Эта статья содержит лучшие практики для политик безопасности и настроек, чтобы обеспечить максимальную защиту вашей учетной записи.

Лучшие практики безопасности

Это рекомендуемые лучшие практики для обеспечения наилучшего уровня защиты от киберугроз и вредоносного ПО. Мы настоятельно рекомендуем пересмотреть политики безопасности и настройки вашей учетной записи на основе рекомендаций ниже. 

1. Ограничьте политики безопасности фактическими бизнес-политиками:
   1. Пересмотрите правила межсетевого экрана WAN и Интернета и убедитесь, что они максимально специфичны.
      • Замените настройки Любой в правилах на элементы, которые являются фактическим источником, назначением, приложением, сервисом и так далее.
   2. Блокировать предопределенные системные категории Cato, содержащие общие риски безопасности, такие как: Анонимайзеры, Ботнеты, Обман, Компрометированные, Преступная деятельность, Культы, Азартные игры, Хакерство, Кейлоггеры, Вредоносные программы, Нагота, P2P, Припаркованные домены, Фишинг, Порнография, Подозрительные, Спам, Безвкусные, Оружие, Сексуальное образование, Шпионское ПО, Насилие и Ненависть.
      • Совет - вы можете создать новую пользовательскую категорию, содержащую все элементы, которые представляют собой риски безопасности, и добавить ее в правило межсетевого экрана.

        

   3. Блокируйте категорию Без категории, эта категория может содержать домены и веб-сайты, которые представляют потенциальные риски безопасности.
   4. Для получения дополнительной информации, смотрите Политики межсетевого экрана Интернета и WAN – Лучшие практики.
      (Безопасность > Межсетевой экран Интернета и Безопасность > Межсетевой экран WAN)
2. Оптимизируйте настройки удаленной переадресации портов (RPF) и локальной переадресации портов для входящего трафика:
   1. По возможности избегайте правил RPF с Источниками трафика, использующими Любой (0.0.0.0). Вместо этого настройте конкретные диапазоны IP для правил.
      • Для получения большей информации, смотрите Контроль входящего трафика с помощью удаленной переадресации портов.
        (Безопасность > Удаленная переадресация портов)
   2. Избегайте настройки сайта с правилами локальной переадресации портов. Вместо этого замените их правилами RPF.
      (Сеть > Сайты > (название сайта) > Локальная переадресация портов)
3. Реализуйте сегментацию сети для ваших сайтов.
   1. Предоставляет дополнительную безопасность, особенно против вымогательского ПО.
   2. Для получения дополнительной информации, смотрите Сегментация сети - Лучшие практики.
4. Используйте правила Географического ограничения IPS для блокировки входящего и выходящего трафика из стран, с которыми у вас нет деловых отношений и которые известны как источники вредоносного трафика.
   1. Пожалуйста, обратите внимание, что правила географического ограничения для IPS влияют на весь трафик в вашей учетной записи.
   2. Для получения дополнительной информации, смотрите (Новый) Настройка политики IPS.
      (Безопасность > IPS > Географическое ограничение)
5. Инспекция TLS позволяет сервисам безопасности Cato инспектировать зашифрованный интернет-трафик.
   1. Используйте детализированную политику Инспекции TLS для проверки только определенных типов трафика.
   2. Исключите приложения и назначения, которые не работают с Инспекцией TLS.
   3. Для получения дополнительной информации, смотрите Лучшие практики для Инспекции TLS.
      (Безопасность > Инспекция TLS)
6. Оптимизируйте настройки для пользовательских приложений и определите все применимые элементы для правила для пользовательского приложения.
   1. Например, настройте пользовательское приложение с определенными IP-адресами назначения, Домены и Порты вместо того, чтобы определять только Порты.
   2. Для получения дополнительной информации, смотрите (Новый) Работа с пользовательскими приложениями.
      (Ресурсы > Пользовательские приложения)