限制访问SaaS应用租户

在大多数企业环境中，每天都会使用多个SaaS应用：电子邮件、CRM应用、生产力工具等。 虽然这非常方便，但它确实为在公司环境中使用个人账户打开了潜在的安全风险。 例如，公司A使用Google Workspace进行电子邮件和生产力应用。 用户A也使用Google进行个人电子邮件和文字处理。 公司政策规定，用户不得在公司设备上访问个人电子邮件或其他应用程序。 租户控制的作用是在Cato CASB解决方案的功能下，只允许访问指定的已审批SaaS应用租户。

另一个例子是，一个感染了恶意软件的设备企图与第三方SaaS租户通信。 租户限制将阻止使用头注入批准以外的其他第三方应用程序的访问。

该功能本身的架构非常简单。 策略是企业库存中SaaS应用的白名单。 当用户访问具有租户控制策略的SaaS应用时，会在Cato PoP的检查引擎中向数据包插入一个头标记和值。 设置这个值后，数据包走正常路径到达互联网和应用。 策略的执行实际上在SaaS应用中进行，您可以在其中编程头和值以监控头值，并阻止所有不匹配头值的流量。

流量流向

1. 用户在他们的浏览器中输入以下两个URL。 一个访问他们的公司电子邮件门户，另一个访问个人电子邮件。 两个门户都托管在Google Workspace中。

2. 流量经过Cato的PoP，在所有发往Google邮件的包中注入了一个头项值。

3. Cato将流量路由到互联网和Google邮件。

4. Google邮件设置了一个安全参数以查找头值。

5. 所有具有正确头值的流量都连接到其身份验证页面和邮箱收件箱。 所有其他租户在SaaS应用中被阻止。

租户限制页面允许不同的管理员并行编辑策略。 每位管理员可以编辑规则并将更改保存到他们自己的私有修订中，然后发布到帐户策略（已发布的修订）。 有关如何管理策略修订的更多信息，请参见管理策略修订。