在Cato Cloud中检查WebSockets

注意

注意: 请联系 feature-releases@catonetworks.com 以了解有关启用和使用此功能的更多信息。

概述

现代企业应用程序越来越依赖WebSocket (WS) 通信,而不是传统的HTTP请求/响应模型。 像Slack、Microsoft Teams、Zoom这样的平台和ChatGPT、Copilot等AI服务使用WebSockets来实现实时、双向通信的单一持久连接。

这一转变引入了一个关键的可见性和安全缺口:专注于HTTP流量的传统检查技术无法在连接建立后分析WebSocket有效负载。

Cato Cloud通过深层的WebSocket检查解决了这一挑战,实现了跨CASB、DLP和AI安全使用案例的全面可见性和执行。

关键收益

  • 跨现代应用程序的完整应用层可见性

  • 为SaaS和AI服务制定准确的政策执行

  • 增强DLP能力以实时保护数据

  • 通过完整的审计日志提升合规态势

  • 消除WebSocket盲点

使用场景

AI安全(AI防火墙)

AI应用程序强烈依赖于WebSocket流。

未检查:

  • 提示和响应不可见

  • 敏感数据(PII、源代码)可能会在未检测到的情况下泄漏

已检查:

  • 完全可见的提示和响应

  • 检测能力:

    • 数据泄露

    • 政策违规

    • 恶意或不安全的AI输出

CASB执行

现代SaaS平台使用WebSockets进行核心操作。

未检查:

  • 只有连接级别的可见性(例如,“已连接到Slack”)

  • 无法区分用户操作

已检查:

  • 精细的活动检测:

    • 文件上传/下载

    • 信息发布

    • 数据共享

  • 每个操作的政策执行(例如,阻止敏感上传)

可见性、日志和合规性

未进行WebSocket解析:

  • 缺乏应用层日志

  • 不完整的SIEM数据

  • DLP和审计失败

已解析:

  • 完整事件重构

  • 准确的审计追踪

  • 合规准备日志记录

为什么需要WebSocket检查

在初始HTTP升级握手后,WebSocket连接将应用数据作为帧消息的连续流传输。 这些消息:

  • 对于标准HTTP检查引擎不可见

  • 可能包含结构化或非结构化数据(JSON、二进制、专有格式)

  • 可以包含敏感信息,例如:

    • 用户生成的内容

    • 文件传输

    • AI提示和响应

没有适当的解析,安全引擎只能看到元数据(例如,IP、端口、TLS会话)而失去所有应用层的上下文。

检查WebSockets面临的挑战

由于协议特性,WebSocket检查比较复杂:

  • 帧碎片 - 消息可以跨多个帧分割

  • 掩码处理 - 客户端到服务器的负载被混淆

  • 多路复用 - 多个逻辑消息共享一个连接

  • 协议变异 - 有效负载可能使用JSON、GraphQL、MessagePack或专有格式

有效的检查需要在进行任何安全分析之前进行完整的解析、重组和解码。

Cato Cloud如何检查WebSockets

Cato Cloud使用多层方法在线路速率上执行内联WebSocket检查:

  1. 帧级别解析

    • 对于标准HTTP检查引擎不可见

    • 可能包含结构化或非结构化数据(JSON、二进制、专有格式)

    • 可以包含敏感信息,例如:

      • 用户生成的内容

      • 文件传输

      • AI提示和响应

  2. 协议感知解码

    • 识别应用程序协议(例如,JSON、GraphQL)

    • 提取结构化数据字段

  3. 事件提取

    • 将消息转换为有意义的安全事件,例如:

      • 用户操作

      • 数据传输

      • AI交互

  4. 引擎集成

    • 发送解析的数据到:

      • CASB政策

      • DLP检查

      • AI防火墙分析

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论