管理应用控制策略

本文说明如何配置Cato的应用控制规则库作为云访问安全代理（CASB）解决方案的一部分。这个规则库有助于管理用户如何被允许访问和使用预定义的应用程序和系统类别。

关于Cato中应用控制策略的更多信息，请参见什么是统一CASB解决方案？?

创建应用控制策略

应用控制策略是互联网防火墙和WAN防火墙的扩展，只有通过这些防火墙策略允许的流量才会被在线应用控制策略检查。

注意

注意：要用应用控制规则管理应用程序的使用，请确保该应用程序已被互联网和WAN防火墙允许。

应用控制策略是一个有序的规则库，允许您为应用程序和类别定义活动和所需条件。每条规则定义一个应用程序或一个类别。一旦规则匹配到流量，较低优先级的规则（在匹配规则下方）不会被应用于该流量。

规则库中的最终规则是一个隐式的“允许任何”规则，因此如果连接不匹配任何规则，则它被最终隐式规则允许。

应用控制策略的先决条件

对于应用程序规则，您必须启用TLS检查以检查与规则匹配的流量。
由于更精细的应用策略，请确保互联网防火墙策略有两条高优先级（接近规则库顶部）的规则来阻止QUIC流量。更安全的方法是仅允许标准协议，并在单独的规则中阻止以下项目：
- 应用程序 - GQuic
- 服务 - QUIC
注意

注意： 当您最初启用应用控制策略时，会自动在互联网防火墙规则库的顶部添加一条阻止QUIC和GQUIC流量的规则。这符合Cato的安全最佳实践。

如有必要，您可以根据账户的要求编辑此规则。
应用控制策略包含在CASB许可证中。欲了解更多关于购买CASB许可证的信息，请联系您的Cato代表。

向应用控制策略添加规则

当您向应用控制策略添加规则时，配置规则中要求的每个部分，以定义该应用程序的访问和允许操作。

我们建议，在您首次实施策略或向现有策略添加新应用程序时，使用监控操作运行新规则。然后查看事件，查看此规则是否会阻止被允许的流量。

应用控制规则设置

一个应用控制规则具有以下部分：

常规 - 您为该规则选择分配的名称和严重性。还可以让您启用或禁用规则。
应用程序 - 与此规则匹配的预定义应用程序、类别、自定义应用程序或批准的应用程序。只有受支持的应用出现在预定义应用程序列表中。
活动 - 定义一个或多个项目来定义应用程序行为，并如果项目之间存在与或或关系。您可以选择任何活动以便规则匹配为细化应用程序执行的所有活动。
- 对于应用程序，选择应用操作的匹配活动。
  
  注意
  
  注意：对于应用程序规则，您必须启用TLS检查以检查匹配的流量。
- 对于类别，选择应用操作的匹配活动或条件。
  
  注意
  
  注意：对于定义活动的类别规则，您必须启用TLS检查以检查匹配的流量。
访问方式 - 对能连接到您账户的主机和设备上的用户代理的要求。
源 - 本规则流量的来源。
- 您可以将源设置为国家，以根据IP地理定位创建一条强制该国起始流量的规则
- 有关规则的其他源项目的信息，请参见规则对象参考
设备状态 - 选择设备必须满足的设备配置文件以便操作能应用于设备。

例如，带有允许操作的规则，且设备必须满足该规则的设备配置文件，否则流量被阻止。关于使用设备配置文件与安全规则的更多信息，请参见添加设备条件到防火墙规则?
时间 - 定义规则激活的时间段。
操作 - 对匹配规则的流量应用指定的操作。选项是：
- 允许: 操作被允许且不会创建事件
- 监控: 操作被允许且会创建事件
- 阻止: 操作被阻止
定义事件和电子邮件通知的跟踪选项。

创建新的应用控制规则

创建新的应用控制规则并配置规则的设置，以实施您的组织的应用控制策略。

时间选项定义规则启用的时间范围。您可以为规则配置自定义选项，或选择定义给账户的默认工作时间。

要创建新的应用控制规则：

在导航菜单中，选择安全 > 应用程序 & 数据内联。
点击新建，选择应用控制规则。 应用控制规则面板打开。
展开常规部分并配置这些设置：
1. 为规则输入一个名称。
2. 使用滑块启用或禁用规则（绿色是启用，灰色是禁用）。
3. 选择严重性。
  
  严重性用于此规则的事件和监控分析中。
展开应用程序部分，并选择匹配此规则的流量的应用程序或类别。
展开活动或条件部分，并配置这些设置：
1. 点击添加活动或添加条件，然后选择规则项目。
2. 如有必要，点击并配置此项目的设置。
3. 当活动或条件部分中有多个项目时，在满足下拉菜单中定义项目之间的关系：
  - 任何（或） - 如果任何项目与流量匹配，则应用该规则
  - 全部（与） - 如果所有项目与流量匹配，则应用该规则
展开访问方式部分，定义用户代理要求。

如果有多个项目，则它们之间存在与关系。
展开来源部分，并为此规则选择一个或多个流量来源对象（或者您可以输入IP地址）。

选择类型（例如：主机、网络接口、IP、任何）。默认值为任何。
展开设备姿态部分，并为该规则选择一个或多个设备配置文件。

当一个规则有多个设备配置文件时，它们之间存在或关系。
（可选）展开时间部分，并定义规则激活的时间。

选择无时间限制将规则设置为始终有效。
展开操作部分，并配置这些设置：
1. 为此规则选择操作。选项是允许、阻止和监控。
2. （可选） 配置跟踪选项以生成事件和 发送通知。频率在发送第一次通知后开始计数。
  
  有关通知的更多信息，请参阅警报部分中的订阅组、邮件列表和警报集成的相关文章。
点击应用。

在应用控制规则中使用值集

值集是帮助您管理一组项目（如网址或电子邮件地址）的应用控制规则的用户自定义类别。例如，您可以：

通过配置一个带有以文件夹的完整路径URL定义的值集的Dropbox规则，管理对一组特定Dropbox文件夹的访问
通过创建一个配置有用电子邮件地址列表定义的值集的规则，只允许特定用户的登录活动

在应用控制规则中使用值集：

创建一种类型为文本字符串的值集。其他类型的值集将无法与应用控制规则一起使用。
创建如上所述的新建应用控制规则在上面。
在活动部分，选择在内运算符，然后创建或选择值集。

有关创建值集的更多信息，请参阅使用类别。

在应用控制策略中添加例外

应用控制策略是一个有序的规则库，当您需要为规则创建例外时，可以创建新规则以允许流量。确保新规则在阻止规则之前。

在应用控制策略中为阻止规则添加例外：

在导航菜单中，选择安全 > 应用程序 & 数据内联。
在规则的右侧，点击并选择上方添加规则。

新建云应用规则面板打开。
配置应用控制规则的设置。
- 在操作部分，确保选择允许。
点击应用。

例外已添加到应用控制规则库。

理解应用控制字段

本节描述了需要条件和活动的规则可用字段。

基于条件的规则

这些是可配置用于需要特定条件的规则的字段解释。条件分为三部分：安全，常规和合规。

条件字段	解释
安全条件
审计追踪	应用程序支持管理更改的审计追踪
加密协议	基于卡托云的分析，定义应用程序允许的TLS加密协议
静态加密	服务的数据存储已加密
HTTP 安全头	支持HTTP安全头
MFA	支持多因素认证
RBAC	支持管理员的基于规则的访问控制（RBAC）
记住密码	允许用户在本地浏览器上记住密码
风险评分	卡托为每个云应用程序分配风险评分，范围从0（无风险）到10（高风险），帮助您评估应用程序是否符合安全策略要求，请参阅使用云应用仪表板
SSO 类型	支持单点登录（SSO）
TLS 强制执行	根据卡托云的分析，应用程序仅允许TLS加密流量
受信任的证书	根据卡托云的分析，此应用程序仅使用来自注册CA的受信任证书（无自签名或已撤销的证书）
常规条件
国家/地区代码	公司总部所在地的国家（注册国家/地区）
合规性条件
合规选项	见下文，支持的合规性要求。

支持的合规性要求

这些是可以添加到应用控制规则的合规性要求。例如，您只能允许符合HIPAA或SOC-2的应用程序。

HIPAA
ISAE 3402
ISO 27001
PCI-DSS
SOC-1
SOC-2
SOC-3
SOX
SSO

基于活动的规则

这些是可配置用于需要特定活动的规则的字段解释。表格中还显示了包含规则活动字段的应用程序示例。

活动字段	解释	应用实例
添加附件	将文件附加到电子邮件	Gmail
聊天	使用应用程序的聊天功能	LinkedIn
删除消息	从应用中的对话删除一条消息	Slack
下载	从云存储下载文件	Google Drive
编辑	编辑应用权限	销售云
导出	从应用程序导出数据或记录	销售云
完整路径 URL	仅允许或阻止与特定路径匹配的应用流量。例如，在dropbox.com/contact中，完整路径URL必须包括路径/contact	Dropbox
登录	登录到账户	Google
登出	退出账户	Google
发布	在社交媒体应用程序上发布消息或评论	Facebook
保存报告	将应用程序中的报告保存到主机或设备	销售云
发送邮件	发送电子邮件	Microsoft Outlook
发送消息（文件）	发送包含文件的消息	Slack
发送消息（文本）	发送仅包含文本的消息	Slack
登录	登录应用程序	Slack
登出	退出应用程序	Slack
上传	将文件上传到云存储	Box
观看直播	观看流媒体视频	YouTube

应用控制策略的最佳实践

本节包含在你的账户中实现应用控制策略的推荐最佳实践。当指示时，最佳实践也适用于向策略中添加新应用程序。

当你实施策略或添加新的应用程序并使用阻止操作时：
- 使用监控操作来制定规则。
- 审核规则生成的事件，确保没有你想要允许流量的事件（误报流量）。
- 如果存在误报流量，你可以做以下更改：
  - 优化规则范围以排除误报流量
  - 在阻止规则之前创建一个新的允许规则，新规则的范围仅限于误报流量
该策略支持基于浏览器的应用程序。除非明确指定，否则不支持本地客户端。
请记住，应用控制策略是一个有序的策略，最终的隐式规则是任何任何接受。在策略中添加规则以阻止相关应用程序流量、活动和标准。
你的账户的应用控制事件的最大数量是每小时2.5百万事件。

应用控制规则示例

本节包含在你的组织中实施CASB策略的应用控制规则示例。

实施Office365的合规性

前面的示例为Office程序和服务类别展示了两条规则，该类别适用于Office365应用程序和服务。

规则1允许符合Office365合规性要求的流量，具有以下设置：
- 来源 - 任何。适用于所有流量来源。
- 应用程序 - Office程序和服务。适用于Office365的类别。
- 条件 - SOC2，受信任的证书，SSO，使用与关系。适用于符合所有合规性项目的流量。
- 严重性 - 中等。符合此规则的流量在分析中分类为中等风险。
- 操作 - 允许。符合合规性要求的Office365流量被允许。
规则2阻止所有其他Office365流量，以下设置与规则1不同：
- 条件 - 无。适用于所有Office365流量，因为规则1已经匹配了允许的流量。
- 操作 - 阻止。阻止所有Office 365流量，因为规则1已经允许了所有合规流量。
- 跟踪 - 事件。为所有不符合标准的Office365流量生成事件。

分析应用控制事件

事件屏幕显示账户的所有应用控制事件。这些安全事件的子类型是应用安全。

你可以在这里了解有关事件屏幕的更多信息。你可以使用SaaS安全API数据保护预设来过滤事件。

这些是与应用控制唯一相关的字段：

字段名称	描述
应用程序活动	对于具有阻止操作的事件，显示规则的活动（见上文，基于活动的规则）
应用程序活动类别	事件中应用程序活动的一般类别。有关应用活动类别的更多信息，请见下文了解应用活动类别和类型。
应用程序活动类型	应用程序活动的类型。有关应用活动类型的更多信息，请见下文了解应用活动类别和类型。
应用程序	应用程序名称
应用程序风险	此应用程序的Cato风险等级
完整路径 URL	流量连接到的网址的完整路径
是批准的应用程序	True表示此应用程序已配置为批准的应用程序

理解应用程序活动类别和类型

这些是应用活动类别字段的可能值以及每个类别的描述：

内容操作 - 活动涉及到的数据（通常是文件或明文）是:
- 从客户端上传到SaaS应用
- 从SaaS应用下载到客户端
- 在SaaS应用中编辑
例如：上传、下载、移动
内容共享 - 向已经驻留在SaaS应用上的数据修改访问权限的活动。例如：共享、共享匿名链接
通信与协作 - 活动是SaaS应用的用户之间的信息上传和下载。例如：聊天、视频、语音
搜索与查看 - 活动是不修改数据本身或其权限而访问SaaS应用上的数据。例如：搜索、文件访问
管理员设置 - 例如：用户创建、隔离、变更权限
登录和身份验证 - 例如：登录、登出、登录失败
API和集成 - 例如：查询API、添加<App Name>集成
执行 - 例如：执行流、运行报告/仪表板
常规 - 不符合任何其他类别定义的活动，或尚未分配类别的活动

这些是应用活动类型的可能值以及每种类型包含的活动：

文件共享 - 上传、下载、删除、共享、编辑、查看、创建
源代码管理 - 拉取/克隆、推送
聊天 - 发送消息、发送语音消息、接收消息、删除消息、添加反应
邮件 - 发送邮件
社交网络 - 发布、评论
管理员应用程序 - 登录、第三方登录、注销、授权第三方、变更项目的权限
IaaS平台 - 访问
金融 - 编辑、导出、保存报告
流媒体 -观看流媒体
网络会议 - 视频通话
知识共享 - 创建、编辑、分享
任务管理 - 创建任务、编辑任务、删除任务、变更任务状态、分配
搜索引擎 - 搜索
AI工具 - 会话

用户通知

如果活动被应用控制规则阻止，您可以配置向用户显示的通知，解释哪个应用程序被阻止以及原因。

这是通知在Windows设备上的显示方式：

这是通知在iOS设备上的显示方式：

用户通知的先决条件

支持自：
- Windows客户端 v5.10及更高版本
- macOS客户端 v5.7及更高版本
- iOS客户端 v5.4及更高版本
用户必须远程连接
必须启用Windows通知

启用用户通知

如果活动被应用控制规则阻止，您可以启用用户接收系统通知。

要启用用户通知：

从导航菜单中选择访问 > 客户端访问 > 安全策略通知。
选中启用安全策略用户通知复选框。
点击保存。