この文書は、リモートブラウザ分離(RBI)サービスの設定方法について説明し、ウェブベースの脅威から保護します。
RBIは、インターネットサイトやサービスに埋め込まれる可能性のあるウェブ標的型脅威や悪意のあるコンテンツからデバイスを保護します。 RBIは、ユーザーのブラウジング活動をエミュレートし、そのエミュレートされたトラフィックをユーザーデバイスにストリームする隔離されたCatoサービスとして実行されます。 これにより、すべてのブラウザ内コードがデバイス上ではなくリモートで実行されることを保証し、マルウェアの脅威からデバイスを保護します。
RBIサービスがトラフィックをエミュレートできない場合に備えて、トラフィックの処理方法を決定するフォールバック動作を設定できます。 たとえば、RBIサービスを一時的に無効にした場合や、サービスが一時的に利用できない場合です。
RBIサービスの詳細については、リモートブラウザ分離(RBI)を通じたブラウジングセッションの保護を参照してください。
注意: 中国に所在するCato PoPにはRBIの機能は利用できません。 これらのPoPは、関連するトラフィックに常にフォールバック動作を適用します。
RBIセッション用のセキュリティ設定をカスタマイズできる詳細なプロファイルを使って、異なるブラウザ分離設定を構成できます。 これらは、ユーザーがサイト上で実行できるアクションを定義します。 たとえば、ユーザーがウェブフォームにテキストを入力したり貼り付けたりするのをブロックし、資格情報やその他の機密データを漏洩することを防止します。
各RBIプロファイルには以下が含まれます。
各プロファイルごとに、許可されるかブロックされる詳細なアクションを定義できます。
-
アップロード - 任意のファイルをアップロード(ドラッグ&ドロップ機能を使用してのアップロードはサポートされていません)
-
ダウンロード - 任意のファイルをダウンロード
-
印刷 - ウェブコンテンツを印刷
-
コピー/ペースト - サイトからデータをコピーしたり、サイトにデータをペースト
-
入力 - サイト内でテキストを入力
RBIバナーテキスト リモートブラウザ分離コンテナ外で開始されたアクション (例: ホストブラウザのメニューやOSレベルのショートカット経由) はリモートブラウザ分離の制御をバイパスします。 これらの制御を完全に施行するには、ブラウザまたはエンドポイントレベルでのポリシーをリモートブラウザ分離の設定と共に適用してください (例: Chrome GPO、データ漏洩防止ツール)。
このバナーのブランディングは、アカウント全体でグローバルに定義できます。 このバナーのブランディングは、アカウント全体でグローバルに定義できます。 詳細情報は、ユーザーエクスペリエンスのカスタマイズを参照してください。
各RBIプロファイル内でバナーのテキストをオーバーライドし、プロファイル用のカスタムテキストを作成できます。
ブラウジングのセキュリティを強化し、エンドユーザー体験を向上させるために、同じRBIセッション内で複数の目的地へのブラウジングを続けられるプロフィールを構成できます。 これにより、定義した目的地が非分離セッションまたは異なるRBIセッションで開かれないことが保証されます。 これらは、継続的なRBIセッションの例です:
-
リスクのあるドメインへの非分離ブラウジングを防止 - ワイルドカードを使用して広範なドメインリストを作成。ユーザーが未分類または未定義のドメインを離れても、ブラウジングセッション全体を分離環境で実施
-
サイトの認証 - リストを構成し、ファイル共有アプリのすべてのサブドメインを含み、異なるドメインにリダイレクトされて認証される場合にユーザーがサインインできるようにする
インターネットファイアウォールを通じてRBIセッションが強制され、ルール内でRBIアクションが使用されます。 トラフィックがルールに一致すると、RBIセッションが自動的に開始します。 デフォルトでは、デフォルトRBIプロファイルが適用されます。 セキュリティおよびアクセス要件を満たすために、異なるRBIプロファイルを割り当てることができます。
リモートブラウジングのために構成できるのは、未分類または未定義、またはカスタムカテゴリのアプリケーションカテゴリのルールのみです。 その他のすべてのトラフィックは、Catoのさまざまな追加のセキュリティサービスによって保護されています。
注: これらはRBIによってサポートされているコンテンツ種類です。 その他のコンテンツ種類を含むカスタムカテゴリはサポートされていません:
-
RBIサービスを有効にするには、RBIライセンスが必要です。 RBIライセンスの購入についての詳細は、Catoの担当者にお問い合わせください。
-
RBI用に設定されたトラフィックには、TLSインスペクションを有効にする必要があります。
-
RBIサービスが正常に機能するためには、インターネットファイアウォールがこれらのURLへのアクセスを許可する必要があります。 インターネットファイアウォールの最下部にANY-ANYブロックルールがある場合、それらのURLへのトラフィックを許可する優先度の高い明示的なルールを追加してください。
-
http://securebrowsing.catonetworks.com/
-
https://authentic8.com/
-
-
CatoをDNSサーバーとして使用しない場合、ローカルDNSサーバーにhttp://rbi.catonetworks.com/を解決するためのレコードを追加して、10.254.254.161を書き加えます。
このセクションでは、エンドユーザーに安全なウェブブラウジングを提供するためのRBIサービスの設定方法を説明します。
これはRBIを実装するためのサンプルワークフローです:
-
RBIサービスを有効にする
-
RBIプロファイルを作成する
-
インターネットファイアウォールルールをリモートブラウジングのアクションで構成する
インターネットファイアウォールルールを使用して、CatoがRBIサービスにトラフィックを誘導するタイミングを定義します。 ルールは、アプリケーションカテゴリを未分類、未定義、またはカスタムカテゴリとして設定し、他のアプリやカテゴリを設定せずに構成する必要があります。 インターネットファイアウォールルールの設定について詳しくは、インターネットファイアウォールポリシーの管理を参照してください。
リモートブラウジングのためのインターネットファイアウォールルールを作成するには:
-
ナビゲーションメニューから、セキュリティ > インターネットファイアウォールを選択します。
-
新規をクリックしてください。
-
ルールの名前を入力します。
-
スライダーを使用してルールを有効または無効にします(緑は有効、灰色は無効)。
-
このルールのためにルール順序を設定します。
新しいルールはルールベースの最下部に追加されます。 このルールが適用される順序を変更できます。
-
送信元を展開し、送信元の種類を選択します。
-
種類を選択します (例えば: ホスト、ネットワークインタフェース、IP、ユーザー、ユーザーグループ、すべて)。 デフォルト値はすべてです。
-
必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
-
アプリ/カテゴリセクションを展開し、アプリケーションカテゴリを選択します。
アプリケーションカテゴリのドロップダウンリストから、未分類、未定義、またはカスタムカテゴリのいずれかを一つ以上選択します。 ルール内に複数のアプリ/カテゴリオブジェクトがある場合、それらの間にはOR関係があります。
-
このルールのアクションをリモートブラウジング (RBI)に設定し、必要なプロフィールを選択します。
-
(オプション) トラッキングオプションを設定して イベントを生成し、 通知を送信します。 頻度は最初の通知が送信された後にカウントが開始されます。
通知に関する詳細情報は、関連するサブスクリプショングループ、メーリングリスト、アラート統合の記事をアラートセクションで参照してください。
-
適用をクリックします。 新しいルールがルールベースに追加されました。
-
保存をクリックします。
ルールが保存されました。
トラフィックが目的地に直接アクセスする必要がある場合にRBIを誤って使用しないように、特定のスコープでRBIポリシーを徐々に実装することをお勧めします。 これらは、RBIを実装するための推奨されるベストプラクティスの例です。
未分類および未定義の宛先にRBIを実装するためのベストプラクティス:
-
アプリケーションカテゴリ未分類および未定義のために設定済みのインターネットファイアウォールルールが既にある場合:
-
ユーザーにとって重要な特定の未分類または未定義の宛先を特定するために、設定済みルールのイベントの追跡を開始します。
-
必要な未分類および未定義サイトの特定のスコープに定義されたリモートブラウジングアクションを含む高い優先度のルールを追加します。
-
-
未分類および未定義カテゴリに対して設定済みのルールがない場合:
-
未分類および未定義の宛先を対象とし、アクションを許可または確認に設定し、イベントを追跡するルールを追加します。
-
ユーザーにとって重要な特定の未分類または未定義の宛先を特定するためにイベントの追跡を開始します。
-
許可または確認アクションを使って高い優先度のルールを作成し、すべての重要な宛先が追加されるまで、識別された特定の重要な宛先を段階的に追加します。
-
高い優先度のルールをリモートブラウジングアクションに設定します。
-
-
接続開始時刻RBIはブラウザのみサポートされているため、未分類および未定義ドメインへの非ブラウザトラフィックが心配な場合は、未分類および未定義トラフィックに対してインターネットファイアウォールのブロックルールを作成することをお勧めします。 これらのドメインに対するRBIルールよりも低い優先度でこのルールを配置してください。
これは、非ブラウザクライアント(例:cURLスクリプト)から発信されるこれらの疑わしいドメインへのトラフィックを保護します。
隔離されたRBIセッションでは、ユーザーにバナーが表示されます。 ブランディング要件を満たすために、グローバル背景色、テキスト、テキストの色を変更してデザインをカスタマイズできます。
ホーム > イベントでセキュリティイベントを確認し、ファイアウォールルールと一致した接続に対して実施されたRBIエミュレーションセッションに関連するログを見つけることができます。リモートブラウジングアクションを使用します。 これらのイベントは、サブタイプインターネットファイアウォールおよびアクションRBIでラベル付けされています。
RBIセッションを実行できずフォールバック動作が呼び出された場合、関連イベントのアクションは設定に応じてブロックまたは確認となります。
これは、RBIに関連するイベントを表示するために作成できるフィルターの例です:
これはRBIセッションに関連するイベントの例です:
管理者RBIシミュレータを使用して、RBIエミュレーション用に設定された宛先を閲覧しようとした際にエンドユーザーが経験する問題を診断する手助けをします。 このユーティリティは問題の原因を特定するのに役立ち、サポートに対して問題解決に役立つ情報を提供することを助けます。
注意: 5分間の操作が行われない後、自動的にRBIセッションが終了し、ブラウザータブが閉じられます。 閲覧を続けるには、ユーザーはブラウザでサイトを再度開く必要があります。
ユーザーが特定のURLをブラウズ中に問題が発生した場合、管理者RBIシミュレータを使用してURLのテストRBIエミュレーションセッションを生成できます。 有効なHTTPまたはHTTPS URLを入力し、生成されたリンクに従ってRBIセッションでサイトを表示します。 このユーティリティは、このトラフィックをCato Cloudを通さずに直接RBIサービスに送信します。 これにより、ユーザーの問題がRBIサービス自体に関連するか、アカウント設定やCatoインフラストラクチャの接続性などの他の問題によるものであるかを判断するのに役立ちます。 例えば、Catoに接続されたユーザーがRBI用に設定された未分類ウェブサイトをブラウズできないが、管理者がユーティリティを使用してサイトにアクセスできる場合があります。 これは、RBIサービスが正常に機能しており、問題がPoPとサービス間の接続に関連していることを示している可能性があります。
管理者RBIシミュレータは、RBIアカウント設定で定義されたRBIセキュリティ管理を適用します。
ユーティリティからRBIセッションを実行した後、サポートに結果を報告して問題の解決を手助けすることができます。
0件のコメント
記事コメントは受け付けていません。