Este artículo explica cómo configurar la base de reglas de Control de Aplicaciones como parte de la solución Cloud Access Security Broker (CASB) de Cato. Esta base de reglas ayuda a gestionar cómo los usuarios pueden acceder y trabajar con las aplicaciones predefinidas y categorías de sistema.
Para obtener más información sobre la Política de Control de Aplicaciones en Cato, vea ¿Qué es la solución CASB unificada?.
La política de Control de Aplicaciones es una extensión de los firewalls de Internet y WAN, y solo los flujos permitidos por las políticas del firewall son inspeccionados por la política de Control de Aplicaciones en línea.
Nota
Nota: Para gestionar el uso de aplicaciones con una regla de Control de Aplicaciones, asegúrese de que esta aplicación esté permitida por los firewalls de Internet y WAN.
La política de Control de Aplicaciones es una base de reglas ordenada que le permite definir actividades y criterios necesarios para aplicaciones y categorías. Cada regla define una aplicación o una categoría. Una vez que una regla coincide con el tráfico, las reglas de menor prioridad (por debajo de la regla que coincide) no se aplican al tráfico.
La regla final en la base de reglas es una regla implícita de permitir cualquier cosa, por lo que si una conexión no coincide con una regla, entonces está permitida por la regla implícita final.
-
Para las reglas de aplicación, debe habilitar la Inspección TLS para inspeccionar el tráfico que coincide con la regla.
-
Como resultado de una política de aplicación más granular, asegúrese de que la política del firewall de Internet tenga dos reglas con alta prioridad (cerca de la parte superior de la base de reglas) para bloquear el tráfico QUIC. Es más seguro permitir solo protocolos estándar y bloquear estos elementos en reglas separadas:
-
Aplicación - GQuic
-
Servicio - QUIC
Nota
Nota: Cuando habilita inicialmente la política de Control de Aplicaciones, automáticamente se agrega una regla en la parte superior de la base de reglas del firewall de Internet que bloquea el tráfico QUIC y GQUIC. Esto sigue las mejores prácticas de seguridad de Cato.
Si es necesario, puede editar esta regla según los requisitos de su cuenta.
-
-
La política de Control de Aplicaciones está incluida en la licencia CASB. Para obtener más información sobre la compra de la licencia CASB, póngase en contacto con su representante de Cato.
Cuando añade una regla a la política de Control de Aplicaciones, configure cada sección en la regla que sea necesaria para definir el acceso y las acciones permitidas para esa aplicación.
Recomendamos que cuando esté implementando la política por primera vez, o añadiendo una nueva aplicación a una política existente, ejecute las nuevas reglas con la acción de Monitorización. Luego revise los eventos y vea si esta regla bloquearía el tráfico permitido.
Una regla de Control de Aplicaciones tiene las siguientes secciones:
-
General - Nombre y severidad que elija asignar a la regla. También le permite habilitar o deshabilitar la regla.
-
Aplicación - Aplicación predefinida, categoría, aplicación personalizada o aplicación sancionada que coincide con esta regla. Solo las aplicaciones compatibles aparecen en la lista de aplicaciones predefinidas.
-
Actividades - Defina uno o más elementos que definan el comportamiento de la aplicación, y si hay una relación AND u OR entre los elementos. Puede seleccionar Cualquier actividad para que la regla coincida con todas las actividades realizadas para una aplicación granular.
-
Para las aplicaciones, seleccione la actividad coincidente a la que se aplica la acción.
Nota
Nota: Para las reglas de aplicación, debe habilitar la Inspección TLS para inspeccionar el tráfico que coincide con la regla.
-
Para las categorías, seleccione la actividad o el criterio coincidente al que se aplica la acción.
Nota
Nota: Para las reglas de categoría con una actividad definida, debe habilitar la Inspección TLS para inspeccionar el tráfico que coincide con la regla.
-
-
Métodos de acceso - Requisitos para los agentes de usuario en los hosts y dispositivos que pueden conectarse a su cuenta.
-
Fuente - Fuente del tráfico para esta regla.
-
Puede configurar la Fuente a un País para crear una regla que imponga tráfico que provenga de ese país, basado en geolocalización IP
-
Para información sobre otros ítems de Fuente para una regla, vea Referencia de Objetos para Reglas
-
-
Postura del dispositivo - Seleccione el Perfil de Dispositivo que el dispositivo debe cumplir para que la Acción se aplique al dispositivo.
Por ejemplo, una regla con la acción Permitir, y los dispositivos deben cumplir el Perfil de Dispositivo para esa regla, de lo contrario el tráfico es bloqueado. Para obtener más información sobre cómo usar Perfiles de Dispositivo con reglas de seguridad, consulte Agregar Condiciones de Criterios de Dispositivos a Reglas de Firewall.
-
Tiempo - Define el periodo de tiempo durante el cual la regla está activa.
-
Acciones - Aplique la acción especificada al tráfico que coincide con la regla. Las opciones son:
-
Permitir: La acción está permitida y no se crea ningún evento
-
Monitorear: La acción está permitida y se crea un evento
-
Bloquear: La acción está bloqueada
-
- Defina las opciones de seguimiento para eventos y notificaciones por correo electrónico.
Cree una nueva regla de Control de Aplicaciones y configure los ajustes de la regla para implementar la política de Control de Aplicaciones para su organización.
Las opciones de Tiempo definen el rango de tiempo que la regla está habilitada. Puede configurar opciones personalizadas para una regla, o elegir las horas de trabajo predeterminadas que están definidas para la cuenta.
Para crear una nueva regla de Control de Aplicaciones:
-
Desde el menú de navegación, selecciona Seguridad > Aplicaciones & Datos Integrado.
-
Haga clic en Nuevo y seleccione Regla de Control de Aplicaciones. El panel Regla de Control de Aplicaciones se abre.
-
Expanda la sección General y configure estos ajustes:
-
Ingrese un Nombre para la regla.
-
Habilite o deshabilite la regla usando el deslizador (verde es habilitado, gris es deshabilitado).
-
Seleccione la Gravedad.
La severidad se utiliza en los eventos y análisis de monitorización para esta regla.
-
-
Expanda la sección de Aplicación, y seleccione la aplicación o categoría para el tráfico que coincide con esta regla.
-
Expanda la sección de Actividades o Criterios, y configure estos ajustes:
-
Haga clic en Añadir Actividad o Añadir Criterios y seleccione el elemento para la regla.
-
Si es necesario, haga clic en
y configure la configuración para este artículo.
-
Cuando hay múltiples elementos en la sección de Actividades o Criterios, en el menú desplegable Satisfacer, defina la relación entre los elementos:
-
cualquiera (OR) - Si cualquiera de los elementos coincide con el tráfico, entonces se aplica la regla
-
todos (AND) - Si todos los elementos coinciden con el tráfico, entonces se aplica la regla
-
-
-
Expanda la sección de Métodos de Acceso, y defina los requisitos del agente de usuario.
Si hay múltiples elementos, hay una relación AND entre ellos.
-
Expanda la sección de Fuente y seleccione uno o más objetos para la fuente del tráfico para esta regla (o puede ingresar una dirección IP).
Seleccione el tipo (por ejemplo: Host, Interfaz de Red, IP, Cualquiera). El valor predeterminado es Cualquiera.
-
Expanda la sección de Postura del dispositivo, y seleccione uno o más Perfiles de Dispositivo para la regla.
Cuando hay múltiples Perfiles de Dispositivo para una regla, hay una relación OR entre ellos.
-
(Opcional) Expanda la sección de Tiempo, y defina cuándo está activa la regla.
Seleccione Sin restricciones de tiempo para establecer la regla como siempre activa.
-
Expanda la sección de Acciones, y configure estos ajustes:
-
Seleccione la Acción para esta regla. Las opciones son Permitir, Bloquear y Monitorizar.
-
(Opcional) Configure opciones de seguimiento para generar Eventos y Enviar Notificación. La frecuencia comienza a contar después de que se envía la primera notificación.
Para obtener más información sobre las notificaciones, consulte el artículo relevante para Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección de Alertas.
-
-
Haga clic en Aplicar.
Los Conjuntos de Valores son categorías definidas por el usuario que le ayudan a gestionar las reglas de Control de Aplicaciones para grupos de elementos como URLs o direcciones de correo electrónico. Por ejemplo, puede:
-
Gestionar el acceso a un grupo de carpetas específicas de Dropbox con una regla, configurando una regla de Dropbox con un Conjunto de Valores definido con las URLs de ruta completa para las carpetas
-
Permitir la actividad de Iniciar sesión solo para usuarios específicos creando una regla configurada con un Conjunto de Valores definido con una lista de direcciones de correo electrónico
Para usar un Conjunto de Valores en una regla de Control de Aplicaciones:
-
Cree un Conjunto de Valores de tipo Cadenas de Texto. Conjuntos de Valores con otros tipos no funcionarán con las reglas de Control de Aplicaciones.
-
Cree una nueva regla de control de aplicaciones como se describe anteriormente.
-
En la sección de Actividades, seleccione el operador En y luego cree o seleccione el Conjunto de Valores.
Para obtener más información sobre cómo crear Conjuntos de Valores, consulte Trabajar con Categorías.
La política de Control de Aplicaciones es una base de reglas ordenada, y cuando necesita crear una excepción para una regla, puede crear nuevas reglas para permitir el tráfico. Asegúrese de que la nueva regla esté ANTES de la regla de bloqueo.
Para añadir una excepción a una regla de bloqueo en la política de Control de Aplicaciones:
-
Desde el menú de navegación, selecciona Seguridad > Aplicaciones & Datos Integrado.
-
A la derecha de la regla, haga clic en
y seleccione Agregar Regla Arriba.
El panel Nueva Regla de App en la Nube se abre.
-
Configura los ajustes para la regla de Control de Aplicaciones.
-
En la sección Acciones, asegúrate de seleccionar Permitir.
-
-
Haz clic en Aplicar.
La excepción se añade a la base de reglas de Control de Aplicaciones.
Esta sección describe los campos disponibles para reglas que requieren criterios y actividades.
Estas son explicaciones de los campos que puedes configurar para reglas que requieren criterios específicos. Los criterios se dividen en tres secciones: Seguridad, General y Cumplimiento.
|
Campo de Criterios |
Explicación |
|---|---|
|
Criterios de seguridad |
|
|
Rastro de Auditoría |
La aplicación admite el registro de auditoría para cambios de admin |
|
Protocolo de Cifrado |
Basado en el análisis en Cato Cloud, define los protocolos de cifrado TLS permitidos para la aplicación |
|
Cifrado en reposo |
El almacenamiento de datos para el servicio está cifrado |
|
Encabezados de Seguridad HTTP |
Admite encabezados de seguridad HTTP |
|
MFA |
Admite autenticación multifactor |
|
RBAC |
Admite control de acceso basado en reglas (RBAC) para los administradores |
|
Recordar Contraseñas |
Permite a los usuarios recordar la contraseña en el navegador local |
|
Puntuación de Riesgo |
Cato asigna a cada aplicación en la nube una puntuación de riesgo entre 0 (sin riesgo) a 10 (muy alto riesgo) para ayudarte a evaluar si la aplicación cumple con los requisitos de tu política de seguridad, ver Trabajar con el Panel de Aplicaciones en la Nube |
|
Tipo de SSO |
Admite inicio de sesión único (SSO) |
|
Aplicación de TLS |
Basado en el análisis en Cato Cloud, la aplicación solo permite tráfico cifrado con TLS |
|
Certificados de Confianza |
Basado en el análisis en Cato Cloud, esta aplicación solo usa certificados de confianza de una autoridad de certificación registrada (no certificados autofirmados o revocados) |
|
Criterios generales |
|
|
Código de País |
País donde se encuentran físicamente las oficinas centrales de la empresa (País de Origen Registrado) |
|
Criterios de Cumplimiento |
|
|
Opciones de Cumplimiento |
Ver abajo, Requisitos de Cumplimiento Soportados. |
Estas son explicaciones de los campos que puedes configurar para reglas que requieren actividades específicas. La tabla también muestra un ejemplo de una aplicación que incluye el campo de actividad para una regla.
|
Campo de Actividad |
Explicación |
Aplicación de Ejemplo |
|---|---|---|
|
Añadir Adjunto |
Adjuntar un archivo a un email |
Gmail |
|
Chat |
Usar la función de chat de una aplicación |
|
|
Eliminar mensaje |
Eliminar un mensaje de una conversación en una aplicación |
Slack |
|
Descargar |
Descargar un archivo del almacenamiento en la nube |
Google Drive |
|
Editar |
Editar permisos para la aplicación |
Salesforce |
|
Exportar |
Exportar datos o registros de la aplicación |
Salesforce |
|
URL de Ruta Completa |
Solo se permite o bloquea tráfico de aplicación que coincida con la ruta específica. Por ejemplo, en dropbox.com/contact la URL de Ruta Completa debe incluir la ruta /contact |
Dropbox |
|
Inicio de Sesión |
Iniciar sesión en una cuenta |
|
|
Cerrar Sesión |
Cerrar sesión de una cuenta |
|
|
Publicar |
Publicar un mensaje o comentario en una aplicación de redes sociales |
|
|
Guardar informe |
Guardar un informe de la aplicación en el host o dispositivo |
Salesforce |
|
Enviar correo |
Enviar mensajes de correo electrónico |
Microsoft Outlook |
|
Enviar mensaje (archivo) |
Enviar un mensaje que incluya un archivo |
Slack |
|
Enviar mensaje (texto) |
Enviar un mensaje que solo incluya texto |
Slack |
|
Iniciar sesión |
Iniciar sesión en la aplicación |
Slack |
|
Cerrar sesión |
Cerrar sesión de la aplicación |
Slack |
|
Subir |
Subir un archivo al almacenamiento en la nube |
Box |
|
Ver transmisión |
Ver video en streaming |
YouTube |
Esta sección contiene las mejores prácticas recomendadas para implementar la política de Control de Aplicaciones en tu cuenta. Cuando se indique, la mejor práctica también se aplica a la adición de una nueva aplicación a la política.
-
Cuando implementas la política, o añades una nueva aplicación con la acción Bloquear:
-
Usa la acción Monitor para la regla.
-
Revisa los eventos que genera la regla y asegúrate de que no haya eventos para el tráfico que deseas permitir (tráfico falso positivo).
-
Si hay tráfico falso positivo, puedes hacer estos cambios:
-
Refina el alcance de la regla para excluir el tráfico falso positivo
-
Crea una nueva regla de permitir antes de la regla de bloqueo, y el alcance de la nueva regla es solo para el tráfico falso positivo
-
-
-
La política admite aplicaciones basadas en navegador. Los clientes nativos no están admitidos a menos que se especifique explícitamente.
-
Recuerde que la política de Control de Aplicaciones es una política ordenada, y la regla implícita final es ANY ANY Accept. Agrega reglas a la política para bloquear el tráfico de aplicaciones relevantes, las actividades y los criterios.
-
El número máximo de eventos de Control de Aplicación para su cuenta es de 2,5 millones de eventos por hora.
Esta sección contiene ejemplos de reglas de Control de Aplicaciones para aplicar la política CASB en su organización.
El ejemplo anterior muestra dos reglas para la categoría Programas y Servicios de Office, que es para aplicaciones y servicios de Office365.
-
La Regla 1 permite el tráfico que cumple con los requisitos de cumplimiento para Office365 con la siguiente configuración:
-
Fuente - Cualquiera. Se aplica a todas las fuentes de tráfico.
-
Aplicación - Programas y Servicios de Office. Se aplica a la categoría para Office365.
-
Criterios - SOC2, Certificados Confiables, SSO con relación AND. Se aplica al tráfico que cumple con todos los elementos de cumplimiento.
-
Gravedad - Media. El tráfico que coincide con esta regla se categoriza como riesgo Medio para análisis.
-
Acción - Permitir. Se permite el tráfico de Office365 que cumple con los requisitos de cumplimiento.
-
-
La Regla 2 bloquea todo el otro tráfico de Office365, con la siguiente configuración que es diferente de la regla 1:
-
Criterios - ninguno. Se aplica a todo el tráfico de Office365, porque la regla 1 ya coincide con el tráfico permitido.
-
Acción - Bloquear. Bloquea todo el tráfico de Office 365, porque la regla 1 ya permitió todo el tráfico conforme.
-
Seguimiento - Evento. Genera eventos para todo el tráfico no conforme de Office365.
-
La pantalla de Eventos muestra todos los eventos de Control de Aplicaciones para su cuenta. Estos eventos de Seguridad son del Subtipo, Apps Security.
Puedes aprender más sobre el uso de la pantalla Eventos aquí. Puede usar el ajuste preestablecido SaaS Security API Data Protection para filtrar los eventos.
Estos son los campos que se relacionan exclusivamente con el Control de Aplicaciones:
|
Nombre del Campo |
Descripción |
|---|---|
|
actividad de la aplicación |
Para eventos con la acción de bloqueo, muestra la actividad para la regla (ver arriba, Reglas Basadas en Actividad) |
|
categoría de actividad de la aplicación |
La categoría general de la actividad de la aplicación en el evento. Para obtener más información sobre las categorías de actividades de aplicaciones, consulte más abajo Comprendiendo las Categorías y Tipos de Actividades de Aplicaciones. |
|
tipo de actividad de la aplicación |
El tipo de actividad de la aplicación. Para obtener más información sobre los tipos de actividades de aplicaciones, consulte más abajo Comprendiendo las Categorías y Tipos de Actividades de Aplicaciones. |
|
aplicación |
Nombre de la aplicación |
|
riesgo de la aplicación |
Nivel de riesgo Cato para esta aplicación |
|
URL de ruta completa |
Ruta completa del URL al que se conecta el tráfico |
|
es aplicación sancionada |
Verdadero significa que esta aplicación está configurada como una aplicación sancionada |
Estos son los valores posibles para el campo Categoría de Actividad de Aplicación y la descripción de cada categoría:
-
Operaciones de Contenido - Actividades donde los datos (generalmente archivos o texto claro) son:
-
Cargados desde el cliente a la aplicación SaaS
-
Descargados de la aplicación SaaS al cliente
-
Editados en la aplicación SaaS
Por ejemplo: Cargar, Descargar, Mover
-
-
Compartir Contenido - Actividades donde se modifica el acceso para datos que ya residen en una aplicación SaaS. Por ejemplo: Compartir, Enlace Compartido Anónimo
-
Comunicación & Colaboración - Actividades donde se transfiere información entre usuarios de la aplicación SaaS. Por ejemplo: Chat, Video, Voz
-
Búsqueda & Vista - Actividades donde se accede a datos en la aplicación SaaS sin que los datos en sí o sus permisos sean modificados. Por ejemplo: Buscar, Acceso a Archivos
-
Configuraciones de Administrador - Por ejemplo: Creación de Usuarios, Cuarentena, Cambiar permisos
-
Inicio de Sesión y Autenticación - Por ejemplo: Inicio de Sesión, Cierre de Sesión, Fallo en inicio de sesión
-
API e Integración - Por ejemplo: Consultar API, Agregar integración <App Name>
-
Ejecución - Por ejemplo: Ejecutar Flujo, Ejecutar Informe/Tablero
-
General - Actividades que no cumplen con la definición de ninguna de las otras categorías, o actividades que aún no han sido asignadas a una categoría
Estos son los valores posibles para Tipo de Actividad de Aplicación y las actividades incluidas en cada tipo:
-
Compartir Archivos - Cargar, Descargar, Eliminar, Compartir, Editar, Ver, Crear
-
Control de Fuente - Pull/Clone, Push
-
Chat - Enviar Mensaje, Enviar Mensaje de Voz, Recibir Mensaje, Eliminar Mensaje, Agregar Reacción
-
Correo - Enviar Correo
-
Redes Sociales - Publicar, Comentar
-
Aplicaciones de Administrador - Iniciar Sesión, Inicio de Sesión de Terceros, Cierre de Sesión, Autorizar Terceros, Cambiar Permisos de Elementos
-
Plataformas IaaS - Acceso
-
Finanzas - Editar, Exportar, Guardar Informe
-
Medios de Streaming - Ver Streaming
-
Conferencias Web - Videollamada
-
Compartir Conocimiento - Crear, Editar, Compartir
-
Gestión de Tareas - Crear Tarea, Editar Tarea, Eliminar Tarea, Cambiar Estado de Tarea, Asignar
-
Motor de Búsqueda - Buscar
-
Herramientas de IA - Conversación
Si una actividad es bloqueada por una regla de Control de Aplicaciones, puede configurar una notificación para que se muestre al Usuario, explicando qué aplicación fue bloqueada y por qué.
Así es como aparece la notificación en un dispositivo Windows:
Así es como aparece la notificación en un dispositivo iOS:
-
Soportado desde:
-
Cliente Windows v5.10 y superior
-
Cliente macOS v5.7 y superior
-
Cliente iOS v5.4 y superior
-
-
El usuario debe estar conectado de forma remota
-
Las notificaciones de Windows deben estar habilitadas
Puede habilitar a los usuarios para que reciban notificaciones del sistema si una actividad es bloqueada por una regla de Control de Aplicaciones.
0 comentarios
Inicie sesión para dejar un comentario.