Este artigo explica como configurar a base de regras de Controle de Aplicativos como parte da solução Cloud Access Security Broker (CASB) da Cato. Esta base de regras ajuda a gerenciar como os usuários têm permissão para acessar e trabalhar com as aplicações predefinidas e categorias do sistema.
Para mais informações sobre a política de Controle de Aplicativos na Cato, consulte What is the Unified CASB Solution?.
A política de Controle de Aplicativos é uma extensão dos firewalls da Internet e WAN para Aplicações em Nuvem. Apenas fluxos permitidos pelas políticas de firewall são inspecionados pela política de Controle de Aplicativos em linha. A política de Controle de Aplicativos não se aplica a aplicativos com o tipo Aplicação no Catálogo de Aplicativos.
Nota
Nota: Para gerenciar o uso de aplicativos com uma regra de Controle de Aplicativos, certifique-se de que este aplicativo seja permitido pelos firewalls da Internet e WAN.
A política de Controle de Aplicativos é uma base de regras ordenada que permite definir atividades e critérios obrigatórios para aplicações e categorias. Cada regra define uma aplicação ou uma categoria. Assim que uma regra corresponde ao tráfego, as regras de prioridade inferior (abaixo da regra correspondente) não são aplicadas ao tráfego.
A última regra na base de regras é uma regra implícita de permitir QUALQUER QUALQUER, então se uma conexão não corresponder a uma regra, ela é permitida pela regra implícita final.
Políticas de restrição de inquilino limitam quais locatários SaaS os usuários podem acessar, impedindo o acesso a contas pessoais ou não autorizadas e reduzindo riscos de vazamento de dados. A Cato impõe esses controles por meio de dois métodos: Consciência de Inquilino, que aplica ações de permitir ou bloquear específicas do inquilino dentro do Controle de Aplicativos, e a política de Restrição de Inquilino, que injeta cabeçalhos HTTP para direcionar aplicativos ao inquilino correto. Juntas, essas capacidades garantem que os usuários acessem apenas os inquilinos aprovados da sua organização.
Para mais informações, consulte Gerenciando Restrições de Locatários para Aplicativos SaaS (Política de Restrições de Locatários) e Restringindo o Acesso a Locatários de Aplicativos SaaS..
A Política de Controle de Aplicativos permite que diferentes administradores editem a política em paralelo. Cada administrador pode editar regras e salvar as alterações na base de regras em sua própria revisão privada, e então publicá-las na política de contas (a revisão publicada). Para mais informações sobre como gerenciar revisões de política, consulte Trabalhando com Revisões de Política.
Trabalhando com o Assistente de Configuração de Controle de Aplicativos
O Assistente de Configuração de Controle de Aplicativos revisa autonomamente sua política usando essas verificações e insights. Quando uma verificação falha, você pode revisar e atualizar sua política diretamente no Assistente sem editar regras individuais. Isso ajuda você a permanecer seguro enquanto simplifica o gerenciamento de políticas. Para mais informações, veja Usando o Assistente de Configuração.
- Para regras de aplicação, você deve ativar a Inspeção TLS para inspecionar o tráfego que corresponde à regra.
-
Como resultado de uma política de aplicativo mais granular, certifique-se de que a política do firewall da Internet tenha duas regras com alta prioridade (próximo ao topo da base de regras) para bloquear o tráfego QUIC. É mais seguro permitir apenas protocolos padrão e bloquear estes itens em regras separadas:
- Aplicação - GQuic
- Serviço - QUIC
Nota
Nota: Quando você habilita inicialmente a Política de Controle de Aplicativos, uma regra é automaticamente adicionada ao topo da base de regras do firewall da Internet que bloqueia o tráfego QUIC e GQUIC. Isso segue as Melhores Práticas de segurança da Cato.
Se necessário, você pode editar esta regra de acordo com os requisitos da sua conta.
- A política de Controle de Aplicativos está incluída na licença CASB. Para mais informações sobre a compra da licença CASB, entre em contato com seu representante Cato.
Quando você adiciona uma regra à política de Controle de Aplicativos, configure cada seção na regra que é necessária para definir o acesso e as ações permitidas para essa aplicação.
Recomendamos que ao implementar a política pela primeira vez, ou ao adicionar uma nova aplicação a uma política existente, você execute as novas regras com a ação de Monitorar. Em seguida, reveja os eventos e veja se esta regra bloquearia o tráfego permitido.
Uma regra de Controle de Aplicativo possui as seguintes seções:
- Geral - Nome e severidade que você escolhe atribuir à regra. Também permite ativar ou desativar a regra.
- Aplicação - Aplicativo predefinido, categoria, aplicação personalizada ou Aplicativo Autorizado que corresponde a esta regra. Somente aplicativos suportados aparecem na lista de aplicações predefinidas.
-
Atividades - Defina um ou mais itens que definem o comportamento da aplicação, e se existe uma relação E ou OU entre os itens.
Você pode selecionar Qualquer Atividade Granular para a regra corresponder a todas as atividades realizadas para um aplicativo granular, no entanto, apenas as ações Permitir e Monitorar estão disponíveis.
Se o campo Atividades não estiver configurado e estiver vazio, então a regra corresponde
-
Para aplicativos, selecione a atividade correspondente à qual a ação é aplicada. Para mais informações, consulte What is the Cato DLP Service?.
Nota
Nota: Para regras de aplicação, você deve habilitar a Inspeção TLS para inspecionar o tráfego que corresponde à regra.
-
Para categorias, selecione a atividade correspondente ou o critério ao qual a ação é aplicada.
Nota
Nota: Para regras de categoria com uma atividade definida, você deve habilitar a Inspeção TLS para inspecionar o tráfego que corresponde à regra.
-
- Métodos de Acesso - Requisitos para os agentes de usuário em hosts e dispositivos que podem se conectar à sua conta.
-
Fonte - Fonte do tráfego para esta regra.
- Você pode definir a Fonte para um País para criar uma regra que aplica o tráfego originado naquele país, com base na geolocalização IP.
- Para mais informações sobre outros itens de Fonte para uma regra, consulte Reference for Rule Objects
-
Postura do Dispositivo - Selecione o Perfil do Dispositivo que o dispositivo deve atender para que a Ação seja aplicada ao dispositivo.
Por exemplo, uma regra com a ação Permitir, e os dispositivos devem atender ao Perfil do Dispositivo para essa regra, caso contrário o tráfego é bloqueado. Para mais informações sobre como usar Perfis de Dispositivos com regras de segurança, consulte Adicionando Condições de Dispositivo às Regras de Firewall.
- Tempo - Defina o período de tempo em que a regra está ativa.
-
Ações - Aplique a ação especificada ao tráfego que corresponde à regra. As opções são:
- Permitir: A ação é permitida e nenhum evento é criado
- Monitorar: A ação é permitida e um evento é criado
- Bloquear: A ação é bloqueada
- Defina as opções de rastreamento para eventos e notificações por email.
Crie uma nova regra de Controle de Aplicativo e configure as configurações da regra para implementar a política de Controle de Aplicativos da sua organização.
As opções de Tempo definem o intervalo de tempo em que a regra está habilitada. Você pode configurar opções personalizadas para uma regra, ou escolher as horas de trabalho padrão que são definidas para a conta.
Para criar uma nova regra de Controle de Aplicativos:
- Do menu de navegação, selecione Segurança > Aplicativo & Dados Inline.
- Clique em Novo e selecione Regra de Controle de Aplicativo. O painel Regra de Controle de Aplicativo é aberto.
- Expanda a seção Geral e configure estas configurações:
- Digite um Nome para a regra.
- Ative ou desative a regra usando o controle deslizante (verde é ativado, cinza é desativado).
-
Selecione a Severidade.
A Severidade é usada nos eventos e análises de monitoramento para esta regra.
- Expanda a seção Aplicação, e selecione o aplicativo ou categoria para o tráfego que corresponde a esta regra.
- Expanda a seção Atividades ou Critérios, e configure estas configurações:
- Clique em Adicionar Atividade ou Adicionar Critério e selecione o item para a regra.
- Se necessário, clique em
e configure as configurações para este item.
-
Quando há múltiplos itens na seção Atividades ou Critérios, no menu suspenso Satisfazer, defina a relação entre os itens:
- Qualquer (OU) - Se qualquer um dos itens corresponder ao tráfego, então a regra é aplicada
- Todos (E) - Se todos os itens corresponderem ao tráfego, então a regra é aplicada
-
Expanda a seção Métodos de Acesso e defina os requisitos de agente de usuário.
Se houver múltiplos itens, existe uma relação E entre eles.
-
Expanda a seção Fonte e selecione um ou mais objetos para a fonte de tráfego desta regra (ou você pode inserir um Endereço IP).
Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Qualquer). O valor padrão é Qualquer.
-
Expanda a seção Postura do Dispositivo e selecione um ou mais Perfis de Dispositivos para a regra.
Quando há múltiplos Perfis de Dispositivo para uma regra, há uma relação OU entre eles.
-
(Opcional) Expanda a seção Tempo e defina quando a regra está ativa.
Selecione Sem restrição de tempo para definir a regra como sempre ativa.
- Expanda a seção Ações, e configure estas configurações:
- Selecione a Ação para esta regra. As opções são Permitir, Bloquear e Monitorar.
-
(Opcional) Configure opções de rastreamento para gerar Eventos e Enviar Notificação. A frequência começa a contar após o primeiro envio de notificação.
Para mais informações sobre as notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção Alertas.
- Clique em Aplicar.
Conjuntos de Valores são categorias definidas pelo usuário que ajudam a gerenciar regras de Controle de Aplicativo para grupos de itens como URLs ou endereços de e-mail. Por exemplo, você pode:
- Gerencie o acesso a um grupo de pastas específicas do Dropbox com uma regra, configurando uma regra do Dropbox com um Conjunto de Valores definido com os URLs de Caminho Completo para as pastas
- Permitir a atividade de Login para apenas usuários específicos criando uma regra configurada com um Conjunto de Valores definido com uma lista de endereços de email
Para usar um Conjunto de Valores em uma regra de Controle de Aplicativos:
- Crie um Conjunto de Valores do tipo Strings de Texto. Conjuntos de Valores com outros tipos não funcionarão com Regras de Controle de Aplicativos.
- Crie uma nova regra de controle de aplicação conforme descrito acima.
-
Na seção Atividades, selecione o operador Em e então crie ou selecione o Conjunto de Valores.
Para mais informações sobre criação de Conjuntos de Valores, consulte Trabalhando com Categorias.
A política de Controle de Aplicativo é uma base de regras ordenada e quando você precisar criar uma exceção para uma regra, você pode criar novas regras para permitir o tráfego. Certifique-se de que a nova regra esteja ANTES da regra de bloqueio.
Para adicionar uma exceção a uma regra de bloqueio na política de Controle de Aplicativos:
- Do menu de navegação, selecione Segurança > Aplicativo & Dados Inline.
-
À direita da regra, clique em
e selecione Adicionar Regra Acima.
O painel Nova Regra de Aplicativo na Nuvem é aberto.
-
Configure as configurações para a regra de Controle de Aplicativo.
- Na seção Ações, certifique-se de selecionar Permitir.
-
Clique em Aplicar.
A exceção é adicionada à base de regras de Controle de Aplicativo.
Esta seção descreve os campos que estão disponíveis para regras que exigem critérios e atividades.
Estas são explicações dos campos que você pode configurar para regras que exigem critérios específicos. Os critérios são divididos em três seções: Segurança, Geral e Conformidade.
| Campo de Critérios | Explicação |
|---|---|
| Critérios de Segurança | |
| Trilha de Auditoria | A aplicação suporta trilha de auditoria para alterações de administrador |
| Protocolo de Criptografia | Com base na análise na Cato Cloud, defina os protocolos de criptografia TLS permitidos para a aplicação |
| Criptografia em Repouso | O armazenamento de dados para o serviço é criptografado |
| Cabeçalhos de Segurança HTTP | Suporta cabeçalhos de segurança HTTP |
| MFA | Suporta Autenticação Multifator |
| RBAC | Suporta Controle de Acesso Baseado em Regra (RBAC) para os administradores |
| Lembrar Senhas | Permite que os usuários lembrem a senha no navegador local |
| Pontuação de Risco | Cato atribui a cada aplicativo em nuvem uma pontuação de risco entre 0 (sem risco) a 10 (risco muito alto) para ajudá-lo a avaliar se a aplicação atende aos requisitos da sua política de segurança, veja Trabalhando com o Painel de Aplicativos na Nuvem |
| Tipo SSO | Suporta Single Sign-On (SSO) |
| Imposição de TLS | Com base na análise na Cato Cloud, a aplicação permite apenas tráfego criptografado TLS |
| Certificados Confiáveis | Com base na análise na Cato Cloud, esta aplicação usa apenas certificados confiáveis de uma CA registrada (sem certificados autoassinados ou revogados) |
| Critérios Gerais | |
| Código do País | País onde a sede da empresa está fisicamente localizada (País de Origem Registrado) |
| Critérios de Conformidade | |
| Opções de Conformidade | Veja abaixo, Requisitos de Conformidade Suportados. |
Estes são os requisitos de conformidade que você pode adicionar a uma regra de Controle de Aplicativo. Por exemplo, você pode apenas permitir uma aplicação que esteja em conformidade com HIPAA ou SOC-2.
- HIPAA
- ISAE 3402
- ISO 27001
- PCI-DSS
- SOC-1
- SOC-2
- SOC-3
- SOX
- SSO
Estas são explicações dos campos que você pode configurar para regras que exigem atividades específicas. A tabela também mostra um exemplo de um aplicativo que inclui o campo de atividade para uma regra.
Nota: Se o campo Atividades for deixado em branco, qualquer atividade será correspondida à regra.
| Campo de Atividade | Explicação | Aplicativo de Exemplo |
|---|---|---|
| Adicionar Anexo | Anexar um arquivo a um email | Gmail |
| Chat | Usar o recurso de chat de um aplicativo | |
| Excluir Usuários de mensagem | Excluir Usuários uma mensagem de uma conversa em um aplicativo | Slack |
| Download | Fazer Download de um arquivo de Armazenamento na Nuvem | Google Drive |
| Editar Token de Acesso | Editar Token de Acesso permissões para o aplicativo | Salesforce |
| Exportar Membros do Grupo | Exportar Membros do Grupo dados ou registros do aplicativo | Salesforce |
| URL Completo | Somente o Tráfego do Aplicativo que corresponde ao caminho específico é Permitido ou Bloqueado. Por exemplo, em dropbox.com/contact a URL Completo deve incluir o caminho /contact | Dropbox |
| Login | Iniciar Sessão em uma conta | |
| Logoff | Log Usuários de uma conta | |
| Post | Postar uma mensagem ou comentário em um aplicativo de mídia social | |
| Salvar Relatórios de relatório | Salvar Relatórios um Relatório do Aplicativo para o Host ou Dispositivo | Salesforce |
| Enviar correio | Enviar mensagens de email | Microsoft Outlook |
| Enviar mensagem (Arquivo) | Enviar uma mensagem que Inclui um Arquivo | Slack |
| Enviar mensagem (Botão) | Enviar uma mensagem que apenas Inclui Botão | Slack |
| Iniciar Sessão | Iniciar Sessão na Aplicação | Slack |
| Sign out | Sign out of the application | Slack |
| Upload | Upload um Arquivo Para Armazenamento na Nuvem | Box |
| Assistir stream | Assistir vídeo de streaming | YouTube |
Esta seção contém práticas recomendadas para implementar a Política de Controle de Aplicativos na sua conta. Quando indicado, a prática recomendada também se aplica à adição de um novo aplicativo à política.
-
Quando você implementa a política, ou adiciona um novo aplicativo com a Ação de Bloquear:
- Usar a ação Monitorar para a Regra.
- Revise os Eventos que a Regra Gera e certifique-se de que não haja Eventos para Tráfego que você deseja Permitir (Tráfego Falso Positivo).
-
Se houver tráfego falso positivo, você pode fazer essas alterações:
- Refine o Escopo da Regra para Excluir o Tráfego Falso Positivo
- Crie uma Nova Regra de Permissão antes da Regra de Bloqueio, e o Escopo da Nova Regra é apenas para o Tráfego Falso Positivo
- A Política suporta Aplicativos baseados em navegador. Clientes nativos Não são suportados a menos que especificados explicitamente.
- Lembre-se que a Política de Controle de Aplicativo é uma Política ordenada, e a Regra implícita final é QUALQUER QUALQUER Aceitar. Adicionar Regras à Política para Bloquear o Tráfego de Aplicação relevante, e a Critérios.
- O Número máximo de Eventos de Controle de Aplicações para sua Conta é 2.5 milhões de Eventos por Hora.
Esta seção contém exemplos de regras de Controle de Aplicativos para impor a política CASB em sua organização.
O exemplo anterior mostra duas regras para a categoria Programas e Serviços do Office, que é para aplicativos e serviços Office365.
-
A Regra 1 permite tráfego que atenda aos requisitos de conformidade com Office365 com as seguintes Configurações:
- Fonte - Qualquer. Aplica-se a todas as Fontes de Tráfego.
- Aplicação - Programas e Serviços do Office. Aplica-se à Categoria para Office365.
- Critérios - SOC2, Certificados Confiáveis, SSO com relação E. Aplica-se ao Tráfego que atenda a Todos os Itens de Conformidade.
- Severidade - Médio. O Tráfego que corresponde a esta Regra é categorizado como Médio risco para Análises.
- Ação - Permitir. O Tráfego Office365 que atende aos Requisitos de Conformidade é Permitido.
-
A Regra 2 bloqueia todo o outro tráfego do Office365, com as seguintes Configurações que são diferentes da Regra 1:
- Critérios - Nenhum. Aplica-se a Todos os Tráfegos do Office365, porque a regra 1 já corresponde ao Tráfego Permitido.
- Ação - Bloquear. Bloqueia todos os Tráfegos do Office 365, porque a regra 1 já permitiu todo o Tráfego Conformista.
- Rastreamento - Evento. Gere Eventos para todo o Tráfego não conformista do Office365.
A tela de Eventos mostra todos os eventos de Controle de Aplicativos para sua conta. Estes Eventos de Segurança são o Tipo, Segurança de Aplicativos.
Você pode saber mais sobre o uso da página de Eventos aqui.
Estes são os campos que estão exclusivamente relacionados ao Controle de Aplicativos:
| Nome do campo | Descrição |
|---|---|
| atividade do aplicativo | Para eventos com a ação de bloquear, mostra a atividade para a regra (veja acima, Regras Baseadas em Atividade) |
| categoria de atividade do aplicativo | A categoria geral da atividade do aplicativo no evento. Para mais informações sobre categorias de atividade de aplicativos, veja abaixo Compreendendo Categorias e Tipos de Atividades de Aplicativos. |
| tipo de atividade do aplicativo | O tipo de atividade do aplicativo. Para mais informações sobre tipos de atividades de aplicativos, veja abaixo Compreendendo Categorias e Tipos de Atividades de Aplicativos. |
| aplicação | Nome da aplicação |
| risco de aplicação | Nível de risco Cato para esta aplicação |
| URL completo | Caminho completo da URL para a qual o tráfego está se conectando |
| aplicativo autorizado | Verdadeiro significa que esta aplicação está configurada como um aplicativo autorizado. |
Estes são os valores possíveis para o campo Categoria de Atividade do Aplicativo e a descrição para cada categoria:
-
Operações de Conteúdo - Atividades onde os dados (geralmente arquivos ou texto claro) são:
- Enviado do cliente para o aplicativo SaaS
- Baixado do aplicativo SaaS para o cliente
- Editado no aplicativo SaaS
Por exemplo: Upload, Download, Mover
- Compartilhamento de Conteúdo - Atividades onde o acesso é modificado para dados que já residem em um aplicativo SaaS. Por exemplo: Compartilhar, Compartilhar Link Anônimo
- Comunicação & Colaboração - Atividades onde a informação é transferida entre usuários do aplicativo SaaS. Por exemplo: Chat, Vídeo, Voz
- Pesquisar & Visualizar - Atividades onde os dados no aplicativo SaaS são acessados sem que os dados em si ou suas permissões sejam modificados. Por exemplo: Pesquisar, Arquivo Acessado
- Configurações do Admin - Por exemplo: Criação de usuário, Quarentena, Alteração de permissões
- Login e Autenticação - Por exemplo: Login, Logout, Falha no login
- API e Integração - Por exemplo: Consultar API, Adicionar integração <Nome do Aplicativo>
- Execução - Por exemplo: Executar Fluxo, Executar Relatório/Painel
- Geral - Atividades que não atendem à definição de nenhuma das outras categorias, ou atividades que ainda não foram atribuídas a uma categoria.
Esses são os possíveis valores para Tipo de Atividade de Aplicativo e as atividades incluídas em cada tipo:
- Compartilhamento de Arquivo - Upload, Download, Remover, Compartilhar, Editar, Visualizar, Criar
- Controle de Fonte - Pull/Clone, Push
- Chat - Enviar Mensagem, Enviar Mensagem de Voz, Receber Mensagem, Excluir Mensagem, Adicionar Reação
- Email - Enviar Email
- Redes Sociais - Postar, Comentar
- Aplicativos do Admin - Login, Login de Terceiros, Logoff, Autorizar Terceiros, Alterar Permissões de Item
- Plataformas IaaS - Acesso à Nuvem
- Finanças - Editar Token de Acesso, Exportar Membros do Grupo, Salvar Relatório
- Mídia de Streaming - Assistir Transmissão
- Conferência Web - Chamada de Vídeo
- Compartilhamento de Conhecimento - Criar, Editar Token de Acesso, Compartilhar
- Gerenciamento de Tarefas - Criar Tarefa, Editar Token de Acesso, Excluir Usuários, Mudar Status da Tarefa, Atribuir
- Motor de Busca - Pesquisar
- Ferramentas de IA - Conversação
Se uma atividade é bloqueada por uma regra de Controle de Aplicativos, você pode configurar uma notificação para ser exibida ao Usuário, explicando qual aplicativo foi bloqueado e por quê. Você pode personalizar o conteúdo e marca de uma notificação para atender aos requisitos da sua organização.
É assim que a notificação padrão aparece em um dispositivo Windows:
É assim que a notificação padrão aparece em um dispositivo iOS:
-
Suportado a partir de:
- Cliente Windows v5.10 e superior
- Cliente macOS v5.7 e superior
- Cliente iOS v5.4 e superior
- O usuário deve estar conectado
- As notificações do Windows devem estar ativadas
Você pode habilitar usuários para receberem notificações do sistema se uma atividade for bloqueada por uma Regra de Controle de Aplicativo.
Para orientar os usuários sobre o motivo pelo qual uma ação foi bloqueada, você pode criar e atribuir vários modelos de notificação e atribuí-los a uma regra de política. Isso permite fornecer notificações contextuais adaptadas a casos de uso específicos no ponto de aplicação. Para mais informações, veja Criando Modelos de Notificação ao Usuário.
0 comentário
Por favor, entre para comentar.