Configuration du Service RBI pour les sessions de navigation

Cet article explique comment configurer le service d'Isolation du Navigateur à Distance (RBI) pour protéger contre les menaces basées sur le web.

Vue d'ensemble

RBI protège les appareils contre les menaces ciblées sur le web et le contenu malveillant pouvant être intégré dans les sites et services Internet. RBI fonctionne comme un service Cato isolé qui émule l'activité de navigation pour les utilisateurs et transmet ensuite le trafic émulé à l'appareil de l'utilisateur. Cela permet de protéger l'appareil des menaces de malware en s'assurant que tout le code dans le navigateur soit exécuté à distance et jamais sur l'appareil.

Pour les situations où le service RBI ne peut pas émuler le trafic, vous pouvez configurer une Action de Secours qui détermine comment le trafic est géré. Par exemple, si vous désactivez temporairement le service RBI, ou si le service est momentanément inaccessible.

Pour plus d'informations sur le service RBI, voir Sécurisation des sessions de navigation grâce à l'Isolation du Navigateur à Distance (RBI).

Remarque : La fonctionnalité RBI n'est pas disponible pour les PoPs Cato situés en Chine. Ces PoPs appliqueront toujours l'Action de Secours pour le trafic pertinent.

Comprendre les Profils RBI

Vous pouvez personnaliser les paramètres de sécurité pour les sessions RBI avec des profils granuleux permettant de configurer différents paramètres d'isolation de navigation. Ceux-ci définissent les actions qu'un utilisateur peut effectuer sur un site. Par exemple, vous pouvez empêcher les utilisateurs de taper ou de coller du texte dans des formulaires web, et les empêcher de divulguer des identifiants et d'autres données sensibles.

Chaque Profil RBI contient :

Actions à Autoriser ou Bloquer

Pour chaque profil, vous pouvez définir les actions granuleuses à Autoriser ou Bloquer :

  • Téléversement - Téléversement de n'importe quel fichier (Téléversement par glisser-déposer non pris en charge)

  • Téléchargement - Téléchargement de n'importe quel fichier

  • Impression - Impression de contenu web

  • Copier/Coller - Copier des données du site ou coller des données dans le site

  • Saisie - Saisie de texte dans le site

Controls.png

Note : Les restrictions RBI ne s'appliquent que lors de la session de navigateur isolée. Les actions initiées en dehors du conteneur RBI (par exemple, via les menus du navigateur hôte ou les raccourcis au niveau du système d'exploitation) contournent les contrôles RBI. Pour appliquer pleinement ces contrôles, appliquez des politiques au niveau du navigateur ou du terminal (par exemple, les GPO de Chrome, les outils DLP) en plus des configurations RBI.

Texte de la Bannière RBI

Lors d'une session RBI, une bannière est affichée à l'utilisateur final pour l'informer qu'il est dans une session RBI. La marque de cette bannière peut être définie globalement dans votre compte. Pour plus d'informations, voir Personnalisation de l'Expérience Utilisateur.

Dans chaque profil RBI, vous pouvez remplacer le texte de la bannière et créer un texte personnalisé pour le profil.

Banner_text.png

Sessions RBI continues

Pour améliorer la sécurité de navigation et améliorer l'expérience utilisateur, vous pouvez configurer un profil pour permettre aux utilisateurs de continuer à naviguer vers plusieurs destinations au sein de la même session RBI. Cela garantit que les destinations que vous définissez ne sont pas ouvertes dans une session non isolée ni dans une session RBI différente. Voici des exemples d'utilisation pour des sessions RBI continues :

  • Prévenir la navigation non isolée vers des domaines risqués - Créez une liste de domaines étendue en utilisant des jokers pour garantir que l'ensemble de la session de navigation de l'utilisateur se déroule dans un environnement isolé, même si l'utilisateur navigue loin des domaines Non catégorisé ou Indéfini

  • Authentification à un site - Configurez une liste de domaines, y compris tous les sous-domaines d'une application de partage de fichiers, pour permettre aux utilisateurs de se connecter lorsqu'ils sont redirigés vers un domaine différent pour authentification.

Continue_browsing.png

Action de Repli

L'Action de Repli définit ce qui se passe lorsque l'action RBI ne peut pas être exécutée. Dans ce scénario, vous pouvez choisir de bloquer l'action ou d'afficher la page d'Invitation.

Failover.png

Utilisation de RBI avec le pare-feu Internet

Les sessions RBI sont appliquées via le Pare-feu Internet en utilisant l'action RBI dans une règle. Lorsque le trafic correspond à la règle, une session RBI démarre automatiquement. Par défaut, le profil RBI par défaut est appliqué. Vous pouvez attribuer un profil RBI différent pour répondre à vos exigences de sécurité et d'accès.

FW_RBI.png

Seules les règles pour les catégories d'applications Non catégorisées ou Non définies, ou une Catégorie Personnalisée, peuvent être configurées pour la navigation à distance. Tout autre trafic est protégé par la large gamme de services de sécurité additionnels de Cato.

Note : Ce sont les types de contenu pris en charge par Configuration d'isolation du navigateur à distance. Une Catégorie Personnalisée contenant d'autres types de contenu n'est pas prise en charge :

  • Anonymiseurs

  • Botnets

  • Activité criminelle

  • Drogues

  • Jeux d'argent

  • Piratage

  • Domaines parqués

  • Logiciels espions

  • Triche

  • Hameçonnage suspecté

  • Logiciels malveillants suspectés

  • Pornographie

  • Non catégorisé

  • Indéfini

  • Partage de fichiers

  • Stockage en ligne

Prérequis pour le service RBI

  • L'activation du service RBI nécessite une licence RBI. Pour plus de détails sur l'achat de la licence RBI, veuillez contacter votre représentant Cato.

  • L'inspection TLS doit être activée pour le trafic configuré pour RBI.

  • Pour que le service RBI fonctionne correctement, le pare-feu Internet doit autoriser l'accès à ces URL. Si votre pare-feu Internet a une règle de Blocage ANY-ANY en bas, ajoutez une règle explicite avec une priorité plus élevée pour autoriser le trafic vers ces URL :

    • http://securebrowsing.catonetworks.com/

    • https://authentic8.com/

  • Si vous n'utilisez pas Cato comme votre serveur DNS, ajoutez un enregistrement à votre serveur DNS local pour http://rbi.catonetworks.com/ afin de le résoudre à 10.254.254.161.

Known Limitations

  • Les URL contenant des identifiants de fragment (« # ») ne sont pas pris en charge dans la redirection RBI

Configurer le RBI

Cette section explique comment configurer le service RBI pour fournir une navigation web sécurisée pour les utilisateurs finaux.

RBI.png

Voici un flux de travail d'exemple pour implémenter RBI :

  1. Activer le service RBI

  2. Créer un Profil RBI

  3. Configurer une règle Pare-feu Internet avec l'action Navigation à distance

Étape 1 : Activer et Désactiver le Service RBI

Lorsque vous activez le service RBI, l'action Navigation à Distance pour le Pare-feu Internet est maintenant disponible, et vous pouvez ensuite créer des règles pour diriger le trafic vers le service. Par défaut, RBI est désactivé.

Pour activer ou désactiver RBI pour votre compte :

  1. Depuis le panneau de navigation, sélectionnez Sécurité > RBI.

  2. Cliquez sur le curseur pour activer (vert) ou désactiver (gris) le service RBI pour le compte.

  3. Cliquez sur Nouveau.

Étape 2 : Création d'un Profil RBI

Chaque Profil RBI contient des configurations RBI granulaires qui peuvent être appliquées à une règle de Pare-feu Internet.

Pour créer un profil RBI :

  1. Depuis le panneau de navigation, sélectionnez Sécurité > RBI.

  2. Cliquez sur Nouveau.

  3. Configurez le profil pour répondre à vos exigences.

  4. Cliquez sur Appliquer.

Étape 3 : Création d'une Règle de Pare-feu Internet pour la Navigation à Distance

Utilisez les règles de Pare-feu Internet pour définir quand Cato dirige le trafic vers le service RBI. Les règles doivent être configurées avec la Catégorie d'Application définie comme Non catégorisée, Non définie, ou Catégorie Personnalisée sans autres applications ou catégories configurées. Pour plus de détails sur la configuration des règles de Pare-feu Internet, consultez Gestion de la Politique de Pare-feu Internet.

Pour créer une règle de Pare-feu Internet pour la navigation à distance :

  1. Depuis le menu de navigation, sélectionnez Sécurité > Pare-feu Internet.

  2. Cliquez sur Nouveau.

  3. Entrez le Nom pour la règle.

  4. Activez ou désactivez la règle à l'aide du curseur (vert est activé, gris est désactivé).

  5. Configurez l'Ordre des Règles pour cette règle.

    Les nouvelles règles sont ajoutées en bas de la base de règles. Vous pouvez changer l'ordre dans lequel cette règle s'applique.

  6. Développez Source et sélectionnez le type de source.

    • Sélectionnez le type (par exemple : Hôte, Interface Réseau, IP, Utilisateur, Groupe d'Utilisateurs, N'importe lequel). La valeur par défaut est Tout.

    • Lorsque nécessaire, sélectionnez un objet spécifique dans la liste déroulante pour ce type.

  7. Développez la section App/Catégorie et sélectionnez Catégorie d'Application.

    Sélectionnez une ou plusieurs options de Non catégorisée, Non définie, ou une Catégorie Personnalisée dans la liste déroulante de Catégorie d'Application. Lorsque plus d'un objet App/Catégorie est dans une règle, il y a une relation OU entre eux.

  8. Définissez l'Action de cette règle comme Navigation à distance (RBI) et choisissez le profil requis.

  9. (Optionnel) Configurez les options de suivi pour générer Événements et envoyer une notification. La fréquence commence à compter après l'envoi de la première notification.

    Pour plus d'informations sur les notifications, voir l'article pertinent pour les Groupes d'Abonnement, Listes de Diffusion, et Intégrations d'Alerte dans la section Alertes.

  10. Cliquez sur Appliquer. La nouvelle règle est ajoutée à la base de règles.

  11. Cliquez sur Enregistrer.

    La règle est sauvegardée.

Best Practices for Implementing RBI with the Internet Firewall

Nous vous recommandons de mettre en œuvre progressivement votre politique RBI avec des périmètres spécifiques, pour éviter une mauvaise configuration potentielle des règles politiques qui pourrait entraîner l'utilisation de RBI pour le trafic qui devrait avoir un accès direct aux destinations. Voici des exemples de meilleures pratiques recommandées pour mettre en œuvre RBI.

Meilleures Pratiques pour Mettre en œuvre RBI pour les Destinations Non Catégorisées et Non Défines :

  • S'il existe déjà une règle de Pare-feu Internet configurée pour les catégories d'application Non catégorisée et Non définie :

    1. Commencez à suivre les événements pour la règle configurée afin d'identifier des destinations spécifiques Non catégorisées ou Non définies qui sont essentielles pour vos utilisateurs.

    2. Ajoutez une règle de priorité supérieure avec l'action Navigation à Distance définie pour un périmètre spécifique de sites essentiels Non catégorisés et Non définis.

  • S'il n'existe pas de règle configurée pour les catégories Non catégorisée et Non définie :

    1. Ajoutez une règle couvrant les destinations Non catégorisées et Non définies avec l'action Autoriser ou Suggérer, et configurez-la pour suivre les Événements.

    2. Commencez à suivre les événements pour identifier des destinations spécifiques Non catégorisées ou Non définies qui sont essentielles pour vos utilisateurs.

    3. Créez une règle de priorité supérieure avec l'action Autoriser ou Suggérer, et ajoutez progressivement les destinations essentielles spécifiques que vous identifiez, jusqu'à ce que toutes les destinations essentielles soient ajoutées.

    4. Définissez la règle de priorité supérieure à l'action Navigation à Distance.

  • Puisque RBI est uniquement supporté pour les navigateurs, si vous vous inquiétez du trafic non-navigateur vers Non catégorisés et Non définis domains, nous vous recommandons de créer une règle de pare-feu Internet Bloc pour le trafic Non catégorisé et Non défini. Positionnez cette règle à une priorité plus basse que la règle RBI pour ces domaines.

    Cela sécurise le trafic vers ces domaines suspects provenant de clients non-navetteurs (par exemple, des scripts cURL).

Customizing the User Experience

Dans une session RBI isolée, une bannière est affichée à l'utilisateur. Pour répondre à vos exigences de marque, vous pouvez personnaliser le design en modifiant la couleur de fond globale, le texte et la couleur du texte.

167e948476380c.png

Pour personnaliser l'expérience utilisateur :

  1. Dans le menu de navigation, cliquez sur Compte > Marque RBI.

  2. Pour changer la couleur de fond, cliquez sur la Couleur du bandeau et choisissez une couleur.

  3. Pour changer la couleur du texte, cliquez sur la Couleur du texte et choisissez une couleur.

  4. Pour changer le texte, cliquez dans le Texte d'alerte personnalisée et mettez à jour le texte.

  5. Cliquez sur Sauvegarder.

Reviewing RBI Events

Vous pouvez consulter les événements de Sécurité dans Accueil > Événements et trouver les journaux liés aux sessions d'émulation RBI effectuées pour une connexion qui a correspond à une règle de pare-feu avec l'action Navigation à Distance. Ces événements sont étiquetés avec le sous-type Pare-feu Internet et l'action RBI.

Lorsque la session RBI ne peut pas être exécutée et que l'Action de secours est invoquée, les événements pertinents ont l'action Bloquer ou Suggérer selon votre configuration.

Voici un exemple de filtre que vous pouvez créer pour visualiser des événements liés à RBI :

RBI_Event_Filter.png

Voici un exemple d'événement lié à une session RBI :

RBI_Event.png

Troubleshooting the RBI Service

Vous pouvez utiliser le Simulateur RBI pour Administrateur pour aider à diagnostiquer les problèmes que rencontrent les utilisateurs finaux lorsqu'ils tentent de naviguer vers des destinations configurées pour l'émulation RBI. L'utilitaire peut aider à isoler la cause du problème et vous aide à fournir des informations utiles au Support pour trouver une solution.

Note : Après 5 minutes d'inactivité, la session RBI se termine automatiquement et l'onglet du navigateur se ferme. Pour continuer à naviguer, l'utilisateur doit rouvrir le site dans son navigateur.

Troubleshooting the RBI Service for a URL

Si un utilisateur rencontre un problème en naviguant vers une certaine URL, vous pouvez générer une session d'émulation de test RBI pour l'URL avec le Simulateur RBI de l'Administrateur. Entrez l'URL HTTP ou HTTPS valide puis suivez le lien résultant pour afficher le site dans une session RBI. L'utilitaire envoie ce trafic directement au service RBI sans passer par le Cato Cloud. Cela peut aider à déterminer si le problème de l'utilisateur est lié au service RBI lui-même ou est causé par d'autres problèmes tels que la configuration du compte ou la connectivité de l'infrastructure Cato. Par exemple, un utilisateur connecté à Cato ne peut pas naviguer sur un site web non catégorisé configuré pour RBI, mais l'administrateur peut atteindre le site en utilisant l'utilitaire. Cela peut indiquer que le service RBI fonctionne correctement et que le problème est lié à la connectivité entre un PoP et le service.

Le simulateur RBI de l'administrateur applique les contrôles de sécurité RBI définis dans les préférences de compte RBI.

Après avoir lancé une session RBI depuis l'utilitaire, vous pouvez rapporter les résultats au support pour les aider à résoudre le problème.

Outil_Administrateur_RBI.png

Pour résoudre les problèmes avec le simulateur RBI de l'administrateur :

  1. Depuis le panneau de navigation, sélectionnez Sécurité > RBI.

  2. Sous simulateur RBI de l'administrateur, entrez une URL HTTP ou HTTPS valide. Par exemple : https://maps.google.com

  3. Choisissez le Profil à simuler.

  4. Cliquez sur Générer. Une URL est créée pour la session RBI.

  5. Cliquez sur le lien à côté de l'URL. La session RBI s'ouvre dans votre navigateur par défaut.

Limitations Connues

  • Le service RBI a un support limité pour la localisation

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 4 sur 7

0 commentaire