla de Control de Aplicaciones. Se abre el panel Regla de Control de Aplicaciones.
- Expande la sección Configuración general y configura estas configuraciones:
- Ingrese un Nombre para la regla.
- Habilite o deshabilite la regla usando el deslizador (verde está habilitado, gris está deshabilitado).
-
Seleccione la Severidad.
La Severidad se usa en los eventos y análisis de monitoreo para esta regla.
- Expande la sección Aplicación, y selecciona la aplicación o categoría para el tráfico que coincide con esta regla.
- Expande la sección Actividades o Criterios y configura estas configuraciones:
- Haz clic en Agregar Actividad o Agregar Criterios y selecciona el artículo para la regla.
- Si es necesario, haga clic en
y configure la configuración para este elemento.
-
Cuando hay múltiples elementos en la sección Actividades o Criterios, en el menú desplegable Satisfacer, defina la relación entre los elementos:
- Cualquiera (O) - Si cualquiera de los elementos coincide con el tráfico, entonces la regla se aplica
- Todos (Y) - Si todos los elementos coinciden con el tráfico, entonces la regla se aplica
-
Expanda la sección Métodos de acceso y defina los requisitos del agente de usuario.
Si hay múltiples elementos, hay una relación AND entre ellos.
-
Expanda la sección Fuente y seleccione uno o más objetos para la fuente de tráfico de esta regla (o puede ingresar una dirección IP).
Seleccione el tipo (por ejemplo: Host, Interfaz de red, IP, Cualquiera). El valor predeterminado es Cualquiera.
-
Expanda la sección Postura del Dispositivo y seleccione uno o más Perfiles de Dispositivo para la regla.
Cuando hay múltiples Perfiles de Dispositivo para una regla, hay una relación OR entre ellos.
-
(Opcional) Expanda la sección Tiempo y defina cuándo la regla está activa.
Seleccione Sin restricción de tiempo para establecer la regla como siempre activa.
- Expande la sección Acciones y configura estas configuraciones:
- Selecciona la Acción para esta regla. Las opciones son Permitir, Bloquear y Monitorear.
-
(Opcional) Configure las opciones de seguimiento para generar Eventos y Enviar Notificación. La frecuencia comienza a contarse después de que se envía la primera notificación.
Para obtener más información sobre notificaciones, consulte el artículo relevante sobre Grupos de Suscripción, Listas de Correo e Integraciones de Alertas en la sección de Alertas.
- Haga clic en Aplicar.
Conjuntos de Valores son categorías definidas por el usuario que le ayudan a gestionar las reglas de Control de Aplicaciones para grupos de elementos como URLs o direcciones de correo electrónico. Por ejemplo, usted puede:
- Gestiona el acceso a un grupo de carpetas específicas de Dropbox con una regla, configurando una regla de Dropbox con un Conjunto de valores definido con las URL Completa para las carpetas
- Permita la actividad de Inicio de sesión para solo usuarios específicos creando una regla configurada con un Conjunto de valores definido con una lista de direcciones de correo electrónico
Para usar un Conjunto de valores en una regla de Control de Aplicaciones:
- Crear un Conjunto de valores del tipo ¡Entendido! Proporcionaré únicamente la traducción al español de la descripción \. Los Conjuntos de valores con otros tipos no funcionarán con Reglas de Control de Aplicaciones.
- Crear una nueva regla de control de aplicaciones como se describe arriba.
-
En la sección Actividades, seleccione el operador En y luego cree o seleccione el Conjunto de Valores.
Para obtener más información sobre cómo crear Conjuntos de Valores, consulte Trabajando con Categorías.
La política de Control de Aplicaciones es una base de reglas ordenada, y cuando necesita crear una excepción para una regla, puede crear nuevas reglas para permitir el tráfico. Asegúrese de que la nueva regla esté ANTES de la regla de bloqueo.
Para agregar una excepción a una regla de bloqueo en la política de Control de Aplicaciones:
- Desde el menú de navegación, selecciona Seguridad > Aplicación & Datos Integrado.
-
A la derecha de la regla, haga clic en
y seleccione Agregar Regla Arriba.
Se abre el panel Nueva regla de aplicación en la nube.
-
Configurar la configuración para la regla de Control de Aplicaciones.
- En la sección Acciones, asegúrate de seleccionar Permitir.
-
Haz clic en Aplicar.
La excepción se agrega a la base de reglas de Control de Aplicaciones.
Esta sección describe los campos disponibles para reglas que requieren criterios y actividades.
Estas son explicaciones de los campos que puede configurar para las reglas que requieren criterios específicos. Los criterios están divididos en tres secciones: Seguridad, General, y Cumplimiento.
| Campo de Criterios | Explanation |
|---|---|
| Criterios de Seguridad | |
| Registro de Auditoría | La aplicación admite registro de auditoría para cambios del administrador |
| Protocolo de Cifrado | Basado en el análisis en la Nube de Cato, define los protocolos de cifrado TLS permitidos para la aplicación |
| Cifrado en Reposo | El almacenamiento de datos para el servicio está cifrado |
| Encabezados de Seguridad HTTP | Admite encabezados de seguridad HTTP |
| MFA | Admite Autenticación Multifactor |
| RBAC | Admite Control de Acceso Basado en Reglas (RBAC) para los administradores |
| Recordar Contraseñas | Permite a los usuarios recordar la contraseña en el navegador local |
| Puntuación de Riesgo | Cato asigna a cada aplicación en la nube una puntuación de riesgo entre 0 (sin riesgo) a 10 (muy alto riesgo) para ayudarte a evaluar si la aplicación cumple con los requisitos de tu política de seguridad, ver Trabajando con el Panel de Aplicaciones en la Nube |
| Tipo de Inicio de sesión único (SSO) | Admite Inicio de Sesión Único (SSO) |
| Cumplimiento de Cifrado TLS | Basado en el análisis en la Nube de Cato, la aplicación solo permite tráfico cifrado TLS |
| Certificados de Confianza | Basado en el análisis en la Nube de Cato, esta aplicación solo utiliza certificados de confianza de una CA registrada (sin certificados auto-firmados o revocados) |
| Criterios de Configuración general | |
| Código de País | País donde se encuentra físicamente la sede de la empresa (País de Origen Registrado) |
| Criterios de Cumplimiento | |
| Opciones de Cumplimiento | Ver abajo, Requisitos de Cumplimiento Soportados. |
Estas son explicaciones de los campos que puede configurar para reglas que requieren actividades específicas. La tabla también muestra un ejemplo de una aplicación que incluye el campo de actividad para una regla.
Nota: Si en el campo Actividades se deja en blanco, cualquier actividad coincide con la regla.
| Campo de actividad | Explicaci0n | Aplicaci0n de ejemplo |
|---|---|---|
| Agregar archivo adjunto | Adjuntar un archivo a un correo electr0nico | Gmail |
| Chat | Usar la funci0n de chat de una aplicaci0n | |
| Eliminar mensaje | Eliminar un mensaje de una conversaci0n en una aplicaci0n | Slack |
| Descargar | Descargar un archivo desde el almacenamiento en la nube | Google Drive |
| Editar | Editar permisos para la aplicaci0n | Salesforce |
| Exportar miembros del grupo | Exportar miembros del grupo o registros de la aplicaci0n | Salesforce |
| URL Completa | S0lo se permite o bloquea el tr0fico de la aplicaci0n que coincide con la ruta especifica. Por ejemplo, en dropbox.com/contact la URL Completa debe incluir la ruta /contact | Dropbox |
| Inicio de sesi0n | Iniciar sesi0n en una cuenta | |
| Cierre de sesi0n | Cerrar sesi0n de una cuenta | |
| Publicar | Publicar un mensaje o comentario en una aplicaci0n de redes sociales | |
| Guardar informe | Guardar un informe de la aplicaci0n en el host o dispositivo | Salesforce |
| Enviar correo | Enviar mensajes de correo electr0nico | Microsoft Outlook |
| Enviar mensaje (archivo) | Enviar un mensaje que incluya un archivo | Slack |
| Enviar mensaje (texto) | Enviar un mensaje que s0lo incluya texto | Slack |
| Iniciar sesi0n | Iniciar sesi0n en la aplicaci0n | Slack |
| Cerrar sesi0n | Cerrar sesi0n de la aplicaci0n | Slack |
| Subir | Subir un archivo al almacenamiento en la nube | Box |
| Ver la transmisi0n | Ver video en transmisi0n | YouTube |
Esta sección contiene las mejores prácticas recomendadas para implementar la Política de Control de Aplicaciones en tu cuenta. Cuando se indique, la mejor práctica también se aplica a la adición de una nueva aplicación a la política.
-
Cuando implementes la política o agregues una nueva aplicación con la acción Bloquear:
- Usa la acci0n de Monitorear para la regla.
- Revisa los eventos que genera la regla y asegarte que no haya eventos para el tr0fico que deseas permitir (tr0fico falso positivo).
-
Si hay tráfico de falso positivo, puedes realizar estos cambios:
- Refina el alcance de la regla para excluir el tr0fico falso positivo
- Crea una nueva regla de permitir antes de la regla de bloquear, y el alcance de la nueva regla es solo para el tr0fico falso positivo
- La pol0tica admite aplicaciones basadas en navegador. Los clientes nativos no son compatibles a menos que se especifique explicitamente.
- Recuerda que la pol0tica de Control de Aplicaciones es una pol0tica ordenada, y la regla final implcita es CUALQUIER CUALQUIER Aceptar. Agrega reglas a la pol0tica para bloquear el tr0fico de aplicaci0n relevante, actividades y criterios.
- El n0mero m0ximo de eventos de Control de Aplicaciones para su cuenta es 2.5 millones de eventos por hora.
Esta sección contiene ejemplos de reglas de Control de Aplicaciones para aplicar la política CASB en tu organización.
El ejemplo anterior muestra dos reglas para la categoría Programas y Servicios Office, que es para apps y servicios de Office365.
-
La Regla 1 permite el tráfico que cumple con los requisitos de cumplimiento para Office365 con las siguientes configuraciones:
- Fuente - Cualquiera. Se aplica a todas las fuentes de tr0fico.
- Aplicaci0n - Programas y Servicios de Oficina. Se aplica a la categor0a para Office365.
- Criterios - SOC2, Certificados de Confianza, Inicio de sesi0n fanico (SSO) con relaci0n Y. Se aplica al tr0fico que cumple con todos los elementos de cumplimiento.
- Severidad - Medio. El tr0fico que coincide con esta regla se categoriza como Medio riesgo para anlisis.
- Acci0n - Permitir. Se permite el tr0fico de Office365 que cumple con los requisitos de cumplimiento.
-
La Regla 2 bloquea todo el otro tráfico de Office365, con las siguientes configuraciones que son diferentes a la Regla 1:
- Criterios - ninguno. Se aplica a todo el tr0fico de Office365, porque la regla 1 ya coincide con el tr0fico permitido.
- Acci0n - Bloquear. Bloquea todo el tr0fico de Office365, porque la regla 1 ya permiti0 todo el tr0fico compatible.
- Seguimiento - Evento. Generar eventos para todo el tr0fico no compatible de Office365.
La pantalla de Eventos muestra todos los eventos de Control de Aplicaciones para tu cuenta. Estos eventos de Seguridad son el Sub Tipo, Seguridad de Aplicaciones.
Puedes aprender más sobre el uso de la página de Eventos aquí.
Estos son los campos que se relacionan exclusivamente con el Control de Aplicaciones:
| Nombre del Campo | Descripci0n |
|---|---|
| actividad de aplicación | Para eventos con la acción de bloquear, muestra la actividad de la regla (ver arriba, Reglas Basadas en Actividad) |
| categoría de actividad de aplicación | La categoría general de la actividad de la aplicación en el evento. Para más información sobre las categorías de actividad de la aplicación, ver abajo Entendiendo las Categorías y Tipos de Actividades de Aplicaciones. |
| tipo de actividad de aplicación | El tipo de actividad de la aplicación. Para más información sobre los tipos de actividad de aplicación, ver abajo Entendiendo las Categorías y Tipos de Actividades de Aplicaciones. |
| aplicación | Nombre de la aplicación |
| riesgo de aplicación | Nivel de riesgo de Cato para esta aplicación |
| URL completa | Ruta completa de la URL a la que el tráfico se está conectando |
| aplicación autorizada | Verdadero significa que esta aplicación está configurada como una aplicación autorizada |
Estos son los valores posibles para el campo Categoría de Actividad de Aplicación y la descripción de cada categoría:
-
Operaciones de Contenido - Actividades donde los datos (generalmente archivos o texto claro) son:
- Subidos desde el cliente a la aplicación SaaS
- Descargados desde la aplicación SaaS al cliente
- Editado en la aplicación SaaS
Por ejemplo: Cargar, Descargar, Mover
- Compartir Contenido - Actividades donde el acceso es modificado para datos que ya residen en una aplicación SaaS. Por ejemplo: Compartir, Enlace Anónimo de Compartir
- Comunicación y Colaboración - Actividades donde la información es transferida entre usuarios de la aplicación SaaS. Por ejemplo: Chat, Video, Voz
- Buscar y Ver - Actividades donde se accede a los datos en la aplicación SaaS sin modificar los datos ni sus permisos. Por ejemplo: Buscar, Acceso a Archivo
- Configuraciones de Admin - Por ejemplo: Creación de usuario, Cuarentena, Cambio de permisos
- Inicio de Sesión y Autenticación - Por ejemplo: Inicio de sesión, Cierre de sesión, Falla de inicio de sesión
-
API e Integración - Por ejemplo: Consultar API, Agregar integración
- Ejecución - Por ejemplo: Ejecutar Flujo, Ejecutar Informe/Panel
- General - Actividades que no cumplen con la definición de ninguna de las otras categorías, o actividades que aún no han sido asignadas a una categoría
Estos son los valores posibles para Tipo de Actividad de Aplicación y las actividades incluidas en cada tipo:
- Compartir Archivos - Subir, Descargar, Eliminar, Compartir, Editar, Ver, Crear
- Control de Fuentes - Extraer/Clonar, Empujar
- Chat - Enviar Mensaje, Enviar Mensaje de Voz, Recibir Mensaje, Eliminar Mensaje, Agregar Reacción
- Correo - Enviar Correo
- Redes Sociales - Publicar, Comentar
- Aplicaciones de Admin - Inicio de sesión, Inicio de sesión de terceros, Cierre de sesión, Autorizar Terceros, Cambiar permisos de elemento
- Plataformas IaaS - Acceso a la nube
- Finanzas - Editar, Exportar miembros del grupo, Guardar Informe
- Streaming Media - Ver Transmisión
- Conferencias Web - Videollamada
- Compartir Conocimiento - Crear, Editar, Compartir
- Gestión de Tareas - Crear Tarea, Editar Tarea, Eliminar Tarea, Modificar Estado de Tarea, Asignar
- Motor de Búsqueda - Buscar
- Herramientas de IA - Conversación
Si una actividad es bloqueada por una regla de Control de Aplicaciones, puedes configurar una notificación para mostrarse al Usuario, explicando qué aplicación fue bloqueada y por qué. Puedes personalizar el contenido y marca de una notificación para cumplir con los requisitos de tu organización.
Así es como aparece la notificación predeterminada en un dispositivo Windows:
Así es como aparece la notificación predeterminada en un dispositivo iOS:
-
Soportado desde:
- Cliente Windows v5.10 y superior
- Cliente macOS v5.7 y superior
- Cliente iOS v5.4 y superior
- El usuario debe estar conectado de forma remota
- Las notificaciones de Windows deben estar habilitadas
Puede habilitar a los usuarios para que reciban notificaciones del sistema si una actividad es bloqueada por una regla de Control de Aplicaciones.
Para instruir a los usuarios sobre por qué una acción fue bloqueada, puedes crear y asignar múltiples plantillas de notificación y asignarlas a una regla de política. Esto te permite proporcionar notificaciones contextuales adaptadas a casos de uso específicos en el momento de la aplicación. Para más información, consulta Creación de Plantillas de Notificación de Usuario.
0 comentarios
Inicie sesión para dejar un comentario.