Cet article fournit un aperçu de la façon de répondre aux préoccupations en matière de sécurité dans les applications SaaS multitenant en restreignant l'accès aux locataires spécifiés.
L'augmentation de l'utilisation des applications SaaS pour un usage professionnel et personnel crée le défi d'un accès multi-locataires non contrôlé. Sans visibilité et contrôle, les utilisateurs peuvent se connecter à des locataires non sanctionnés, entraînant des risques de sécurité potentiels, par exemple :
- Exfiltration de données : Lorsque des informations sensibles sont téléchargées vers des environnements non gérés
- Violations de conformité : En raison du stockage dans des emplacements non autorisés
- Perte de gouvernance : Les utilisateurs peuvent accéder à des applications SaaS non approuvées
Les restrictions de locataire répondent à ces défis en définissant quels locataires d'applications SaaS les utilisateurs peuvent ou non accéder ou contrôler les actions au sein de l'application. Elles peuvent être utilisées pour garantir que seuls les utilisateurs approuvés peuvent accéder aux locataires SaaS organisationnels et bloquer l'accès aux utilisateurs ou locataires non approuvés, par exemple, les comptes de messagerie personnels. Cela peut vous aider à répondre aux exigences de conformité et à réduire le risque de perte de données.
Cato propose plusieurs méthodes pour appliquer des restrictions de locataire :
- Conscience du Locataire : Dans les règles de Contrôle des Applications, définissez des actions spécifiques qui sont autorisées ou bloquées par locataire et utilisateur pour gérer de manière centrale les politiques tenant-aware dans votre environnement. Par exemple, bloquer le téléchargement de documents depuis Google Drive.
- Politique de Restriction des Locataires : Contrôle le trafic des utilisateurs vers les applications SaaS en modifiant les champs d'en-tête dans les requêtes client HTTP. Par exemple, bloquer l'accès aux locataires Google Drive personnels.
Une entreprise utilise Google Drive comme solution de stockage cloud d'entreprise et prend en compte le fait que ses employés ont des comptes personnels.
Pour empêcher les téléchargements accidentels ou intentionnels de données sensibles vers des comptes personnels, sans perturber l'activité professionnelle légitime, l'entreprise souhaite permettre le téléversement et le téléchargement uniquement vers son locataire Google Drive d'entreprise tout en bloquant ces activités dans les locataires personnels.
L'équipe informatique crée des règles de contrôle des applications qui permettent les actions de téléversement et de téléchargement au sein de leur locataire d'entreprise et bloquent l'action de téléversement et de téléchargement dans les autres locataires.
Vous pouvez contrôler de manière granulaire l'activité des utilisateurs entre applications SaaS en définissant des actions, des locataires et des utilisateurs spécifiques dans une règle de contrôle des applications. Le prédicat Contexte de l'application vous permet de définir les locataires spécifiques auxquels la règle s'applique. Des événements sont créés lorsqu'un utilisateur effectue une action correspondant à une règle de contrôle d'application. Pour plus d'informations sur l'affichage des événements, voir Analyser les Événements dans Votre Réseau
Pour plus d'informations sur la création de règles de Contrôle des Applications, voir Gérer la Politique de Contrôle des Applications.
Pour identifier les applications et actions supportées, dans le Catalogue d'Applications, dans le champ de recherche, recherchez le mot Locataire. Développez chaque application pour identifier les actions prises en charge.
En utilisant l'activité Connexion dans des règles de contrôle d'application, vous pouvez définir les utilisateurs qui sont capables de se connecter ou qui sont bloqués d'une application spécifiée. Par exemple, vous pouvez définir les utilisateurs pouvant se connecter à Facebook tout en bloquant tous les autres utilisateurs.
Pour utiliser cette méthode pour appliquer des restrictions de locataire:
- Créer une règle qui permet l'action de connexion lorsque le nom d'utilisateur correspond à des critères spécifiques
- Créer une règle de priorité inférieure qui bloque l'action de connexion pour l'application lorsque le nom d'utilisateur correspond à des critères spécifiques
Les utilisateurs qui étaient connectés à l'application avant l'application de la règle ne sont pas forcés de se déconnecter. Cette méthode est disponible pour les applications qui prennent en charge l'action de connexion.
Pour plus d'informations sur la création de règles de Contrôle des Applications, voir Gérer la Politique de Contrôle des Applications.
La politique de restriction des locataires vous permet de créer des règles pour limiter les locataires auxquels les utilisateurs peuvent accéder pour les applications autorisées dans votre réseau. Cela vous aide à sécuriser votre réseau en empêchant l'accès à des locataires autres que le locataire de votre organisation. Par exemple, vous pouvez empêcher les utilisateurs d'accéder à leur compte de messagerie personnel ou à leur compte de partage de fichiers pour aider à éviter la fuite de données sensibles.
Pour plus d'informations, voir Gérer les Restrictions de Locataire pour les Applications SaaS (Politique de Restriction des Locataires).
0 commentaire
Cet article n'accepte pas de commentaires.