Настройка службы RBI для сеансов просмотра

Эта статья объясняет, как настроить службу изоляции удаленного браузера (RBI) для защиты от угроз в веб-пространстве.

Обзор

РБИ защищает устройства от угроз, нацеленных на веб, и вредоносного контента, который может быть встроен на интернет-сайтах и в услугах. РБИ работает как изолированная служба Cato, которая эмулирует активность просмотра для пользователей, а затем передаёт эмулированный трафик на устройство пользователя. Это защищает Устройство от Угроз вредоносного ПО, гарантируя, что весь Код в браузере выполняется удаленно и Никогда на Устройстве.

В ситуациях, когда служба РБИ не может эмулировать трафик, вы можете настроить Действие при отказе, которое определяет, как будет обрабатываться трафик. Например, если вы временно отключите службу РБИ или если служба будет временно недоступна.

Для получения дополнительной информации о службе RBI, смотрите Защита сеансов просмотра с помощью RBI.

Примечание: функциональность РБИ недоступна для PoP Cato, расположенных в Китае. Эти PoP всегда будут применять Действие при отказе для соответствующего трафика.

Понимание профилей RBI

Вы можете настроить параметры безопасности для сеансов RBI с помощью детализированных профилей, что позволит настроить различные параметры изоляции просмотра. Они определяют действия, которые пользователь может выполнить на сайте. Например, вы можете блокировать пользователей от ввода или вставки текста в веб-формы и предотвращать утечку учетных данных и других конфиденциальных данных.

Каждый профиль RBI содержит:

Разрешенные или заблокированные действия

Для каждого профиля вы можете определить детализированные действия, которые можно разрешить или заблокировать:

  • Загрузка - Загрузка любого файла (Использование функции перетаскивания не поддерживается)

  • Загрузка - Загрузка любого файла

  • Печать - Печать веб-контента

  • Копирование/Вставка - Копирование данных с сайта или вставка данных на сайт

  • Ввод - Ввод текста на сайте

Примечание: ограничения RBI применяются только в рамках изолированного сеанса браузера. Действия, инициированные вне контейнера RBI (например, через меню хоста браузера или ярлыки уровня ОС), обходят средства контроля RBI. Чтобы полностью обеспечить контроль, примените политики уровня браузера или конечной точки (например, Chrome GPO, DLP) вместе с конфигурациями RBI.

Текст баннера RBI

В сеансе RBI для конечного пользователя отображается баннер, информирующий его о том, что он находится в сеансе RBI. Фирменный стиль этого баннера можно определить глобально для всех аккаунтов. Для получения дополнительной информации смотрите Настройка пользовательского опыта.

В каждом профиле RBI вы можете перезаписать текст баннера и создать пользовательский текст для профиля.

Непрерывные сеансы RBI

Чтобы повысить безопасность просмотра и улучшить пользовательский опыт, вы можете настроить профиль, позволяющий пользователям продолжать просмотр на нескольких направлениях в рамках одного сеанса RBI. Это гарантирует, что назначенные вами направления не будут открыты в не изолированном сеансе или в другом сеансе RBI. Вот примеры использования непрерывных сеансов РБИ:

  • Предотвращение не изолированного просмотра к рискованным доменам - Создайте обширный список доменов с использованием подстановочных знаков, чтобы гарантировать, что весь сеанс просмотра пользователя проходит в изолированной среде, даже если пользователь перемещается из некатегоризированных или неопределенных доменов

  • Аутентификация на сайте - настройте список доменов, включая все поддомены приложения для обмена файлами, чтобы позволить пользователям войти, когда они перенаправляются на другой домен для аутентификации.

Действие при отказе

Действие при отказе определяет, что происходит, когда действие RBI не может быть выполнено. В этом сценарии вы можете выбрать блокировку действия или отображение страницы запроса.

Использование RBI с межсетевым экраном для Интернета

Сеансы RBI реализуются через Интернет-файервол с использованием действия RBI в правиле. Когда трафик соответствует правилу, сеанс RBI начинается автоматически. По умолчанию применяется профиль RBI по умолчанию. Вы можете назначить другой профиль RBI для соответствия вашим требованиям безопасности и доступа.

Только правила для категорий приложений Некатегоризированные или Не определено или Пользовательская категория могут быть настроены для удаленного просмотра. Весь другой трафик защищён широким диапазоном дополнительных служб безопасности Cato.

Примечание: Это поддерживаемые типы контента RBI. Пользовательская категория, содержащая другие типы контента, не поддерживаются:

  • Анонимайзеры

  • Ботнеты

  • Преступная деятельность

  • Наркотики

  • Азартные игры

  • Взлом

  • Припаркованные домены

  • Шпионское ПО

  • Обман

  • Подозрение на фишинг

  • Подозрение на вредоносное ПО

  • Порно

  • Без категории

  • Неопределено

  • Обмен файлами

  • Онлайн-хранилище

Требования для службы RBI

  • Для включения службы RBI требуется лицензия RBI. Для получения дополнительной информации о приобретении лицензии RBI, пожалуйста, свяжитесь с вашим представителем Cato.

  • Инспекция TLS должна быть включена для трафика, настроенного для RBI.

  • Чтобы служба RBI функционировала правильно, межсетевой экран Интернета должен разрешать доступ к этим URL. Если в вашем межсетевом экране Интернета внизу есть правило блокировки ANY-ANY, добавьте явное правило с более высоким приоритетом, разрешающее трафик к этим URL:

    • http://securebrowsing.catonetworks.com/

    • https://authentic8.com/

  • Если вы не используете Cato в качестве своего DNS сервера, добавьте запись в ваш локальный DNS сервер для http://rbi.catonetworks.com/, чтобы разрешить к 10.254.254.161.

Known Limitations

  • URL, содержащие идентификаторы фрагментов (“#”), не поддерживаются при перенаправлении RBI

Настройка RBI

Этот раздел объясняет, как настроить сервис RBI для обеспечения безопасного веб-серфинга конечных пользователей.

RBI.png

Это пример рабочего процесса для реализации РБИ:

  1. Включите службу RBI

  2. Создайте профиль RBI

  3. Настройте правило межсетевого экрана Интернета с действием Удаленный просмотр

Шаг 1: Включение и отключение службы RBI

Когда вы включаете сервис РБИ, действие Удаленный просмотр для межсетевого экрана Интернета становится доступным, и тогда вы можете создать правила для направления трафика в сервис. По умолчанию, РБИ отключен.

Чтобы включить или отключить РБИ для своего аккаунта:

  1. На панели навигации выберите Безопасность > РБИ.

  2. Нажмите на ползунок, чтобы включить (зеленый) или отключить (серый) сервис РБИ для учетной записи.

  3. Нажмите Новый.

Шаг 2: Создание профиля RBI

Каждый профиль RBI содержит детальные конфигурации RBI, которые могут быть применены к правилу межсетевого экрана Интернета.

Чтобы создать профиль RBI:

  1. В меню навигации выберите Безопасность > RBI.

  2. Нажмите Новый.

  3. Настройте профиль в соответствии с вашими требованиями.

  4. Нажмите Применить.

Шаг 3: Создание правила межсетевого экрана Интернета для удаленного просмотра

Используйте правила межсетевого экрана Интернета для определения времени, когда Cato направляет трафик на сервис RBI. Правила должны быть настроены с Категорией приложения, установленной как Без категории, Неопределено или Пользовательская категория без других приложений или категорий. Более подробную информацию о настройке правил межсетевого экрана Интернета смотрите в статье Управление политикой межсетевого экрана Интернета.

Чтобы создать правило межсетевого экрана Интернета для удаленного просмотра:

  1. В меню навигации выберите Безопасность > Межсетевой экран Интернета.

  2. Нажмите Новый.

  3. Введите Имя для правила.

  4. Включите или отключите правило, используя ползунок (зеленый - включено, серый - отключено).

  5. Настройте Порядок правил для этого правила.

    Новые правила добавляются внизу базы правил. Вы можете изменить порядок применения этого правила.

  6. Раскройте Источник и выберите тип источника.

    • Выберите тип (например: Хост, Сетевой интерфейс, IP, Пользователь, Пользовательская группа, Любой). Значение по умолчанию - Любое.

    • При необходимости выберите конкретный объект из выпадающего списка для этого типа.

  7. Раскройте раздел Приложение/Категория и выберите Категория приложения.

    Выберите одну или несколько из Без категории, Неопределено, или Пользовательская категория из выпадающего списка Категории приложений. Когда в правиле более одного объекта Приложение/Категория, между ними существует логическая операция ИЛИ.

  8. Установите Действие для этого правила как Удаленный просмотр (RBI) и выберите необходимый профиль.

  9. (Опционально) Настройте параметры отслеживания для генерации Событий и Отправить уведомление. Частота начинается после отправки первого уведомления.

    Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.

  10. Нажмите Применить. Новое правило добавлено в базу правил.

  11. Нажмите Сохранить.

    Правило сохранено.

Best Practices for Implementing RBI with the Internet Firewall

Мы рекомендуем постепенно внедрять вашу политику RBI с конкретными областями, чтобы избежать потенциальных ошибок конфигурации политик, которые могут привести к использованию RBI для трафика, который должен иметь прямой доступ к пунктам назначения. Это примеры рекомендованных лучших практик для внедрения RBI.

Лучшие практики для внедрения RBI для некатегоризированных и неопределенных пунктов назначения:

  • Если уже существует правило Интернет-фаервола, настроенное для категорий приложений Без категории и Неопределено:

    1. Начните отслеживать события для настроенного правила, чтобы определить специфические Без категории или Неопределено назначения, которые важны для ваших пользователей.

    2. Добавьте правило с более высоким приоритетом с действием Удаленное Обозревание, определенное для конкретной области важных Без категории и Неопределено сайтов.

  • Если нет правила, настроенного для категорий Без категории и Неопределено:

    1. Добавьте правило, охватывающее Без категории и Неопределено назначения с действием Разрешить или Запрос, и настройте для отслеживания События.

    2. Начните отслеживать события, чтобы определить специфические Без категории или Неопределено назначения, которые важны для ваших пользователей.

    3. Создайте правило с более высоким приоритетом с действием Разрешить или Запрос и постепенно добавляйте идентифицированные важные назначения до тех пор, пока не добавите все важные назначения.

    4. Настройте правило с более высоким приоритетом для действия Удаленное Обозревание.

  • Поскольку Конфигурация изоляции удаленного браузера поддерживается только для браузеров, если вас беспокоит небраузерный трафик к Без категории и Неопределено доменам, мы рекомендуем создать правило Блокировать для Межсетевой экран Интернета для Без категории и Неопределено трафика. Расположите это правило ниже по приоритету, чем правило RBI для этих доменов.

    Это обеспечивает безопасность трафика к этим подозрительным доменам, исходящим от небраузерных клиентов (например, cURL скрипты).

Customizing the User Experience

В изолированной сессии RBI пользователю отображается баннер. Чтобы соответствовать требованиям вашего брендинга, вы можете настроить дизайн, изменив глобальный цвет фона, текст и цвет текста.

Альтернативный текст изображения

Настроить пользовательский опыт:

  1. Из меню навигации нажмите Аккаунт > Брендинг RBI.

  2. Для изменения цвета фона нажмите Цвет полоски и выберите цвет.

  3. Для изменения цвета текста нажмите Цвет текста и выберите цвет.

  4. Чтобы изменить текст, нажмите Настроить текст оповещения и обновите текст.

  5. Нажмите Сохранить.

Reviewing RBI Events

Вы можете просмотреть события безопасности в Домашняя > События и найти журналы, связанные с сеансами эмуляции RBI, проведенными для соединения, соответствующего правилу файервола с действием Удаленное Обозревание. Эти события помечены подтипом Интернет Фаервол и действием RBI.

Когда сеанс RBI не может быть выполнен и вызывается Действие при отказе, соответствующие события имеют действие Блокировать или Запрос в зависимости от вашей конфигурации.

Это пример фильтра, который вы можете создать для просмотра событий, связанных с RBI:

RBI_Event_Filter.png

Это пример события, связанного с сеансом RBI:

RBI_Event.png

Troubleshooting the RBI Service

Вы можете использовать Симулятор RBI для администратора, чтобы помочь диагностировать проблемы, с которыми сталкиваются конечные пользователи при попытке перехода на назначения, настроенные для эмуляции РБИ. Утилита может помочь изолировать причину проблемы и помочь вам предоставить полезную информацию для поддержки для поиска решения.

Примечание: Через 5 минут бездействия сеанс растворяющейся облачной инфраструктуры (RBI) автоматически завершится, и вкладка браузера закроется. Чтобы продолжить просмотр, пользователь должен заново открыть сайт в своём браузере.

Troubleshooting the RBI Service for a URL

Если пользователь сталкивается с проблемой при просмоте определенного URL, вы можете сгенерировать тестовую сессию эмуляции RBI для URL с помощью Симулятор RBI для администратора. Введите действительный HTTP или HTTPS URL, затем перейдите по полученной ссылке, чтобы посмотреть сайт в сессии RBI. Инструмент отправляет этот трафик непосредственно в сервис RBI без прохода через Облако Cato. Это поможет определить, связано ли проблема пользователя с самим сервисом RBI, или вызвана другими проблемами, такими как настройка учетной записи или подключение инфраструктуры Cato. Например, подключенный к Cato пользователь не может перейти на сайт Без категории, настроенный для RBI, но администратор может попасть на сайт, используя инструмент. Это может указывать на то, что сервис RBI функционирует нормально и проблема связана с подключением между PoP и сервисом.

Симулятор RBI для администратора применяет контроли безопасности RBI, определенные в Настройки конфигурации аккаунта RBI.

После запуска сессии РБИ из утилиты вы можете сообщить результаты Поддержке, чтобы помочь им в решении проблемы.

Утилита_Администратора_RBI.png

Для устранения неполадок с Симулятором RBI для администратора:

  1. В меню навигации выберите Безопасность > RBI.

  2. В разделе Симулятор RBI для администратора введите допустимый HTTP или HTTPS URL. Например: https://maps.google.com

  3. Выберите Профиль для симуляции.

  4. Нажмите Сгенерировать. Создан URL для сессии РБИ.

  5. Кликните по ссылке рядом с URL. Сессия РБИ открывается в вашем браузере по умолчанию.

Известные ограничения

  • Служба RBI имеет ограниченную поддержку локализации

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 7

0 комментариев