Cet article explique comment les différents moteurs de sécurité dans le Cato Cloud gèrent les données pour l'URL de chemin complet au sein d'un flux de trafic.
Les requêtes HTTP sont traitées différemment par le moteur de pare-feu utilisé pour la politique de pare-feu Internet et par le moteur de contrôle des applications utilisé pour la politique de contrôle des applications. La plate-forme Cato inclut plusieurs moteurs de sécurité qui analysent et traitent simultanément les flux de trafic, et il peut être difficile de comprendre comment les données, telles que l'URL de chemin complet, sont extraites d'un flux spécifique et enregistrées dans un événement.
Pour plus d'informations sur les moteurs de sécurité Cato, consultez Comprendre le flux de paquets avec l'architecture Cato SPACE.
L'URL est un attribut qui change souvent avec chaque requête HTTP dans un flux de trafic. Les moteurs de pare-feu sont conçus pour équilibrer la sécurité et les performances et n'inspectent pas chaque requête HTTP qui se produit dans un flux. Cela signifie que les données de l'URL de chemin complet pour les événements de pare-feu Internet peuvent être trompeuses. Le PoP fait de son mieux pour enrichir les événements avec des données supplémentaires, et il est possible que les événements du pare-feu Internet contiennent les données complètes de l'URL de chemin.
D'autre part, le moteur de contrôle des applications examine chaque requête HTTP avec une session et enregistre les données de l'URL de chemin complet. Pour les clients qui utilisent le service CASB, les événements de trafic de sécurité des applications contiendront les données complètes de l'URL de chemin pour les applications cloud pertinentes, car le moteur de contrôle des applications a extrait ces données.
La principale différence entre le moteur de contrôle des applications et le moteur de pare-feu est la fréquence à laquelle les requêtes HTTP sont inspectées :
-
Moteur de contrôle des applications :
-
Pour les politiques de contrôle des applications (CASB), inspecte chaque requête HTTP avec un flux de trafic
-
Enregistre le champ URL de chemin complet pour les événements
-
-
Moteur de pare-feu :
-
Pour les politiques de pare-feu Internet, inspecte la première requête HTTP dans un flux de trafic
-
Comportement incohérent pour l'enregistrement du champ URL de chemin complet pour les événements
-
Meilleure pratique : Si vous souhaitez enregistrer de manière cohérente les données de l'URL de chemin complet dans des événements, utilisez la politique de contrôle des applications pour enregistrer les événements pour le trafic pertinent avec les paramètres suivants :
-
Application - Toute application cloud
-
Critère - Toute activité granulaire
0 commentaire
Cet article n'accepte pas de commentaires.