Configurando o serviço RBI para sessões de navegação

Este artigo explica como configurar o serviço de Isolamento Remoto do Navegador (RBI) para proteger contra ameaças baseadas na web.

Visão geral

O RBI protege os dispositivos contra ameaças direcionadas à web e conteúdo malicioso que pode ser incorporado em sites e serviços da Internet. RBI funciona como um serviço isolado da Cato que emula a atividade de navegação para os usuários e então transmite o tráfego emulado para o dispositivo do usuário. Isso mantém o dispositivo seguro contra ameaças de malware, assegurando que todo o código no navegador seja executado remotamente e nunca no dispositivo.

Para situações onde o serviço RBI não consegue emular tráfego, você pode configurar uma Ação de Fallback que determina como o tráfego é tratado. Por exemplo, se você desativar temporariamente o serviço RBI ou se o serviço estiver momentaneamente inacessível.

Para mais informações sobre o serviço RBI, consulte Segurança de Sessões de Navegação Através do Isolamento Remoto do Navegador (RBI).

Nota: A funcionalidade do RBI não está disponível para PoPs da Cato localizados na China. Esses PoPs sempre aplicarão a Ação de Fallback para o tráfego relevante.

Entendendo Perfis de Proteção de Dados RBI

Você pode personalizar as configurações de segurança para sessões RBI com perfis de proteção de dados que permitem configurar diferentes configurações de isolamento de navegação. Estes definem as ações que um usuário pode executar em um site. Por exemplo, você pode bloquear usuários de digitar ou colar texto em formulários web e impedir que divulguem credenciais e outros dados sensíveis.

Cada Perfil RBI contém:

Ações que Podem Ser Permitidas ou Bloqueadas

Para cada perfil, você pode definir as ações específicas para Permitir ou Bloquear:

  • Upload - Upload de qualquer arquivo (Upload usando a funcionalidade de Arrastar e Soltar não é suportada)

  • Download - Download de qualquer arquivo

  • Impressão - Impressão de conteúdo da web

  • Copiar/Colar - Copiar dados do site ou colar dados no site

  • Digitando - Digitando texto no site

Controle.png

Nota: restrições RBI se aplicam apenas dentro da sessão do navegador isolada. Ações iniciadas fora do contêiner RBI (ex., por meio de menus do navegador host ou atalhos ao nível do SO) ignoram controles RBI. Para aplicar totalmente esses controles, aplicar políticas ao nível do navegador ou endpoint (ex., Chrome GPO, ferramentas de Prevenção de Perda de Dados (DLP)) juntamente com as configurações de RBI.

Texto de Banner do RBI

Em uma sessão RBI, um banner é exibido ao usuário final para informá-lo que está em uma sessão RBI. A marca deste banner pode ser definida globalmente em toda sua conta. Para mais informações, veja Personalizando a Experiência do Usuário.

Em cada perfil RBI você pode sobrepor o texto do banner e criar um texto personalizado para o perfil.

Banner_texto.png

Sessões Continuas do RBI

Para aprimorar a segurança da navegação e melhorar a experiência do usuário final, você pode configurar um perfil para permitir que usuários continuem navegando para destinos múltiplos dentro da mesma sessão RBI. Isso garante que destinos definidos não sejam abertos em uma sessão não isolada ou em uma sessão RBI diferente. Estes são exemplos de casos de uso para sessões contínuas de RBI:

  • Impedir navegação não isolada para domínios arriscados - Crie uma lista de domínios extensa usando curingas para garantir que toda a sessão de navegação do usuário ocorra em um ambiente isolado, mesmo que o usuário navegue para longe de domínios Não categorizados ou Indefinidos

  • Autenticação em um site - Configure uma lista de domínios, incluindo todos os subdomínios de um aplicativo de compartilhamento de arquivos, para permitir que usuários se autentiquem ao serem redirecionados para um domínio diferente para autenticação.

Continuar_navegacao.png

Ação de Failover

A Ação de Fallback define o que acontece quando a ação RBI não pode ser executada. Neste cenário, você pode optar por bloquear a ação ou exibir a página de Prompt.

Failover.png

Usando o RBI com o Firewall de Internet

As sessões de RBI são aplicadas através do Firewall de Internet usando a ação RBI em uma regra. Quando o tráfego corresponde à regra, uma sessão RBI inicia automaticamente. Por padrão, o perfil RBI padrão é aplicado. Você pode atribuir um perfil RBI diferente para atender aos seus requisitos de segurança e acesso.

FW_RBI.png

Apenas regras para categorias de aplicação Não categorizado ou Indefinido, ou uma Categoria Personalizada, podem ser configuradas para navegação remota. Todo o restante do tráfego é protegido por uma vasta gama de serviços de segurança adicionais da Cato.

Nota: Estes são os tipos de conteúdo suportados pela Configuração de Isolamento de Navegador Remoto. Uma Categoria Personalizada contendo outros tipos de conteúdo não é suportada:

  • Anonimizadores

  • Botnets

  • Atividade criminosa

  • Drogas

  • Jogos de azar

  • Hacking

  • Domínios estacionados

  • Spyware

  • Trapaça

  • Phishing suspeito

  • Malware suspeito

  • Pornografia

  • Não categorizado

  • Indefinido

  • Compartilhamento de arquivos

  • Armazenamento online

Pré-requisitos para o Serviço RBI

  • Ativar o serviço RBI requer uma Licença RBI. Para mais sobre a compra da Licença RBI, entre em contato com seu representante Cato.

  • A Inspeção TLS deve estar ativada para o tráfego configurado para RBI.

  • Para que o serviço RBI funcione adequadamente, o Firewall de Internet deve permitir acesso a essas URLs. Se o seu Firewall de Internet tem uma regra de Bloqueio QUALQUER-QUALQUER na parte inferior, adicione uma regra explícita com maior prioridade permitindo tráfego para essas URLs:

    • http://securebrowsing.catonetworks.com/

    • https://authentic8.com/

  • Se você não usa Cato como seu servidor DNS, adicione um registro ao seu servidor DNS local para http://rbi.catonetworks.com/ que resolva para 10.254.254.161.

Known Limitations

  • URLs contendo identificadores de fragmento (“#”) não são suportadas no redirecionamento RBI

Configurando RBI

Esta seção explica como configurar o serviço RBI para fornecer navegação web segura para os usuários finais.

RBI.png

Este é um fluxo de trabalho de exemplo para implementar RBI:

  1. Ativar o serviço RBI

  2. Crie um Perfil RBI

  3. Configure uma regra de Firewall na Internet com a ação Navegação Remota

Passo 1: Ativando e Desativando o Serviço RBI

Ao habilitar o serviço RBI, a Navegação Remota ação para o Firewall de Internet está agora disponível, e você pode então criar regras para direcionar o tráfego para o serviço. Por padrão, o RBI está desabilitado.

Para habilitar ou desabilitar o RBI para sua conta:

  1. No painel de navegação, selecione Segurança > RBI.

  2. Clique no controle deslizante para habilitar (verde) ou desabilitar (cinza) o RBI serviço para a conta.

  3. Clique em Novo.

Passo 2: Criando um Perfil de RBI

Cada Perfil RBI contém configurações granulares de RBI que podem ser aplicadas a uma regra de Firewall de Internet.

Para criar um perfil de RBI:

  1. No painel de navegação, selecione Segurança > RBI.

  2. Clique em Novo.

  3. Configure o perfil para atender às suas necessidades.

  4. Clique em Aplicar.

Passo 3: Criando uma Regra de Firewall de Internet para Navegação Remota

Use regras de Firewall de Internet para definir quando Cato direciona o tráfego para o serviço RBI. As regras devem ser configuradas com a Categoria de Aplicação definida como Não categorizado, Indefinido, ou Categoria Personalizada sem outros aplicativos ou categorias configuradas. Para mais sobre como configurar as Regras de Firewall de Internet, consulte Gerenciando a Política do Firewall de Internet.

Para criar uma Regra de Firewall de Internet para Navegação Remota:

  1. No menu de navegação, selecione Segurança > Firewall de Internet.

  2. Clique em Novo.

  3. Digite o Nome para a regra.

  4. Ative ou desative a regra usando o controle deslizante (verde está ativado, cinza está desativado).

  5. Configure a Ordem da Regra para esta regra.

    Novas regras são adicionadas ao final da base de regras. Você pode alterar a ordem em que esta regra é aplicada.

  6. Expanda Fonte e selecione o tipo de fonte.

    • Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Usuário, Grupo de Usuários, Qualquer). O valor padrão é Qualquer.

    • Quando necessário, selecione um objeto específico na lista suspensa para esse tipo.

  7. Expanda a seção App/Categoria e selecione Categoria de Aplicação.

    Selecione um ou mais dos Não categorizado, Indefinido ou uma Categoria Personalizada da lista suspensa Categoria de Aplicação. Quando houver mais de um objeto App/Categoria em uma regra, há uma relação OU entre eles.

  8. Defina a Ação para esta regra como Navegação Remota (RBI) e escolha o perfil necessário.

  9. (Opcional) Configurar opções de rastreamento para gerar Eventos e Enviar Notificação. A frequência começa a contar após a primeira notificação ser enviada.

    Para mais informações sobre as notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção Alertas.

  10. Clique em Aplicar. A nova regra é adicionada à base de regras.

  11. Clique em Salvar.

    A regra é salva.

Best Practices for Implementing RBI with the Internet Firewall

Recomendamos implementar gradualmente sua política de RBI com escopos específicos, para evitar a possível má configuração de regras de política que possam resultar no uso de RBI para o tráfego que deveria ter acesso direto aos destinos. Estes são exemplos de melhores práticas recomendadas para implementar RBI.

Melhores Práticas para Implementar RBI para Destinos Não Categorizados e Indefinidos:

  • Se já existir uma regra de Firewall de Internet configurada para as categorias de aplicação Não categorizado e Indefinido:

    1. Comece a rastrear eventos para a regra configurada para identificar destinos específicos Não categorizados ou Indefinidos que são essenciais para seus usuários.

    2. Adicione uma regra de maior prioridade com a ação Navegação Remota definida para um escopo específico de sites Não categorizados e Indefinidos essenciais.

  • Se não houver regra configurada para as categorias Não categorizado e Indefinido:

    1. Adicione uma regra abrangendo destinos Não categorizados e Indefinidos com a ação Permitir ou Prompt, e configure-a para rastrear Eventos.

    2. Comece a rastrear os eventos para identificar destinos específicos Não categorizados ou Indefinidos que são essenciais para seus usuários.

    3. Crie uma regra de maior prioridade com a ação Permitir ou Prompt, e adicione gradualmente os destinos essenciais específicos que você identificar, até que todos os destinos essenciais sejam adicionados.

    4. Defina a regra de maior prioridade para a ação Navegação Remota.

  • Já que a Configuração de Isolamento de Navegador Remoto é suportada apenas para navegadores, se você estiver preocupado com o tráfego não relacionado ao navegador para Não categorizados e Indefinidos domínios, recomendamos criar uma regra de Bloquear no Firewall de Internet para o tráfego Não categorizado e Indefinido. Posicione esta regra em uma prioridade menor do que a regra de RBI para esses domínios.

    Isso garante a segurança do tráfego para esses domínios suspeitos que se originam de clientes não navegador (por exemplo, scripts cURL).

Customizing the User Experience

Em uma sessão de RBI isolada, um banner é exibido ao usuário. Para atender às suas necessidades de marca, você pode personalizar o design alterando a cor de fundo global, texto e cor do texto.

167e948476380c.png

Para personalizar a experiência do usuário:

  1. No menu de navegação, clique em Conta > Marca RBI.

  2. Para alterar a cor de fundo, clique em Cor da Faixa e escolha uma cor.

  3. Para alterar a cor do texto, clique em Cor do Texto e escolha uma cor.

  4. Para alterar o texto, clique em Personalizar texto do Alerta e atualize o texto.

  5. Clique em Salvar.

Reviewing RBI Events

Você pode revisar eventos de Segurança em Inicial > Eventos e encontrar os logs relacionados às sessões de emulação de RBI realizadas para uma conexão que correspondeu a uma Regra de Firewall com a ação Navegação Remota. Esses eventos são rotulados com o Subtipo Firewall de Internet e a Ação RBI.

Quando a sessão de RBI não pode ser executada e a Ação de Fallback é invocada, os eventos relevantes têm a Ação Bloquear ou Prompt dependendo da sua configuração.

Este é um exemplo de filtro que você pode criar para visualizar eventos relacionados ao RBI:

RBI_Event_Filter.png

Este é um exemplo de um evento relacionado a uma sessão de RBI:

RBI_Event.png

Troubleshooting the RBI Service

Você pode usar o Simulador de RBI do Administrador para ajudar a diagnosticar problemas que os usuários finais recebem ao tentar acessar destinos configurados para emulação do RBI. A ferramenta pode ajudar a isolar a causa do problema, e ajuda você a fornecer informações úteis ao Suporte para encontrar uma solução.

Nota: Após 5 minutos de inatividade, a sessão de RBI termina automaticamente e a aba do navegador se fecha. Para continuar navegando, o usuário deve reabrir o site no navegador.

Troubleshooting the RBI Service for a URL

Se um usuário encontrar problemas ao navegar em uma determinada URL, você pode gerar uma sessão de emulação de teste de RBI para a URL com o Simulador de RBI do Administrador. Digite a URL HTTP ou HTTPS válida e siga o link resultante para visualizar o site em uma sessão de RBI. A ferramenta envia esse tráfego diretamente ao serviço RBI sem passar pela Cato Cloud. Isso pode ajudar a determinar se o problema de um usuário está relacionado ao próprio serviço RBI, ou se é causado por outros problemas, como configuração de conta ou conectividade da infraestrutura Cato. Por exemplo, um usuário conectado à Cato não consegue navegar para um site Não categorizado configurado para RBI, mas o administrador consegue acessar o site usando a ferramenta. Isso pode indicar que o serviço de RBI está funcionando corretamente e o problema está relacionado à conectividade entre um PoP e o serviço.

O Simulador de RBI do Administrador aplica os controles de segurança do RBI definidos nas Preferências de configuração de conta RBI.

Após executar uma sessão de RBI a partir da ferramenta, você pode relatar os resultados ao Suporte para ajudá-los a resolver o problema.

Outil_Administrateur_RBI.png

Para resolver problemas com o Simulador de RBI do Administrador:

  1. No painel de navegação, selecione Segurança > RBI.

  2. Em Simulador de RBI do Administrador, digite uma URL HTTP ou HTTPS válida. Por exemplo: https://maps.google.com

  3. Escolha o Perfil para simular.

  4. Clique em Gerar. Uma URL é criada para a sessão de RBI.

  5. Clique no link ao lado da URL. A sessão de RBI é aberta no seu navegador padrão.

Limitações Conhecidas

  • O serviço RBI tem suporte limitado para localização

Esse artigo foi útil?

Usuários que acharam isso útil: 4 de 7

0 comentário