Inspeccionando WebSockets en Cato Cloud

Nota

Nota: Por favor, contacte feature-releases@catonetworks.com para más información sobre la habilitación y el uso de esta función.

Visión general

Las aplicaciones empresariales modernas dependen cada vez más de la comunicación WebSocket (WS) en lugar de los modelos de solicitud/respuesta HTTP tradicionales. Plataformas como Slack, Microsoft Teams, Zoom y servicios de AI como ChatGPT y Copilot utilizan WebSockets para habilitar la comunicación bidireccional en tiempo real a través de una única conexión persistente.

Este cambio introduce una brecha crítica en visibilidad y seguridad: las técnicas de inspección tradicionales que se enfocan en el tráfico HTTP no pueden analizar las cargas útiles de WebSocket una vez establecida la conexión.

Cato Cloud aborda este desafío con una inspección profunda de WebSockets, habilitando visibilidad completa y aplicación a través de los casos de uso de seguridad CASB, DLP y AI.

Beneficios Clave

  • Visibilidad completa a nivel de aplicación en aplicaciones modernas

  • Aplicación precisa de políticas para servicios SaaS y AI

  • Capacidades mejoradas de DLP para la protección de datos en tiempo real

  • Mejora en el cumplimiento normativo con registros de auditoría completos

  • Eliminación de puntos ciegos de WebSocket

Casos de Uso

Seguridad AI (Cortafuegos AI)

Las aplicaciones AI dependen en gran medida de la transmisión WebSocket.

Sin inspección:

  • Las solicitudes y respuestas son invisibles

  • Los datos sensibles (PII, código fuente) pueden filtrarse sin ser detectados.

Con inspección:

  • Visibilidad completa en solicitudes y respuestas

  • Capacidad para detectar:

    • Fugas de datos

    • Violaciones de políticas

    • Resultados AI maliciosos o inseguros

Aplicación CASB

Las plataformas modernas de SaaS utilizan WebSockets para acciones centrales.

Sin inspección:

  • Solo visibilidad a nivel de conexión (por ejemplo, "conectado a Slack")

  • Sin capacidad para distinguir las acciones del usuario

Con inspección:

  • Detección granular de actividades:

    • Subidas/descargas de archivos

    • Publicación de mensajes

    • Compartición de datos

  • Aplicación de políticas por acción (por ejemplo, bloquear cargas sensibles)

Visibilidad, Registro y Cumplimiento

Sin análisis de WebSocket:

  • Registros de aplicación a nivel faltante

  • Datos de SIEM incompletos

  • Fallos de DLP y auditoría

Con análisis:

  • Reconstrucción completa de eventos

  • Registros de auditoría precisos

  • Registro de cumplimiento preparado

Por qué se requiere la Inspección de WebSocket

Después de un apretón de manos inicial de actualización HTTP, las conexiones WebSocket transportan datos de aplicación como un flujo continuo de mensajes enmarcados. Estos mensajes:

  • No son visibles para los motores de inspección HTTP estándar

  • Pueden contener datos estructurados o no estructurados (JSON, binario, formatos propietarios)

  • Pueden incluir información sensible como:

    • Contenido generado por el usuario

    • Transferencias de archivos

    • Solicitudes y respuestas AI

Sin un análisis adecuado, los motores de seguridad solo ven metadatos (por ejemplo, IPs, puertos, sesión TLS) y pierden todo el contexto a nivel de aplicación.

Desafíos en la Inspección de WebSockets

La inspección de WebSockets es compleja debido a las características del protocolo:

  • Fragmentación de cuadros — los mensajes pueden dividirse en varios marcos

  • Enmascaramiento - las cargas útiles de cliente a servidor están ofuscadas

  • Multiplexación - múltiples mensajes lógicos pueden compartir una conexión

  • Variabilidad del protocolo - las cargas útiles pueden usar JSON, GraphQL, MessagePack o formatos propietarios

La inspección efectiva requiere un análisis completo, reensamblaje y decodificación antes de que pueda ocurrir cualquier análisis de seguridad.

Cómo la Cato Cloud Inspecciona WebSockets

La Cato Cloud realiza la inspección de WebSockets en línea a la velocidad del cable usando un enfoque de múltiples capas:

  1. Análisis a Nivel de Marco

    • No son visibles para los motores de inspección HTTP estándar

    • Pueden contener datos estructurados o no estructurados (JSON, binario, formatos propietarios)

    • Pueden incluir información sensible como:

      • Contenido generado por el usuario

      • Transferencias de archivos

      • Solicitudes y respuestas AI

  2. Decodificación Sensible al Protocolo

    • Identifica protocolos de aplicación (por ejemplo, JSON, GraphQL)

    • Extrae campos de datos estructurados

  3. Extracción de Eventos

    • Convierte mensajes en eventos de seguridad significativos, tales como:

      • Acciones del usuario

      • Transferencias de datos

      • Interacciones AI

  4. Integración de Motor

    • Envía datos analizados a:

      • Políticas CASB

      • Inspección DLP

      • Análisis de Cortafuegos AI

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios