本文讨论如何使用TLS检查配置向导根据最佳实践设置和自定义TLS检查策略,同时满足您网络的特定要求。
TLS检查解密并检查HTTPS流量以提高安全性。 TLS检查面临的挑战之一是,可能会破坏合法站点的流量,从而导致用户无法访问重要资源。 Cato研究团队开发了一种简化的方法来配置您的策略,以便为大量可以安全检查的应用程序和域名启用TLS检查,而不会引发问题,同时绕过在TLS检查中可能存在问题的流量。
通过使用高级数据分析方法,Cato研究识别出可以安全检查的流行应用程序和域名,并将它们分类为可以在TLS检查规则中轻松配置的类别。 Cato不断维护这些类别,并在必要时更新项目,相关规则会自动将更新后的类别应用于检查流量。 向导让您可以轻松使用这些类别创建推荐的检查规则,同时自定义规则参数以满足您的要求。
此外,向导还可以帮助您创建规则,以绕过如物联网设备流量等在检查时可能存在问题的流量。
示例公司最近采用了许多不同的生成AI工具来执行关键业务功能。 示例公司的安全团队将AI工具的使用确定为重要的数据泄露风险,需要实施数据控制策略以防止如PII等敏感数据的丢失。 实施数据控制策略需要对加密的AI应用程序流量进行TLS检查,但团队担心这可能会影响用户体验和整体生产力。 研究和测试所有相关应用程序需要大量资源。
安全团队确定流行云应用和Cato推荐域名类别包含可以无问题检查的AI应用程序。 这意味着数据控制策略可以应用于这些AI应用程序,所有其他AI资源可以被阻止,因为它们不符合安全策略。 团队使用TLS检查配置向导来实施所需的策略,并为他们的账户自定义推荐规则设置。
本节描述了TLS检查配置向导帮助您创建的推荐规则。 这包括一组绕过规则和一组检查规则。 绕过规则适用于在检查时可能会引发问题的操作系统,以及法规通常要求不予检查的敏感信息类别。 检查规则使用Cato定义的域名和应用程序类别,这些类别被确定为安全可检查,还包括恶意或可疑目标的类别。 这些是推荐的规则:
-
绕过规则 -
- 绕过嵌入式操作系统 - Cato将某些操作系统分类为嵌入式,这些操作系统通常用于物联网设备,有时不支持安装用于TLS检查的Cato证书
- 绕过敏感类别 - 出于隐私法规和关注而不进行检查的类别
-
检查规则 -
- 检查流行云应用 - 由Cato安全团队分析并确认安全可检查的高人气云应用。 配置这些应用程序的检查,以实现优化的CASB 应用控制和DLP 数据控制策略执行
- 检查 Cato 推荐的域名 - 在Cato 云中被广泛TLS检验的顶级域名。 TLS检查这些域名可能是安全的。 创建此规则以实现更广泛的DLP覆盖
- 检查恶意和可疑的类别 - 识别为恶意或可疑的目的地。 配置这些目的地的检查,以启用反恶意软件和入侵防御系统扫描。
注意
注意: 类别 流行云应用 和 Cato 推荐域名 是系统类别,无法编辑。 类别页面的系统类别标签页中可以查看类别成员。
运行配置向导以审查和创建推荐的规则。 选择包含哪些推荐规则,然后向导将指导您完成配置。 它显示了每个规则的默认设置,并允许您编辑规则参数以满足您的帐户要求。 向导创建规则后,将它们保存到您的帐户策略。 您可以在首次设置策略时或随后随时运行配置向导。
注意
注意:
- 在TLS检查规则库底部有一个默认规则,设置为检查任何流量。 对于在此向导中配置推荐规则的客户,我们建议将默认规则更改为绕过操作。
- Cato建议将TLS检查逐步实施的最佳实践是首先将其应用于测试站点或测试用户组,作为受控推出的一部分
0 条评论
请登录写评论。