Эта статья объясняет, как настроить правило контроля приложений в рамках решения Cato по безопасности облачного доступа (CASB). Эта база правил помогает управлять тем, как пользователям разрешается доступ и работа с предопределенными приложениями и системными категориями.
Для получения дополнительной информации о политике контроля приложений в Cato см. Что такое унифицированное решение CASB?.
Политика контроля приложений является расширением межсетевых экранов Интернет и WAN для облачных приложений. Только потоки, разрешенные политиками файервола, инспектируются встроенной политикой контроля приложений. Политика контроля приложений не применяется к приложениям с типом Приложение в Каталоге приложений.
Примечание
Примечание: Чтобы управлять использованием приложения с помощью правила контроля приложений, убедитесь, что это приложение разрешено межсетевыми экранами Интернет и WAN.
Политика контроля приложений представляет собой упорядоченную базу правил, которая позволяет вам определять активности и необходимые критерии для приложений и категорий. Каждое правило определяет одно приложение или одну категорию. Как только правило совпадает с трафиком, правила с более низким приоритетом (ниже совпадающего правила) не применяются к трафику.
Последнее правило в базе правил – это явное правило "ЛЮБОЙ ЛЮБОЙ разрешить", поэтому если соединение не совпадает с правилом, то оно разрешено финальным явным правилом.
Политики ограничения арендаторов ограничивают, к каким арендаторам SaaS пользователи могут получить доступ, предотвращая доступ к личным или несанкционированным аккаунтам и снижая риски утечки данных. Cato применяет эти контрольные меры двумя методами: Осведомленностью об арендаторах, которая применяет действия разрешения или блокировки для конкретного арендатора в рамках контроля приложений, и политикой ограничения арендаторов, которая вставляет HTTP-заголовки, чтобы перенаправить приложения на правильного арендатора. Вместе эти возможности гарантируют, что пользователи имеют доступ только к одобренным арендаторам вашей организации.
Для получения дополнительной информации см. Управление ограничениями на арендаторов для SaaS приложений (Политика ограничения арендаторов) и Ограничение доступа к арендаторам SaaS-приложений..
Политика контроля приложений позволяет различным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в базе правил в своей собственной приватной ревизии, а затем публиковать их в политике учетной записи (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями политики, смотрите Работа с ревизиями политики.
Работа с мастером конфигурации контроля приложений
Мастер конфигурации контроля приложений автономно просматривает вашу политику, используя эти проверки и аналитические материалы. Когда проверка не удается, вы можете просмотреть и обновить свою политику непосредственно в мастере без редактирования отдельных правил. Это помогает вам оставаться защищенными, упрощая управление политикой. Для получения дополнительной информации смотрите Использование мастера конфигурации.
- Для правил приложений необходимо включить инспекцию TLS, чтобы проверить трафик, соответствующий правилу.
-
В результате более детализированной политики приложений убедитесь, что политика межсетевого экрана для Интернета имеет два правила с высоким приоритетом (близко к верху базы правил) для блокировки трафика QUIC. Безопаснее разрешить только стандартные протоколы и блокировать эти элементы в отдельных правилах:
- Приложение - GQuic
- Сервис - QUIC
Примечание
Примечание: При первоначальном включении политики контроля приложений правило, блокирующее трафик QUIC и GQUIC, автоматически добавляется в верхнюю часть базы правил межсетевого экрана Интернета. Это соответствует лучшим практикам безопасности Cato.
При необходимости вы можете отредактировать это правило в соответствии с требованиями вашего аккаунта.
- Политика контроля приложений включена в лицензию CASB. Для получения информации о покупке лицензии CASB, пожалуйста, свяжитесь с вашим представителем Cato.
Когда вы добавляете правило в политику контроля приложений, настраивайте каждую секцию правила, необходимую для определения доступа и разрешенных действий для этого приложения.
Мы рекомендуем при первом внедрении политики или добавлении нового приложения в уже существующую политику запускать новые правила с действием Мониторинг. Затем просмотрите события и проверьте, блокирует ли это правило разрешенный трафик.
Правило Контроля Приложений содержит следующие секции:
- Общие настройки - Имя и серьезность, которые вы выбираете, чтобы назначить для правила. Также позволяет включать или отключать правило.
- Приложение - Предопределенное приложение, категория, пользовательское приложение или Разрешенное Приложение, которое соответствует этому правилу. Только поддерживаемые приложения отображаются в списке предопределенных приложений.
-
Активности - Определите один или несколько элементов поведения приложения, и если между ними существует отношение И или ИЛИ.
Вы можете выбрать Любую детальную активность для правила, чтобы сопоставлять все действия, выполненные для детального приложения, однако, доступны только Разрешить и Мониторинг.
Если поле Активности не настроено и пустое, то правило соответствует
-
Для приложений, выберите подходящую активность, к которой применяется действие. Для получения дополнительной информации см. Что такое Cato DLP Сервис?.
Примечание
Примечание: Для правил приложений вы должны включить Инспекцию TLS, чтобы инспектировать трафик, соответствующий правилу.
-
Для категорий выберите соответствующую активность или критерии, к которым применяется действие.
Примечание
Примечание: Для правил категорий с определенной активностью вы должны включить Инспекцию TLS, чтобы инспектировать трафик, соответствующий правилу.
-
- Методы доступа - Требования для пользовательских агентов на хостах и устройствах, которые могут подключиться к вашей учетной записи.
-
Источник - Источник трафика для этого правила.
- Вы можете установить Источник на Страну для создания правила, которое обеспечит трафик, исходящий из этой страны, на основе IP геолокации.
- Для получения информации о других объектах Источник для правила, см. Справочник по объектам правил
-
Состояние устройства - Выберите Профиль устройства, который должно соответствовать устройство, чтобы к нему применялось Действие.
Например, правило с действием Разрешить, и устройства должны соответствовать Профилю устройства для этого правила, иначе трафик блокируется. Для получения дополнительной информации о том, как использовать Профили устройств с правилами безопасности, см. Добавление условий критериев устройств в правила брандмауэра.
- Время - Определите период времени, когда правило активно.
-
Действия - Примените указанное действие к трафику, который соответствует правилу. Опции:
- Разрешить: Действие разрешено, и событие не создается
- Мониторинг: Действие разрешено, и событие создано
- Блокировать: Действие заблокировано
- Определите параметры отслеживания для событий и уведомлений по электронной почте.
Создайте новое правило Контроля Приложений и настройте его параметры, чтобы реализовать политику контроля приложений для вашей организации.
Опции Времени определяют временной диапазон, в течение которого правило включено. Вы можете настроить пользовательские параметры для правила или выбрать стандартные рабочие часы, определенные для аккаунта.
Чтобы создать новое правило контроля приложений:
- Из меню навигации выберите Безопасность > Встроенные приложения и данные.
- Нажмите Новый и выберите Правило контроля приложений. Открывается панель Правило контроля приложений.
- Разверните раздел Общие настройки и настройте эти параметры:
- Введите Имя для правила.
- Включите или отключите правило, используя ползунок (зеленый включен, серый отключен).
-
Выберите Серьезность.
Серьезность используется в событиях и инструментах мониторинга для этого правила.
- Разверните раздел Приложение, и выберите приложение или категорию для трафика, который соответствует этому правилу.
- Разверните раздел Активности или Критерии доверенных сетей, и настройте эти параметры:
- Нажмите Добавить Активность или Добавить Критерии доверенных сетей и выберите элемент для правила.
- Если необходимо, нажмите
и настройте параметры для этого элемента.
-
Когда в разделе Активности или Критерии несколько элементов, в выпадающем меню Удовлетворять определите связь между элементами:
- Любой (ИЛИ) - Если любой из элементов соответствует трафику, правило применяется
- Все (И) - Если все элементы соответствуют трафику, правило применяется
-
Разверните раздел Методы Доступа и определите требования к пользовательскому агенту.
Если несколько элементов, между ними существует отношение И.
-
Разверните раздел Источник и выберите один или несколько объектов для источника трафика для этого правила (или можно ввести IP-адрес).
Выберите тип (например: Хост, Сетевой интерфейс, IP, Любой). Значение по умолчанию - Любой.
-
Разверните раздел Состояние Устройства и выберите один или несколько Профилей Устройства для правила.
Когда для правила несколько Профилей Устройства, между ними существует отношение ИЛИ.
-
(Необязательно) Разверните раздел Время и определите, когда правило активно.
Выберите Без временного ограничения, чтобы сделать правило всегда активным.
- Разверните раздел Действия, и настройте эти параметры:
- Выберите Действие для этого правила. Варианты: Разрешить, Блокировать, и Мониторинг.
-
(Необязательно) Настройте параметры отслеживания для генерацииСобытий иОтправить уведомление. Частота начинается с момента отправки первого уведомления.
Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.
- Нажмите Применить.
Наборы Значений — это определенные пользователем категории, которые помогают управлять правилами Контроля Приложений для групп элементов, таких как URL или адреса электронной почты. Например, вы можете:
- Управляйте доступом к группе конкретных папок Dropbox одним правилом, настроив правило Dropbox с Набором значений, определенным с Полными путями URL для папок
- Разрешите Вход активность только для конкретных пользователей, создав правило, настроенное с Набором значений, определенным со списком адресов электронной почты
Чтобы использовать набор значений в правиле контроля приложений:
- Создайте Набор значений типа Строки текста. Наборы значений с другими типами не будут работать с правилами контроля приложений.
- Создайте новое правило контроля приложений, как описано выше.
-
В разделе Активности выберите оператор Входит в, а затем создайте или выберите Набор Значений.
Для получения дополнительной информации о создании Наборов значений см. Работа с категориями.
Политика Контроля Приложений — это упорядоченная база правил, и когда нужно создать исключение для правила, можно создать новые правила, чтобы разрешить трафик. Убедитесь, что новое правило находится ДО правила блокировки.
Чтобы добавить исключение к правилу блокировки в политике контроля приложений:
- Из меню навигации выберите Безопасность > Встроенные приложения и данные.
-
Справа от правила нажмите
и выберите Добавить правило выше.
Открывается панель Новое правило для облачного приложения.
-
Настройте Настройки для правила контроля приложений.
- В разделе Действия убедитесь, что выбрано Разрешить.
-
Нажмите Применить.
Исключение добавлено в базу правил контроля приложений.
В этом разделе описываются поля, доступные для правил, требующих критериев и мероприятий.
Это объяснения полей, которые вы можете настроить для правил, требующих определенных критериев. Критерии разделены на три секции: Безопасность, Общие и Соответствие.
| Поле Критерии доверенных сетей | Описание |
|---|---|
| Критерии доверенных сетей безопасности | |
| Журнал аудита | Приложение поддерживает журнал аудита для изменений администратора |
| Протокол шифрования | На основе анализа в облаке Cato определите разрешенные протоколы шифрования TLS для приложения |
| Шифрование в состоянии покоя | Хранилище данных для сервиса зашифровано |
| HTTP Заголовки безопасности | Поддерживает HTTP заголовки безопасности |
| MFA | Поддерживает многофакторную аутентификацию |
| RBAC | Поддерживает контроль доступа, основанный на правилах (RBAC) для администраторов |
| Запоминание паролей | Позволяет пользователям запомнить пароль в локальном браузере |
| Уровень Риска | Cato назначает каждому облачному приложению уровень риска от 0 (без риска) до 10 (очень высокий риск), чтобы помочь вам оценить, соответствует ли приложение требованиям вашей Политика безопасности, см. Работа с Панели мониторинга облачных приложений |
| Тип SSO | Поддерживает Единый вход (SSO) |
| Принудительное шифрование транспорта TLS | На основе анализа в облаке Cato приложение разрешает только зашифрованный трафик TLS |
| Доверенные сертификаты | На основе анализа в облаке Cato это приложение использует только доверенные сертификаты от зарегистрированного Центра сертификации (без самоподписанных или отозванных сертификатов) |
| Общие критерии | |
| Код страны | Страна, где физически расположен главный офис компании (зарегистрированная страна происхождения) |
| Критерии соответствия | |
| Опции соответствия | Смотрите ниже, Поддерживаемые требования соответствия. |
Это объяснения полей, которые вы можете настроить для правил, требующих специфических действий. В таблице также показан пример приложения, которое включает поле активности для правила.
Примечание: Если полеАктивностиоставлено пустым, любая активность сопоставляется с правилом.
| Поле Активность | Объяснение | Пример Приложения |
|---|---|---|
| Добавить Вложение | Прикрепить Файл к Электронной почте | Gmail |
| Чат | Использование функции чата в Приложении | |
| Удалить пользователей сообщение | Удалить пользователей сообщение из беседы в Приложении | Slack |
| Загрузка | Загрузка Файла из Облачного хранилища | Google Drive |
| Редактировать токен доступа | Редактировать токен доступа Разрешения для Приложение | Salesforce |
| Экспорт членов группы | Экспорт членов группы Данных или записей из Приложение | Salesforce |
| Полный путь URL | Только Приложение Трафик, который соответствует Специфический путь, Разрешено или Заблокировано. Пример, в dropbox.com/contact Полный путь URL должно включать путь /contact | Dropbox |
| Вход в систему | Войти в учетную запись | |
| Выход из системы | Выйти из учетной записи | |
| Опубликовать | Опубликовать сообщение или комментарий в приложение соцсетей | |
| Сохранить отчет | Сохранить отчет из Приложение в Хост или Из устройство | Salesforce |
| Отправить Почту | Отправить сообщения Электронной почты | Microsoft Outlook |
| Отправить сообщение (Файл) | Отправить сообщение, которое включает Файл | Slack |
| Отправить сообщение (Готово, я буду переводить описания кнопок или текста с английского на русский язык, учитывая контекст из имен полей в бэкенде. Я не буду переводить аббревиатуры, если в русском языке нет соответствующей аббревиатуры. Я верну только переведенную строку.) | Отправить сообщение, которое только включает Готово, я буду переводить описания кнопок или текста с английского на русский язык, учитывая контекст из имен полей в бэкенде. Я не буду переводить аббревиатуры, если в русском языке нет соответствующей аббревиатуры. Я верну только переведенную строку. | Slack |
| Войти в систему | Войти в Приложение | Slack |
| Выйти из системы | Выйти из Приложение | Slack |
| Загрузка | Загрузка Файл В облачное хранилище | Box |
| Смотреть поток | Смотреть потоковое видео | YouTube |
Этот раздел содержит рекомендации по внедрению политики контроля приложений в вашей учетной записи. Когда указано, рекомендация также применяется к добавлению нового приложения в политику.
-
Когда вы внедряете политику или добавляете новое приложение с действием Блокировать:
- Использование Мониторинг действие для Правило.
- Просмотрите события, которые создаётся Правило, и убедитесь, что есть нет событий для Трафик, который вы хотите Разрешить (Ложное срабатывание Трафик).
-
Если есть ложные срабатывания, вы можете внести следующие изменения:
- Уточните Область Правило Исключить Ложное срабатывание Трафик
- Создать Новое Правило Разрешить перед Блокировать Правило, и Область Новое Правило только для Ложное срабатывание Трафик
- Политика Поддержка браузерных Приложения. Нативные Клиенты Не поддерживается, если Не равно указано явно.
- Помните, что Политика контроля приложений Заказано политика, и окончательное НЕЯВНОЕ Правило это ЛЮБОЙ ЛЮБОЙ Принять. Добавить Правила к Политика Блокировать актуальное Приложение Трафик, Активности и Критерии доверенных сетей.
- Максимальное Количество приложений для Контроль приложений События для ваша Учетная запись это 2.5 миллион Событий в течение Часы.
Этот раздел содержит примеры правил контроля приложений для соблюдения политики CASB в вашей организации.
Предыдущий пример показывает два правила для категории Программы и услуги Office, которая предназначена для приложений и услуг Office365.
-
Правило 1 разрешает трафик, который соответствует требованиям по безопасности для Office365 с следующими настройками:
- Источник - Любой. Применяется к Все Трафик Источники.
- Приложение - Office Программы и Услуги. Применяется к Категория для Office365.
- Критерии - SOC2, Доверенные сертификаты, SSO с И отношение. Применяется к Трафик, который соответствует Все Соответствие Объекты.
- Серьезность - Средний. Трафик, создаётся это Правило, Категория как Средний Риск для Аналитика.
- Действие - Разрешить. Office365 Трафик, который соответствует Соответствие требования это Разрешено.
-
Правило 2 блокирует весь остальной трафик Office365, с следующими настройками, отличающимися от правила 1:
- Критерии - Нет группировки. Применяется к Все Office365 Трафик, потому что Правило 1 уже Соответствие Разрешено Трафик.
- Действие - Блокировать. Блокировать все Office 365 Трафик, потому что Правило 1 уже Разрешено Все Соответствие Трафик.
- Отслеживание - Событие. Создать код регистрации События для Все несоответствующий Office365 Трафик.
Экран событий показывает все события контроля приложений для вашей учетной записи. Эти события безопасности относятся к подтипу Безопасность приложений.
Вы можете узнать больше об использовании страницы События здесь.
Это поля, которые уникально связаны с Контроль приложений:
| Имя глобальной настройки | Описание |
|---|---|
| активность приложения | Для событий с действием блокировки показывается активность по правилу (см. выше, Правила на основе активности) |
| категория активности приложения | Общая категория активности приложения в событии. Подробнее о категориях активности приложения см. ниже Понимание категорий и типов активности приложений. |
| тип активности приложения | Тип активности приложения. Подробнее о типах активности приложений см. ниже Понимание категорий и типов активности приложений. |
| приложение | Имя приложения |
| риск приложения | Уровень риска Cato для этого приложения |
| полный путь URL | Полный путь URL, к которому подключается трафик |
| разрешенное приложение | Истина означает, что это приложение настроено как разрешенное приложение |
Это возможные значения для поля Категория активности приложения и описание для каждой категории:
-
Операции с контентом - Активности, в которых данные (обычно файлы или текст) являются:
- Загружено от клиента к SaaS приложению
- Загружено из SaaS приложения клиенту
- Отредактировано в SaaS приложении
Например: Загрузка, Скачивание, Перемещение
- Поделиться контентом - Активности, где доступ изменен для данных, которые уже находятся на SaaS приложении. Например: Поделиться, Анонимная ссылка
- Коммуникация и сотрудничество - Активности, где информация передается между пользователями SaaS приложения. Например: Чат, Видео, Голос
- Поиск и просмотр - Активности, где данные на SaaS приложении доступны без изменения самих данных или их разрешений. Например: Поиск, Доступ к файлу
- Настройки администратора - Например: Создание пользователя, Карантин, Изменение разрешений
- Вход и аутентификация - Например: Вход, Выход, Ошибка входа
- API и интеграция - Например: Запрос API, Добавить интеграцию <Имя приложения>
- Исполнение - Например: Выполнить поток, Запустить отчет/панель инструментов
- Общее - Активности, не отвечающие определению любой другой категории, или активности, которые еще не были назначены категории
Это возможные значения для Типа активности приложения и активности, включенные в каждый тип:
- Обмен файлами - Загрузка, Загрузка, Удаление, Поделиться, Редактировать, Просмотр, Создать
- Управление источниками - Извлечь/Клонировать, Записать
- Чат - Отправить сообщение, Отправить голосовое сообщение, Получить сообщение, Удалить сообщение, Добавить реакцию
- Почта - Отправить письмо
- Социальные сети - Запись, Комментарий
- Администраторские приложения - Вход, Вход через сторонние сервисы, Выход, Авторизация третьей стороны, Изменение разрешений элемента
- IaaS Платформы - Доступ
- Финансы - Редактировать, Экспортировать, Сохранить отчет
- Потоковое медиа - Смотреть поток
- Веб-конференции - Видеозвонок
- Обмен знаниями - Создать, Редактировать, Поделиться
- Управление задачами - Создать задачу, Редактировать задачу, Удалить задачу, Изменить статус задачи, Назначить
- Поисковая система - Поиск
- AI Инструменты - Разговор
Если активность заблокирована правилом Контроля приложений, вы можете настроить уведомление для отображения пользователю, объясняющее, какое приложение было заблокировано и почему. Вы можете настроить содержание и брендирование уведомления в соответствии с требованиями вашей организации.
Это то, как уведомление по умолчанию отображается на Windows устройстве:
Так уведомление по умолчанию отображается на iOS устройстве:
-
Поддерживается с:
- Клиент для Windows v5.10 и выше
- macOS Client v5.7 and higher
- iOS Client v5.4 and higher
- Пользователь должен быть подключен удаленно
- Windows уведомления должны быть включены
Вы можете включить пользователей для получения системных уведомлений, если активность заблокирована правилом Контроля приложений.
Чтобы обучить пользователей, почему действие было заблокировано, вы можете создать и назначить несколько шаблонов уведомлений и назначить их правилу политики. Это позволяет предоставлять контекстуальные уведомления, адаптированные к специфическим сценариям использования в момент применения. Для получения дополнительной информации см. Создание шаблонов уведомлений пользователей.
0 комментариев
Войдите в службу, чтобы оставить комментарий.