Cet article contient des bonnes pratiques pour les politiques de sécurité et les paramètres afin de fournir la protection maximale pour votre compte.

Bonnes Pratiques de Sécurité

Ce sont les bonnes pratiques recommandées pour vous assurer que vous fournissez le meilleur niveau de défense contre les menaces cybernétiques et les malwares. Nous vous recommandons vivement de revoir les politiques de sécurité et les paramètres de votre compte sur la base des recommandations ci-dessous. 

1. Restreignez les politiques de sécurité aux politiques commerciales réelles :
   1. Examinez les règles du pare-feu WAN et Internet et assurez-vous qu'elles sont aussi spécifiques que possible.
      • Remplacez les paramètres Any dans les règles par des éléments qui sont la véritable source, destination, application, service, etc.
   2. Bloquez les Catégories Système prédéfinies de Cato qui contiennent des risques de sécurité courants, tels que : Anonymiseurs, Botnets, Tricheurs, Compromis, Activité Criminelle, Sectes, Jeux, Piratage, Keyloggers, Malwares, Nudité, P2P, Domaines stationnés, Phishing, Porno, Douteux, Spam, De mauvais goût, Armes, Éducation sexuelle, Logiciels espions, Violence et Haine.
      • Conseil - vous pouvez créer une nouvelle Catégorie Personnalisée qui contient tous les éléments comportant des risques de sécurité et l'ajouter à la règle du pare-feu.

        

   3. Bloquez la catégorie Non catégorisé, cette catégorie peut contenir des domaines et des sites Web qui sont des risques de sécurité potentiels.
   4. Pour plus d'informations, consultez Politiques de Pare-feu Internet et WAN – Bonnes Pratiques.
      (Sécurité > Pare-feu Internet et Sécurité > Pare-feu WAN)
2. Affinez les paramètres de Transfert de Port à Distance (RPF) et de Transfert de Port Local pour le trafic entrant :
   1. Évitez les règles RPF avec des Sources de Trafic qui utilisent Any (0.0.0.0) autant que possible. Configurez plutôt des plages d'adresses IP spécifiques pour les règles.
      • Pour plus d'informations, consultez Contrôler le Trafic Entrant avec le Transfert de Port à Distance.
        (Sécurité > Transfert de Port à Distance)
   2. Évitez de configurer un site avec des règles de Transfert de Port Local. Remplacez-les plutôt par des règles RPF.
      (Réseau > Sites > (nom du site) > Transfert de Port Local)
3. Implémentez la segmentation du réseau pour vos sites.
   1. Fournit une sécurité supplémentaire, en particulier contre les ransomwares.
   2. Pour plus d'informations, consultez Segmentation du Réseau - Bonnes Pratiques.
4. Utilisez les règles d'IPS Géographique pour bloquer le trafic entrant et sortant des pays où vous n’avez pas de relations commerciales et qui sont connus comme sources de trafic malveillant.
   1. Veuillez noter que les règles de restriction géographique pour IPS impactent tout le trafic de votre compte.
   2. Pour plus d'informations, consultez (Nouveau) Configuration de la politique IPS.
      (Sécurité > IPS > Restrictions Géographiques)
5. L'Inspection TLS permet aux services de sécurité de Cato d'inspecter le trafic Internet crypté.
   1. Utilisez la politique granulaire d'Inspection TLS pour n'inspecter que des types de trafic spécifiques.
   2. Excluez les applications et les destinations qui ne fonctionnent pas avec l'Inspection TLS.
   3. Pour plus d'informations, consultez Bonnes Pratiques pour l'Inspection TLS.
      (Sécurité > Inspection TLS)
6. Affinez les paramètres pour les applications personnalisées et définissez tous les éléments applicables de la règle pour l'application personnalisée.
   1. Par exemple, configurez l'application personnalisée avec une Destination IP, des Domaines, et des Ports définis au lieu de ne définir que les Ports.
   2. Pour plus d'informations, consultez (Nouveau) Travailler avec des Applications Personnalisées.
      (Ressources > Applications Personnalisées)