Compreendendo a URL do Caminho Completo para o Controle de Aplicativos vs Firewall da Internet

As solicitações HTTP são tratadas de maneira diferente pelo motor de Firewall usado para a política de Firewall da Internet e pelo motor de Controle de Aplicativos usado para a política de Controle de Aplicativos. A plataforma Cato inclui múltiplos motores de segurança que analisam e processam simultaneamente os fluxos de tráfego, e pode ser difícil entender como os dados, como a URL do caminho completo, são extraídos de um fluxo específico e registrados em um evento.

Para mais informações sobre os motores de segurança da Cato, veja Compreendendo o Fluxo de Pacotes com a Arquitetura Cato SPACE.

A URL é um atributo que frequentemente se altera com cada solicitação HTTP dentro de um fluxo de tráfego. Os motores de Firewall foram projetados para equilibrar segurança e performance e não inspecionam todas as solicitações HTTP que ocorrem dentro de um fluxo. Isso significa que os dados da URL do caminho completo para eventos de firewall da Internet podem ser enganosos. O PoP faz o melhor esforço para enriquecer eventos com dados adicionais, e é possível que os eventos do Firewall da Internet contenham os dados da URL de caminho completo.

Por outro lado, o motor de Controle de Aplicativos examina cada solicitação HTTP com uma sessão e registra os dados da URL do caminho completo. Para clientes que estão usando o serviço CASB, eventos de tráfego de segurança de aplicativos conterão os dados da URL do caminho completo para aplicativos em nuvem relevantes, porque o motor de Controle de Aplicativos extraiu esses dados.

A principal diferença entre o motor de Controle de Aplicativos e o motor de Firewall é a frequência com que as solicitações HTTP são inspecionadas:

Melhores Práticas: Se você deseja registrar de forma consistente os dados da URL do caminho completo em eventos, use a política de Controle de Aplicativos para registrar eventos para o tráfego relevante com as seguintes configurações: