Inspecter WebSockets dans le Cloud Cato

Note

Remarque : Veuillez contacter feature-releases@catonetworks.com pour plus d'informations sur l'activation et l'utilisation de cette fonctionnalité.

Vue d'ensemble

Les applications d'entreprise modernes reposent de plus en plus sur la communication WebSocket (WS) plutôt que sur les modèles de requête/réponse HTTP traditionnels. Des plateformes telles que Slack, Microsoft Teams, Zoom et des services d'IA comme ChatGPT et Copilot utilisent WebSockets pour permettre une communication bidirectionnelle et en temps réel via une connexion persistante unique.

Ce changement introduit un écart critique de visibilité et de sécurité : les techniques d'inspection traditionnelles axées sur le trafic HTTP ne peuvent analyser les charges utiles WebSocket une fois la connexion établie.

Le Cloud Cato relève ce défi grâce à une inspection approfondie des WebSockets, permettant une visibilité complète et une application des règles sur les cas d'utilisation de sécurité CASB, DLP et IA.

Principaux avantages

  • Visibilité complète des couches applicatives à travers les applications modernes

  • Application précise des politiques pour les services SaaS et IA

  • Capacités DLP améliorées pour une protection en temps réel des données

  • Amélioration de la posture de conformité avec des journaux complets d'audit

  • Élimination des angles morts WebSocket

Cas d'utilisation

Sécurité IA (Pare-feu IA)

Les applications IA dépendent fortement du streaming WebSocket.

Sans inspection :

  • Les invites et les réponses sont invisibles

  • Les données sensibles (PII, code source) peuvent fuir sans être détectées

Avec inspection :

  • Visibilité complète des invites et des réponses

  • Capacité à détecter :

    • Fuite de données

    • Violations de politique

    • Production d'IA malveillante ou non sécurisée

Application CASB

Les plateformes SaaS modernes utilisent WebSockets pour des actions de base.

Sans inspection :

  • Visibilité uniquement au niveau de la connexion (par exemple, « connecté à Slack »)

  • Aucune capacité à distinguer les actions des utilisateurs

Avec inspection :

  • Détection d'activités granulaires :

    • Téléversements/téléchargements de fichiers

    • Publication de messages

    • Partage de données

  • Application des politiques par action (par exemple, bloquer les téléversements sensibles)

Visibilité, journalisation et conformité

Sans analyse des WebSockets :

  • Journaux de couche applicative manquants

  • Données SIEM incompletes

  • Échecs de DLP et d'audit

Avec analyse :

  • Reconstruction complète d'événements

  • Trails d'audit précis

  • Journalisation conforme

Pourquoi l'inspection des WebSockets est requise

Après une poignée de main de mise à niveau HTTP initiale, les connexions WebSocket transportent des données d'application sous forme de flux continu de messages encadrés. Ces messages :

  • Ne sont pas visibles pour les moteurs d'inspection HTTP standard

  • Peuvent contenir des données structurées ou non structurées (JSON, binaire, formats propriétaires)

  • Peuvent inclure des informations sensibles telles que :

    • Contenu généré par les utilisateurs

    • Transferts de fichiers

    • Invites et réponses de l'IA

Sans une analyse adéquate, les moteurs de sécurité ne voient que les métadonnées (par exemple, IPs, ports, session TLS) et perdent tout contexte de couche applicative.

Défis de l'inspection des WebSockets

L'inspection des WebSockets est complexe en raison des caractéristiques du protocole :

  • Fragmentation du cadre – les messages peuvent être répartis sur plusieurs cadres

  • Masquage – les charges utiles client-vers-serveur sont obscurcies

  • Multiplexage – plusieurs messages logiques peuvent partager une connexion

  • Variabilité du protocole – peut utiliser JSON, GraphQL, MessagePack ou des formats propriétaires pour les charges utiles

Une inspection efficace nécessite une analyse complète, une réassemblage et une décode avant que toute analyse de sécurité puisse avoir lieu.

Comment le Cloud Cato inspecte les WebSockets

Le Cloud Cato effectue l'inspection inline des WebSockets à la vitesse du câble en utilisant une approche multi-couches :

  1. Analyse au niveau du cadre

    • Ne sont pas visibles pour les moteurs d'inspection HTTP standard

    • Peuvent contenir des données structurées ou non structurées (JSON, binaire, formats propriétaires)

    • Peuvent inclure des informations sensibles telles que :

      • Contenu généré par les utilisateurs

      • Transferts de fichiers

      • Invites et réponses de l'IA

  2. Décodage conscient du protocole

    • Identifie les protocoles d'application (par exemple, JSON, GraphQL)

    • Extrait des champs de données structurées

  3. Extraction d'événements

    • Convertit les messages en événements de sécurité significatifs, tels que :

      • Actions des utilisateurs

      • Transferts de données

      • Interactions avec l'IA

  4. Intégration de moteurs

    • Envoie les données analysées à :

      • Politiques CASB

      • Inspection DLP

      • Analyse du pare-feu IA

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire