Cet article explique comment configurer la base de règles de Contrôle des Applications dans le cadre de la solution Cloud Access Security Broker (CASB) de Cato. Cette base de règles aide à gérer comment les utilisateurs peuvent accéder et travailler avec les applications et catégories système prédéfinies.
Pour plus d’informations sur la politique de Contrôle des Applications dans Cato, consultez What is the Unified CASB Solution?.
La politique de contrôle d'application est une extension des pare-feux Internet et WAN pour les applications cloud. Seuls les flux autorisés par les politiques de pare-feu sont inspectés par la politique de contrôle d'application en ligne. La politique de contrôle d'application ne s'applique pas aux applications de type Application dans le Catalogue d'applications.
Remarque
Note : Pour gérer l'utilisation des applications avec une règle de contrôle d'application, assurez-vous que cette application est autorisée par les pare-feux Internet et WAN.
La politique de contrôle d'application est une base de règles ordonnées qui permet de définir des activités et des critères requis pour les applications et les catégories. Chaque règle définit une application ou une catégorie. Une fois qu'une règle correspond au trafic, les règles de priorité inférieure (en dessous de la règle correspondante) ne s'appliquent pas au trafic.
La règle finale dans la base de règles est une règle implicite autorisant TOUT TOUT, donc si une connexion ne correspond à aucune règle, elle est autorisée par la règle implicite finale.
Les politiques de restriction de locataire limitent quels locataires SaaS les utilisateurs peuvent accéder, empêchant l'accès aux comptes personnels ou non autorisés et réduisant les risques de fuite de données. Cato applique ces contrôles par deux méthodes : Conscience de Locataire, qui applique des actions spécifiques au locataire autorisant ou bloquant dans le contrôle d'application, et la politique de restriction de locataire, qui injecte des en-têtes HTTP pour orienter les applications vers le locataire correct. Ensemble, ces capacités assurent que les utilisateurs n'accèdent qu'aux locataires approuvés de votre organisation.
Pour plus d'informations, voir Gestion des Restrictions de Locataire pour les Applications SaaS (Politique de Restriction de Locataire) et Restreindre l'Accès aux Locataires d'Application SaaS..
La politique de contrôle d'application permet à différents administrateurs de modifier la politique en parallèle. Chaque admin peut modifier les règles et enregistrer les modifications dans la base de règles dans leur propre révision privée, puis les publier dans la politique de compte (la révision publiée). Pour plus d'informations sur la gestion des révisions de politiques, voir Travailler avec les Révisions de Politiques.
Travailler avec l'Assistant de Configuration de Contrôle d'Application
L'Assistant de Configuration de Contrôle d'Application examine de manière autonome votre politique à l'aide de ces vérifications et aperçus. Lorsqu'une vérification échoue, vous pouvez revoir et mettre à jour votre politique directement dans l'Assistant sans éditer les règles individuelles. Cela vous aide à rester sécurisé tout en simplifiant la gestion des politiques. Pour plus d'informations, voir Utilisation de l'Assistant de Configuration.
- Pour les règles d'application, vous devez activer l'inspection TLS pour inspecter le trafic correspondant à la règle.
-
En raison d'une politique applicative plus granulaire, assurez-vous que la politique du pare-feu Internet comporte deux règles de haute priorité (près du sommet de la base de règles) pour bloquer le trafic QUIC. Il est plus sécuritaire de ne permettre que les protocoles standards et de bloquer ces éléments dans des règles séparées :
- Application - GQuic
- Service - QUIC
Remarque
Remarque : Lorsque vous activez initialement la Politique de Contrôle des Applications, une règle est automatiquement ajoutée en haut de la base de règles du pare-feu Internet qui bloque le trafic QUIC et GQUIC. Cela suit les meilleures pratiques de sécurité de Cato.
Si nécessaire, vous pouvez éditer cette règle en fonction des exigences de votre compte.
- La Politique de contrôle d'application est incluse dans la Licence CASB. Pour plus d'informations sur l'achat de la Licence CASB, veuillez contacter votre représentant Cato.
Lorsque vous ajoutez une règle à la politique de Contrôle des Applications, configurez chaque section de la règle qui est requise pour définir l'accès et les actions permises pour cette application.
Nous recommandons que lorsque vous implémentez la politique pour la première fois, ou que vous ajoutez une nouvelle application à une politique existante, vous exécutiez les nouvelles règles avec l'action de Monitoring. Ensuite, examinez les événements et voyez si cette règle bloquerait le trafic autorisé.
Une règle de Contrôle d'Application inclut les sections suivantes :
- Général - Nom et gravité que vous choisissez d'assigner à la règle. Permet également d'activer ou de désactiver la règle.
- Application - Application prédéfinie, catégorie, application personnalisée ou appli autorisée qui correspond à cette règle. Seules les applications prises en charge apparaissent dans la liste des applications prédéfinies.
-
Activités - Définissez un ou plusieurs éléments qui définissent le comportement de l'application, et s'il existe une relation ET ou OU entre les éléments.
Vous pouvez sélectionner Toute activité granulaire pour que la règle corresponde à toutes les activités effectuées pour une application granulaire, cependant, seules les actions Autoriser et Surveiller sont disponibles.
Si le champ Activités n'est pas configuré et est vide, alors la règle correspond.
-
Pour les applications, sélectionnez l'activité correspondante à laquelle l'action est appliquée. Pour plus d'informations, voir What is the Cato DLP Service?.
Remarque
Remarque : Pour les règles d'application, vous devez activer l'inspection TLS pour inspecter le trafic correspondant à la règle.
-
Pour les catégories, sélectionnez l'activité ou le critère correspondant auquel l'action est appliquée.
Remarque
Remarque : Pour les règles de catégorie avec une activité définie, vous devez activer l'inspection TLS pour inspecter le trafic correspondant à la règle.
-
- Méthodes d'accès - Exigences pour les agents utilisateurs sur les hôtes et appareils pouvant se connecter à votre compte.
-
Source - Source du trafic pour cette règle.
- Vous pouvez définir la Source sur un Pays pour créer une règle qui applique le trafic provenant de ce pays, basé sur la géolocalisation IP
- Pour plus d'informations sur d'autres éléments de Source pour une règle, consultez Reference for Rule Objects
-
Posture de l'appareil - Sélectionnez le Profil de l'Appareil que le dispositif doit respecter pour que l'Action s'applique au dispositif.
Par exemple, une règle avec l'action Autoriser, et les appareils doivent respecter le Profil de l'Appareil pour que cette règle s'applique, sinon le trafic est bloqué. Pour plus d'informations sur l'utilisation des Profils de Dispositif avec des règles de sécurité, consultez Adding Device Conditions to Firewall Rules.
- Temps - Définir la période pendant laquelle la règle est active.
-
Actions - Appliquer l'action spécifiée au trafic qui correspond à la règle. Les options sont :
- Autoriser : L'action est autorisée et aucun événement n'est créé
- Surveiller : L'action est autorisée et un événement est créé
- Bloquer : L'action est bloquée
- Définir les options de suivi pour les événements et les notifications par e-mail.
Créez une nouvelle règle de Contrôle d'Application et configurez les paramètres de la règle pour mettre en œuvre la politique de Contrôle d'Application pour votre organisation.
Les options de Temps définissent la plage horaire pendant laquelle la règle est activée. Vous pouvez configurer des options personnalisées pour une règle ou choisir les heures de travail par défaut qui sont définies pour le compte.
Pour créer une nouvelle règle de contrôle d'application :
- Dans le menu de navigation, sélectionnez Sécurité > Application & Données en ligne.
- Cliquez sur Nouveau et sélectionnez Règle de contrôle d'application. Le panneau Règle de contrôle d'application s'ouvre.
- Développez la section Général et configurez ces paramètres :
- Entrez un Nom pour la règle.
- Activez ou désactivez la règle à l'aide du curseur (vert est activé, gris est désactivé).
-
Sélectionnez la Sévérité.
La Sévérité est utilisée dans les événements et les analyses de surveillance pour cette règle.
- Développez la section Application et sélectionnez l'application ou la catégorie pour le trafic qui correspond à cette règle.
- Développez la section Activités ou Critères et configurez ces paramètres :
- Cliquez sur Ajouter une activité ou Ajouter un critère et sélectionnez l'élément pour la règle.
- Si nécessaire, cliquez sur
et configurez les paramètres de cet élément.
-
Quand il y a plusieurs éléments dans la section Activités ou Critères, dans le menu déroulant Satisfaire, définissez la relation entre les éléments :
- n'importe lequel (OU) - Si l'un des éléments correspond au trafic, la règle est appliquée
- tous (ET) - Si tous les éléments correspondent au trafic, alors la règle est appliquée
-
Développez la section Méthodes d'accès et définissez les exigences de l'agent utilisateur.
S'il y a plusieurs éléments, il y a une relation ET entre eux.
-
Développez la section Source et sélectionnez un ou plusieurs objets pour la source du trafic de cette règle (ou vous pouvez entrer une adresse IP).
Sélectionnez le type (par exemple : Hôte, Interface Réseau, IP, N'importe lequel). La valeur par défaut est N'importe.
-
Développez la section Posture de l'appareil et sélectionnez un ou plusieurs Profils de l'appareil pour la règle.
Lorsqu'il y a plusieurs Profils de l'appareil pour une règle, il y a une relation OU entre eux.
-
(Optionnel) Développez la section Temps et définissez quand la règle est active.
Sélectionnez Aucune contrainte de temps pour définir la règle comme toujours active.
- Développez la section Actions et configurez ces paramètres :
- Sélectionnez l'Action pour cette règle. Les options sont Autoriser, Bloquer et Surveiller.
-
(Optionnel) Configurez des options de suivi pour générer Événements et Envoyer Notification. La fréquence commence à compter après l'envoi de la première notification.
Pour plus d'informations sur les notifications, voir l'article pertinent pour les Groupes d'Abonnement, Listes de Diffusion, et Intégrations d'Alerte dans la section Alertes.
- Cliquez sur Appliquer.
Les Ensembles de Valeurs sont des catégories définies par l'utilisateur qui vous aident à gérer les règles de Contrôle d'Application pour des groupes d'éléments tels que les URL ou les adresses e-mail. Par exemple, vous pouvez :
- Gérez l'accès à un groupe de dossiers spécifiques Dropbox avec une règle, en configurant une règle Dropbox avec un Ensemble de valeurs défini avec les URL du chemin complet pour les dossiers
- Autorisez l'activité de Connexion uniquement pour des utilisateurs spécifiques en créant une règle configurée avec un Ensemble de valeurs défini avec une liste d'adresses e-mail
Pour utiliser un ensemble de valeurs dans une règle de contrôle d'application :
- Créez un Ensemble de valeurs de type Chaînes de texte. Les ensembles de valeurs d'autres types ne fonctionneront pas avec les règles de contrôle d'application.
- Créez une nouvelle règle de contrôle d'application comme décrit ci-dessus.
-
Dans la section Activités, sélectionnez l'opérateur Dans puis créez ou sélectionnez l'Ensemble de Valeurs.
Pour plus d'informations sur la création d'Ensembles de Valeurs , consultez Travailler avec les Catégories.
La politique de Contrôle d'Application est une base de règles ordonnée, et lorsque vous avez besoin de créer une exception à une règle, vous pouvez créer une nouvelle règle pour autoriser le trafic. Assurez-vous que la nouvelle règle est AVANT la règle de blocage.
Pour ajouter une exception à une règle de bloc dans la politique de contrôle d'application :
- Dans le menu de navigation, sélectionnez Sécurité > Application & Données en ligne.
-
À droite de la règle, cliquez sur
et sélectionnez Ajouter Règle au-dessus.
Le panneau Nouvelle règle d'application cloud s'ouvre.
-
Configurez les paramètres pour la règle de contrôle d'application.
- Dans la section Actions, assurez-vous de sélectionner Autoriser.
-
Cliquez sur Appliquer.
L'exception est ajoutée à la base de règles du contrôle d'application.
Cette section décrit les champs disponibles pour les règles qui nécessitent des critères et des activités.
Voici des explications des champs que vous pouvez configurer pour les règles nécessitant des critères spécifiques. Les critères sont divisés en trois sections : Sécurité, Général, et Conformité.
| Champ de critère | Explication |
|---|---|
| Critères de sécurité | |
| Piste d'Audit | L'application prend en charge la piste d'audit pour les modifications admin |
| Protocole de Chiffrement | Basé sur une analyse dans le Cato Cloud, définissez les protocoles de chiffrement TLS autorisés pour l'application |
| Chiffrement au Repos | Le stockage des données pour le service est chiffré |
| En-têtes de Sécurité HTTP | Prend en charge les en-têtes de sécurité HTTP |
| MFA | Prend en charge l'Authentification Multifactorielle (MFA) |
| RBAC | Prend en charge le contrôle d'accès basé sur des règles (RBAC) pour les admin |
| Se Souvenir des Mots de Passe | Permet aux utilisateurs de mémoriser le mot de passe sur le navigateur local |
| Score de Risque | Cato attribue à chaque application cloud un score de risque compris entre 0 (aucun risque) et 10 (très haut risque) pour vous aider à évaluer si l'application répond aux exigences de votre politique de sécurité, voir Travailler avec le tableau de bord des applications Cloud |
| Type de SSO | Prend en charge l'Authentification Unique (SSO) |
| Application du Chiffrement TLS | Basé sur une analyse dans le Cato Cloud, l'application n'autorise que le trafic chiffré TLS |
| Certificats de Confiance | Basé sur une analyse dans le Cato Cloud, cette application utilise uniquement des certificats de confiance d'une autorité enregistrée (pas de certificats auto-signés ou révoqués) |
| Critères généraux | |
| Code Pays | Pays où le siège de l'entreprise est physiquement situé (Pays d'Origine enregistré) |
| Critères de conformité | |
| Options de conformité | Voir ci-dessous, Exigences de Conformité Prises en Charge. |
Voici des explications des champs que vous pouvez configurer pour les règles nécessitant des activités spécifiques. Le tableau montre également un exemple d'application qui inclut le champ d'activité pour une règle.
Note : Si le champ Activités est laissé vide, toute activité est associée à la règle.
| Champ d'Activité | Explication | Exemple d'Application |
|---|---|---|
| Ajouter une Pièce jointe | Attacher un fichier à un email | Gmail |
| Chat | Utiliser la fonction de chat d'une application | |
| Supprimer les utilisateurs de message | Supprimer les utilisateurs de message d'une conversation dans une application | Slack |
| Téléchargement | Téléchargement d'un fichier depuis stockage dans le cloud | Google Drive |
| Modifier le jeton d'accès | Modifier le jeton d'accès d'autorisations pour l'application | Salesforce |
| Exporter les membres du groupe | Exporter les membres du groupe de données ou enregistrements depuis l'application | Salesforce |
| URL Complète | Seul le trafic de l'application qui correspond au chemin spécifique est autorisé ou bloqué. Par exemple, dans dropbox.com/contact l'URL Complète doit inclure le chemin /contact | Dropbox |
| Login | Se connecter vers un Compte | |
| Logoff | Déconnectez-vous d'un Compte | |
| Poste | Publier un message ou un commentaire vers une application de médias sociaux | |
| Enregistrer le rapport | Enregistrer un rapport depuis l'application vers l'hôte ou appareil | Salesforce |
| Envoyer le courrier | Envoyer des messages email | Microsoft Outlook |
| Envoyer un message (fichier) | Envoyer un message qui inclut un fichier | Slack |
| Envoyer un message (texte) | Envoyer un message qui inclut seulement texte | Slack |
| S'identifier | S'identifier Vers l'Application | Slack |
| Déconnexion | Déconnexion de l'application | Slack |
| Téléversement | Téléversement d'un fichier vers stockage dans le cloud | Box |
| Regarder le flux | Regarder une vidéo en streaming | YouTube |
Cette section contient les pratiques recommandées pour mettre en œuvre la politique de contrôle d'application dans votre compte. Lorsqu'indiqué, la meilleure pratique s'applique également à l'ajout d'une nouvelle application à la politique.
-
Lorsque vous mettez en œuvre la politique, ou ajoutez une nouvelle application avec l'action Bloquer :
- Utiliser l'Action de Surveiller pour la règle.
- Réviser les événements que la règle génère et assurez-vous qu'il n'y a pas d'événements pour le trafic que vous souhaitez autoriser (faux positif de trafic).
-
S'il y a un trafic faussement positif, vous pouvez effectuer ces changements :
- Affiner la portée de la règle pour exclure le faux positif de trafic
- Créer une nouvelle règle d'autorisation avant la règle de blocage, et la portée de la nouvelle règle est seulement pour le faux positif de trafic
- La politique prend en charge les applications basées sur un navigateur. Les clients natifs ne sont pas pris en charge sauf spécification explicite.
- Rappelez-vous que la Politique de contrôle d'Application est une politique ordonnée, et la règle implicite finale est N'IMPORTE QUEL N'IMPORTE QUEL Accepter. Ajouter des règles à la politique pour bloquer le trafic de l'application pertinente, activités et critères.
- Le nombre maximum d'Événements de contrôle d'Application pour votre Compte est de 2.5 millions d'événements par Heure.
Cette section contient des exemples de règles de contrôle d'application pour appliquer la politique CASB dans votre organisation.
L'exemple précédent montre deux règles pour la catégorie Programmes et Services Office, qui est pour les applications et services Office365.
-
La règle 1 autorise le trafic répondant aux exigences de conformité pour Office365 avec les paramètres suivants :
- Source - N'importe lequel. S'applique à toutes les sources de trafic.
- Application - Programmes et Services Office. S'applique à la catégorie pour Office365.
- Critère - SOC2, Certificats de Confiance, SSO avec relation ET. S'applique au trafic qui correspond à tous les éléments de conformité.
- Gravité - Moyen. Le trafic qui correspond à cette règle est catégorisé comme risque Moyen pour analyses.
- Action - Autoriser. Le trafic Office365 qui répond aux exigences de conformité est autorisé.
-
La règle 2 bloque tout autre trafic Office365, avec les paramètres suivants qui diffèrent de la règle 1 :
- Critère - aucun. S'applique à tout le trafic Office365, parce que la règle 1 a déjà autorisé tout le trafic conforme.
- Action - Bloquer. Bloque tout le trafic Office 365, parce que la règle 1 a déjà autorisé tout le trafic conforme.
- Suivi - Événement. Générer des événements pour tout le trafic Office365 non conforme.
L'écran Événements montre tous les événements de contrôle d'application pour votre compte. Ces événements de sécurité sont le sous-type, Sécurité des applications.
Vous pouvez en savoir plus sur l'utilisation de la page Événements ici.
Ce sont les champs exclusivement liés au contrôle d'application :
| Nom du Champ | Description |
|---|---|
| activité de l'application | Pour les événements avec l'action de bloquer, affiche l'activité pour la règle (voir ci-dessus, Règles Basées sur l'Activité) |
| catégorie d'activité de l'application | La catégorie générale de l'activité de l'application dans l'événement. Pour plus de détails sur les catégories d'activités d'application, voir ci-dessous Comprendre les Catégories et Types d'Activités d'Application. |
| type d'activité de l'application | Le type d'activité de l'application. Pour plus de détails sur les types d'activités d'application, voir ci-dessous Comprendre les Catégories et Types d'Activités d'Application. |
| Application | Nom de l'application |
| risque de l'application | Niveau de risque Cato pour cette application |
| URL complète | Chemin complet de l'URL vers laquelle le trafic se connecte |
| application autorisée | Vrai signifie que cette application est configurée comme une application autorisée |
Ce sont les valeurs possibles pour le champ Catégorie Activité Application et la description pour chaque catégorie :
-
Opérations de contenu - Activités où les données (généralement des fichiers ou du texte clair) sont :
- Téléversé du client vers l'application SaaS
- Téléchargé de l'application SaaS vers le client
- Modifié dans l'application SaaS
Par exemple : Téléchargement, Téléchargement, Déplacement
- Partage de contenu - Activités où l'accès est modifié pour les données qui résident déjà sur une application SaaS. Par exemple : Partager, Partager un lien anonyme
- Communication & Collaboration - Activités où des informations sont transférées entre utilisateurs de l'application SaaS. Par exemple : Chat, Vidéo, Voix
- Recherche & Visualisation - Activités où les données sur l'application SaaS sont accédées sans que les données elles-mêmes ou leurs autorisations ne soient modifiées. Par exemple : Recherche, Fichier Accédé
- Paramètres d'administration - Par exemple : Création d'utilisateur, Quarantaine, Changer les permissions
- Connexion et Authentification - Par exemple : Connexion, Déconnexion, Échec de connexion
-
API et Intégration - Par exemple : Interroger l'API, Ajouter une intégration
- Exécution - Par exemple : Exécuter Flux, Exécuter Rapport/Tableau de bord
- Général - Activités qui ne répondent pas à la définition d'aucune des autres catégories ou activités qui n'ont pas encore été assignées à une catégorie
Ce sont les valeurs possibles pour le Type Activité Application et les activités incluses dans chaque type :
- Partage de fichiers - Téléversement, Téléchargement, Suppression, Partager, Modifier, Voir, Créer
- Contrôle de source - Pull/Clone, Push
- Chat - Envoyer Message, Envoyer Message Vocal, Recevoir Message, Supprimer Message, Ajouter Réaction
- Mail - Envoyer Courrier
- Réseaux Sociaux - Publier, Commenter
- Applications Admin - Connexion, Connexion Tiers, Déconnexion, Autoriser Tiers, Modifier les autorisations de l'élément
- Plateformes IaaS - Accès
- Finance - Modifier, Exporter, Enregistrer Rapport
- Médias en Streaming - Regarder le Flux
- Web Conférence - Appel Vidéo
- Partage de Connaissances - Créer, Modifier, Partager
- Gestion des tâches - Créer Tâche, Modifier Tâche, Supprimer Tâche, Changer le Statut de Tâche, Assigner
- Moteur de Recherche - Recherche
- Outils IA - Conversation
Si une activité est bloquée par une règle de Contrôle d'Application, vous pouvez configurer une notification à afficher à l'Utilisateur, expliquant quelle appli a été bloquée et pourquoi. Vous pouvez personnaliser le contenu et le branding d'une notification pour répondre aux exigences de votre organisation.
Voici comment la notification par défaut s'affiche sur un appareil Windows :
Voici comment la notification par défaut s'affiche sur un appareil iOS :
-
Pris en charge à partir de :
- Client Windows v5.10 et supérieur
- macOS Client v5.7 and higher
- iOS Client v5.4 and higher
- L'utilisateur doit être connecté à distance
- Les notifications Windows doivent être activées
Vous pouvez permettre aux utilisateurs de recevoir des notifications système si une activité est bloquée par une règle de contrôle d'application.
Pour encadrer les utilisateurs sur pourquoi une action a été bloquée, vous pouvez créer et affecter plusieurs modèles de notification et les assigner à une règle de politique. Cela vous permet de fournir des notifications contextuelles adaptées à des cas d'utilisation spécifiques au point d'application. Pour plus d'informations, voir Créer des Modèles de Notification pour les Utilisateurs.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.