Restringindo o Acesso aos Inquilinos de Aplicações SaaS

Na maioria dos ambientes corporativos existem múltiplos aplicativos SaaS usados diariamente: email, aplicativos de CRM, produtividade, etc. Embora isso seja extremamente conveniente, abre um potencial risco à segurança quando as pessoas usam contas pessoais nesses aplicativos SaaS enquanto estão conectadas ao ambiente corporativo. Por exemplo, a Empresa A usa o Google Workspace para suas aplicações de email e produtividade. O Usuário A também utiliza o Google para seu email pessoal e processamento de texto. A política da empresa estabelece que os usuários não estão autorizados a acessar emails pessoais, ou outros aplicativos, em seus dispositivos corporativos. O que o controle de locatários fará é permitir apenas o acesso a locatários designados de aplicativos SaaS aprovados como função da solução Cato CASB.

Outro exemplo é se um dispositivo infectado com malware está tentando se comunicar com um locatário SaaS de terceiros. A restrição de locatários bloqueará o acesso a outras aplicações de terceiros que não são sancionadas via injeção de cabeçalho.

A funcionalidade em si é bastante simples em sua arquitetura. As políticas são uma lista branca para aplicativos SaaS no inventário corporativo. Quando um usuário acessa um aplicativo SaaS que possui uma política de controle de locatários implementada, um valor de cabeçalho de pacote é injetado no motor de inspeção Cato no PoP. Com este valor, o pacote segue o caminho normal até a Internet e o aplicativo. A aplicação da política realmente ocorre no aplicativo SaaS, onde você programa o cabeçalho e o valor para monitorar esse valor de cabeçalho e bloquear todo o tráfego que não corresponder ao valor do cabeçalho.

Fluxo de Tráfego

1. Um usuário insere ambos os seguintes URLs em seu navegador da web. Um vai para seu portal de email corporativo, e o outro vai para seu email pessoal. Ambos portais são hospedados no Google Workspace.

2. O tráfego é direcionado para o PoP da Cato, onde um valor de item de cabeçalho é injetado em todos os pacotes destinados ao Google Mail.

3. Cato encaminha o tráfego para a Internet e para o Google Mail.

4. O Google Mail possui um parâmetro de segurança definido que procura o valor do cabeçalho.

5. Todo o tráfego com o valor de cabeçalho correto se conecta à sua página de autenticação e à sua caixa de entrada de email. Todos os outros locatários são bloqueados no aplicativo SaaS.

A página de Restrição de Inquilinos permite que diferentes admins editem a política em paralelo. Cada admin pode editar regras e salvar as alterações na base de regras em sua própria revisão privada, e então publicá-las na política de conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de política, consulte Trabalhando com Revisões de Política.