本文说明如何配置Cato的应用控制规则库作为云访问安全代理(CASB)解决方案的一部分。 这个规则库有助于管理用户如何被允许访问和使用预定义的应用程序和系统类别。
关于Cato中应用控制策略的更多信息,请参见什么是统一CASB解决方案?。
应用控制策略是云应用程序互联网和WAN防火墙的扩展。 只有符合防火墙策略的流量才会被在线应用控制策略检查。 应用控制策略不适用于在应用目录中应用类型为应用程序的应用。
注意
注意: 要使用应用控制规则管理应用程序使用,请确保该应用程序被互联网和 WAN 防火墙允许。
应用控制策略是一个有序的规则库,允许您定义应用程序和类别的活动和必需标准。 每个规则定义一个应用程序或一个类别。 一旦某个规则匹配了流量,较低优先级的规则(匹配规则下方的)将不再适用于该流量。
规则库中的最终规则是隐含的任意任意允许规则,因此如果连接不匹配任何规则,它会被最终隐含规则允许。
租户限制策略限制用户访问哪些 SaaS 租户,防止访问个人或未授权账户,降低数据泄漏风险。 Cato 通过两种方法执行这些控制:租户意识,在应用控制中应用特定租户的允许或阻止操作;以及租户限制策略,通过注入 HTTP 标头将应用程序引导到正确的租户。 通过这些功能,确保用户只访问信贵公司批准的租户。
应用控制策略允许不同的管理员并行编辑策略。 每个管理员都可以编辑规则并将更改保存到他们自己的私有修订版中,然后将它们发布到账户策略(已发布修订版)。 有关如何管理策略修订的更多信息,请参阅使用政策修订。
应用控制配置向导的使用
应用控制配置向导自动审查策略,通过这些检查和见解。 当某项检查失败时,您可以直接在向导中查看和更新策略,而无需编辑单个规则。 这有助于您在简化策略管理的同时保持安全。 详情请参阅使用配置向导。
当您向应用控制策略添加规则时,配置规则中要求的每个部分,以定义该应用程序的访问和允许操作。
我们建议,在您首次实施策略或向现有策略添加新应用程序时,使用监控操作运行新规则。 然后查看事件,查看此规则是否会阻止被允许的流量。
应用控制规则包含以下部分:
- 常规 - 选择分配给规则的名称和严重程度。 还可以让您启用或禁用规则。
- 应用程序 - 预定义应用程序、类别、自定义应用程序或符合规则的批准应用。 仅支持的应用程序会显示在预定义应用程序列表中。
-
活动 - 定义一个或多个项目以定义应用程序行为,并确定项目之间是否存在与或或关系。
您可以选择任何细粒度活动以便该规则匹配对细粒度应用程序执行的所有活动,但仅有允许和监控操作可用。
如果活动字段未配置且为空,则规则匹配
-
对于应用程序,选择将要应用操作的匹配活动。有关更多信息,请参见什么是卡托DLP服务?。
注意
注意: 对于应用规则,您必须启用TLS检查以检验与规则匹配的流量。
-
对于类别,选择与应用的活动或标准相匹配的操作。
注意
注意: 对于具有已定义活动的类别规则,您必须启用TLS检查以检验与规则匹配的流量。
-
- 访问方式 - 用户代理在主机和设备上的要求,这些设备可以连接到您的账户。
-
来源 - 此规则的流量来源。
- 您可以将来源设置为国家,以创建根据IP地理位置强制要求来自该国家流量的规则。
- 有关规则的其他来源项目的信息,请参见规则对象参考。
-
设备姿态 - 选择设备必须满足的设备配置文件以便操作能应用于设备。
例如,具有允许操作的规则,设备必须满足该规则的设备配置文件,否则流量将被阻止。 关于使用设备配置文件与安全规则的更多信息,请参见添加设备条件到防火墙规则。
- 时间 - 定义规则激活的时间段。
-
操作 - 对符合规则的流量执行指定的操作。 选项有:
- 允许: 操作被允许且不会创建事件
- 监控: 操作被允许且创建了事件
- 阻止: 操作被阻止
- 定义事件和电子邮件通知的跟踪选项。
创建新的应用控制规则并配置该规则的设置,以便为您的组织实施应用控制策略。
时间选项定义规则启用的时间范围。 您可以为规则配置自定义选项,也可以选择为账户定义的默认工作时间。
要创建新的应用控制规则:
- 从导航菜单中选择安全性 > 应用 & 数据内联。
- 点击新建并选择应用控制规则。 应用控制规则面板已打开。
- 展开常规部分并配置这些设置:
- 为规则输入名称。
- 使用滑块启用或禁用该规则(绿色表示启用,灰色表示禁用)。
-
选择 严重性。
严重性用于规则的事件和监控分析中。
- 展开应用程序部分,并为匹配此规则的流量选择应用或类别。
- 展开活动或信任网络标准部分,并配置这些设置:
- 点击添加活动或添加信任网络标准并选择该规则的项目。
- 如有必要,单击
并配置该项目的设置。
-
当 活动 或 条件 部分有多个项目时,在 满足 下拉菜单中定义项目之间的关系:
- 任何(或) - 如果任何项目匹配流量,则应用该规则
- 全部(与) - 如果所有项目匹配流量,则应用该规则
-
展开 访问方式 部分并定义用户代理要求。
如果有多个项目,则它们之间存在与关系。
-
展开 来源 部分并为此规则的流量来源选择一个或多个对象(或您可以输入一个 IP 地址)。
选择类型(例如:主机、网络接口、IP、任何)。 默认值为任何。
-
展开 设备姿态 部分,并为规则选择一个或多个设备配置文件。
当规则有多个设备配置文件时,它们之间存在或关系。
-
(可选) 展开 时间 部分,并定义规则何时活动。
选择无时间限制以将规则设置为始终活动。
- 展开操作部分,并配置这些设置:
- 为此规则选择操作。 选项有允许、阻止和监控。
-
(可选) 配置跟踪选项以生成事件并发送通知。 频率在第一次发送通知后开始计数。
有关通知的更多信息,请参阅在警报部分中关于订阅组、邮件列表和警报集成的相关文章。
- 点击应用。
本部分介绍需要条件和活动的规则字段。
这些是可以配置的规则字段,需要特定条件。 这些条件分为三个部分:安全性、常规和合规性。
| 信任网络标准字段 | 解释 |
|---|---|
| 安全性信任网络标准 | |
| 审计追踪 | 应用程序支持管理员变更的审计追踪 |
| 加密协议 | 基于卡托云分析,定义应用程序允许的TLS加密协议 |
| 静态加密 | 服务的数据存储已加密 |
| HTTP安全头 | 支持HTTP安全头 |
| MFA | 支持多因素认证 |
| RBAC | 支持管理员的基于规则的访问控制(RBAC) |
| 记住密码 | 允许用户在本地浏览器记住密码 |
| 风险评分 | 卡托为每个云应用程序分配风险评分,范围从0(无风险)到10(高风险),帮助您评估应用程序是否符合安全策略要求,请参阅使用云应用仪表板 |
| SSO类型 | 支持单点登录(SSO) |
| TLS强制执行 | 基于卡托云分析,应用程序仅允许TLS加密流量 |
| 受信任的证书 | 基于卡托云分析,此应用程序仅使用注册CA的受信任证书(无自签名或已撤销的证书) |
| 常规信任网络标准 | |
| 国家/地区代码 | 公司总部的实际所在地(注册的原产地) |
| 合规标准 | |
| 合规性选项 | 参见下方,支持的合规性要求。 |
以下是您可以为需要特定活动的规则配置的字段的解释。 该表还显示了一个包含规则活动字段的应用程序示例。
注意: 如果活动字段留空,则任何活动都与规则匹配。
| 活动字段 | 解释 | 示例应用 |
|---|---|---|
| 添加附件 | 将文件上传到电子邮件 | Gmail |
| 聊天 | 使用应用的聊天功能 | |
| 删除消息 | 从应用的会话中删除消息 | Slack |
| 下载 | 从云存储下载文件 | Google Drive |
| 编辑访问令牌 | 编辑应用的权限 | 销售云 |
| 导出 | 从应用导出数据或记录 | 销售云 |
| 完整路径 URL | 只有与特定路径匹配的应用流量才会被允许或被阻止。 例如,在 dropbox.com/contact 中,完整路径 URL 必须包括路径 /contact | Dropbox |
| 登录 | 登录到账户 | |
| 注销 | 退出账户 | |
| 发布 | 发布消息或评论到社交媒体应用 | |
| 保存报告 | 将应用的报告保存到主机或设备 | 销售云 |
| 发送邮件 | 发送电子邮件消息 | Microsoft Outlook |
| 发送消息(文件) | 发送包含文件的消息 | Slack |
| 发送消息(文本) | 发送仅包含文本的消息 | Slack |
| 登录 | 登录到应用程序 | Slack |
| 登出 | 退出应用程序 | Slack |
| 上传 | 上传文件到云存储 | Box |
| 观看流媒体 | 观看流媒体视频 | YouTube |
本部分包含在您的账户中实现应用控制策略的推荐最佳实践。 在指示的情况下,最佳实践也适用于向策略添加新应用程序。
-
当您实施策略或以阻止操作方式添加新应用程序时:
- 使用监控操作的规则。
- 审查规则生成的事件,确保没有不希望允许的流量事件(虚假积极流量)。
-
如果存在误报流量,您可以做出以下更改:
- 细化规则范围以排除虚假积极流量。
- 在阻止规则之前创建一个新的允许规则,新规则的范围仅适用于虚假积极流量。
- 该策略支持基于浏览器的应用程序。 除非明确指定,否则不支持本地客户端。
- 请记住,应用控制策略是一个有序策略,最终的隐式规则是接受所有。 在策略中添加规则以阻止相关应用流量、活动和标准。
- 您的账户每小时最多可以处理 250 万个应用控制事件。
本部分包含在您的组织中实施CASB策略的应用控制规则示例。
前面的示例展示了两个规则,适用于Office程序和服务类别,即Office365应用程序和服务。
-
规则1允许符合Office365合规性要求的流量,具有以下设置:
- 来源 - 任何。 应用于所有流量来源。
- 应用程序 - Office 程序和服务。 应用于 Office365 类别。
- 信任网络标准 - SOC2,受信任的证书,SSO 与 AND 关系。 应用于满足所有合规项目的流量。
- 严重程度 - 中等。 符合此规则的流量被分类为分析的中等风险。
- 操作 - 允许。 符合合规要求的 Office365 流量被允许。
-
规则2阻止所有其他Office365流量,具有以下与规则1不同的设置:
- 信任网络标准 - 无。 应用于所有 Office365 流量,因为规则1已经匹配允许的流量。
- 操作 - 阻止。 阻止所有 Office 365 流量,因为规则1已经允许所有合规流量。
- 跟踪 - 事件。 生成所有不合规的 Office365 流量事件。
事件屏幕显示您的账户的所有应用控制事件。 这些安全事件为子类型,应用安全。
您可以在此处了解有关使用事件页面的更多信息。
这些是与应用控制唯一相关的字段:
| 字段名称 | 描述 |
|---|---|
| 应用活动类别 | 对于阻止操作的事件,显示规则的活动(见上面,基于活动的规则) |
| 应用活动类别 | 事件中应用活动的一般类别。 有关应用活动类别的更多信息,请参见下文了解应用活动类别和类型。 |
| 应用活动类型 | 应用活动的类型。 有关应用活动类型的更多信息,请参见下文了解应用活动类别和类型。 |
| 应用程序 | 应用程序的名称 |
| 应用程序风险 | 此应用程序的Cato风险等级 |
| 完整路径URL | 流量连接到的URL的完整路径 |
| 是批准的应用 | True表示此应用程序已配置为批准的应用 |
这些是应用活动类别字段的可能值以及每个类别的描述:
-
内容操作 - 活动涉及到的数据(通常是文件或明文)是:
- 从客户端上传到SaaS应用
- 从SaaS应用下载到客户端
- 在SaaS应用中编辑
例如:上传、下载、移动
- 内容分享 - 活动中对已有数据的访问进行修改,这些数据已位于SaaS应用上。 例如:分享,分享匿名链接
- 通讯与协作 - 在SaaS应用用户之间传递信息的活动。 例如:聊天、视频、语音
- 搜索与查看 - 访问SaaS应用上的数据而不修改数据本身或其权限的活动。 例如:搜索、文件访问
- 管理设置 - 例如:用户创建、隔离、变更权限
- 登录认证 - 例如:登录、登出、登录失败
- API与集成 - 例如:查询API,添加<应用名称>集成
- 执行 - 例如:执行流程,运行报告/仪表板
- 常规 - 不符合其他类别定义的活动,或尚未分配类别的活动
这些是应用活动类型的可能值以及每种类型包含的活动:
- 文件分享 - 上传、下载、移除、分享、编辑、查看、创建
- 源代码管理 - 拉取/克隆、推送
- 聊天 - 发送消息、发送语音消息、接收消息、删除消息、添加反应
- 邮件 - 发送邮件
- 社交网络 - 发布,评论
- 管理应用 - 登录、第三方登录、注销、授权第三方、变更项目权限
- IaaS平台 - 访问
- 财务 - 编辑、导出、保存报告
- 流媒体 -观看流媒体
- 网络会议 - 视频通话
- 知识分享 - 创建、编辑、分享
- 任务管理 - 创建任务、编辑任务、删除任务、变更任务状态、分配
- 搜索引擎 - 搜索
- AI工具 - 对话
如果活动被应用控制规则阻止,可以设置通知显示给用户,解释被阻止的应用及原因。 您可以自定义通知的内容和品牌以满足组织的要求。
默认通知在Windows设备上的显示效果如下:
默认通知在iOS设备上的显示效果如下:
为指导用户了解操作被阻止的原因,您可以创建多个通知模板并将它们分配到策略规则中。 这让您可以在执行点为特定使用案例提供上下文通知。 欲知更多信息,请参阅创建用户通知模板。
0 条评论
请登录写评论。