Ограничение доступа к арендаторам SaaS-приложений

В большинстве корпоративных сред ежедневно используется несколько приложений SaaS: электронная почта, приложения CRM, продуктивность и т.д. Хотя это чрезвычайно удобно, это открывает потенциальный риск безопасности, позволяя людям использовать личные аккаунты в этих приложениях SaaS, будучи подключенными к корпоративной среде. Например, компания A использует Google Workspace для своих приложений электронной почты и продуктивности. Пользователь А также использует Google для своей личной электронной почты и обработки текстов. Политика компании указывает, что пользователям не разрешается получать доступ к личной электронной почте или другим приложениям на своих корпоративных устройствах. Контроль арендаторов даст возможность доступа только к назначенным арендаторам одобренных приложений SaaS в рамках решения Cato CASB.

Другой пример - это если устройство, заражённое вредоносным ПО, пытается установить связь с третьим сторонним арендатором SaaS. Ограничение арендаторов заблокирует доступ к другим сторонним приложениям, которые не санкционируются через инъекцию заголовков.

Функция сама по себе довольно проста в архитектуре. Полисы - это «белый список» для приложений SaaS в корпоративном инвентаре. Когда пользователь получает доступ к приложению SaaS, для которого действует политика контроля арендаторов, на уровне PoP в движок инспекции Cato внедряется тег и значение заголовка пакета. С этим значением пакет следует нормальному пути в Интернет и к приложению. Наложение политики происходит в самом приложении SaaS, где вы программируете заголовок и значение для мониторинга этого значения и блокирования всего трафика, не соответствующего значению заголовка.

Поток трафика

1. Пользователь вводит оба следующих URL в свой веб-браузер. Один ведет на их корпоративный портал электронной почты, а другой на личную почту. Оба портала размещены в Google Workspace.

2. Трафик направляется в PoP Cato, где значение элемента заголовка внедряется во все пакеты, предназначенные для Google Mail.

3. Cato направляет трафик в Интернет и в Google Mail.

4. Google Mail имеет параметр безопасности, который проверяет значение заголовка.

5. Весь трафик с правильным значением заголовка подключается к их странице аутентификации и к папке "Входящие" их почты. Все остальные арендаторы блокируются на уровне приложения SaaS.

Страница ограничения арендаторов позволяет различным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в своей собственной частной ревизии, а затем публиковать их в политике учётной записи (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями политики, см. Работа с ревизиями политики.