保障远程用户的互联网安全
设计 SWG 策略
安全 Web 网关(SWG)通过在公司员工与互联网之间运行,保护公司数据并执行安全策略。这种保护基于 DNS 和 URL 过滤策略,这些策略源自一个将网站按主题或类别分类的数据库。DNS 过滤根据 DNS 查询阻止网页流量,这意味着网站是根据域名进行过滤的。URL 过滤则根据整个 URL 阻止网页流量,而不仅仅是域名。URL 可以指向特定的网页或托管在某个域名下的文件,而不是整个域名。
为了正确保护网页流量,建议对所有流量启用 SSL 检查。SSL 检查指的是拦截并检查客户端与服务器之间的 SSL 加密互联网通信的过程。大多数互联网通信都使用 SSL 加密,因此在使用 Web 网关的高级 URL 过滤和安全解决方案时,启用 SSL 检查至关重要。SSL 排除允许将某些域名排除在 SSL 检查之外。域名可以因各种原因被排除,例如为了避免检查处理敏感数据的域名,或用于使用证书钉扎的应用程序,因为对这类应用程序流量的 SSL 检查可能导致连接失败。HPE Aruba 维护一份默认排除检查的 URL 列表。操作员还可以识别其他排除项,
设计 CASB/DLP 策略
HPE Aruba Networking SSE CASB(云访问安全代理)提供针对 SaaS 的定制控制,以限制用户在该 SaaS 应用中的操作。要应用控制,管理员只需创建自定义 SaaS 定义,指定要控制的操作,然后将 SaaS 定义添加到策略规则中。
例如,为了阻止 Google Drive 应用,可以创建一个匹配“Google Drive”的 SaaS 应用定义。然后将该 SaaS 应用添加到策略列表中的阻止规则中。由于网页流量默认规则设置为“允许”,因此除 Google Drive 之外的所有其他 SaaS 流量都将被允许。
设计 CASB 策略涉及定义规则和配置,以强制执行云应用和服务的安全、合规和治理控制。请遵循以下指南:
- 理解需求和目标: 识别贵组织的安全、合规和治理需求。确定实施 CASB 的目标,例如保护敏感数据、执行访问控制以及确保符合监管要求。
- 应用库存管理: 对组织中使用的所有云应用和服务进行清点。根据使用情况、风险等级和合规要求等因素对应用进行分类。
- 了解 HPE Aruba Networking 安全服务边缘(SSE)功能,以控制各种应用。
- 定义用户和设备策略:根据现有身份源中的角色和组定义预期策略。
通过这些步骤,可以建立有效的 CASB 策略,以保护组织的云环境,执行安全控制,并确保符合监管要求。
管理证书
证书颁发机构(CA)是受信任的实体,负责颁发 SSL(安全套接层)证书。这些证书将实体与公钥关联,从而验证在线内容的真实性。CA 证书证明网站、域名和组织的真实性和可信度。
CA 证书为安全通信提供认证和加密,并确保用证书签名的文档的完整性,防止在传输过程中被篡改。
管理员必须为 Atmos Web 网关配置证书,以允许 HPE Aruba Networking SSE 阻止页面 URL 被信任,同时在访问网站时,以及进行 SSL 检查、可见性和加密会话的控制。
CA 证书在 Atmos 云端和用户端点上都需要配置。在 Atmos 端,上传 CA 证书并将其指定为用于解密用户 SSL 会话的证书。在用户端点,将 CA 证书添加到受信任的 CA 存储中,允许用户的客户端信任 Atmos 云端提供的阻止页面和解密功能。请注意,可以使用已配置的证书(作为组织 PKI 基础设施的一部分)并将其上传到 HPE Aruba Networking SSE 平台。
威胁防护
建议通过 HPE Aruba Networking SSE 代理流量,包括基础网页,以提供有效的威胁防护。
如恶意软件、钓鱼诈骗和网络攻击等在线威胁日益频繁,给个人和组织带来重大风险。随着托管恶意内容网站数量的增加,确保用户不访问可能危害其设备或组织的网站变得比以往任何时候都更为重要。
Atmos 提供了解决方案,通过威胁情报保护,防止用户访问可能有害的网站。Atmos 的先进技术确保用户可以安全浏览互联网,无需担心潜在的安全漏洞。
高风险网站的检测通过分析各种因素实现,包括网页内容、域名注册信息和声誉数据。利用先进的算法和技术,威胁情报保护系统能够准确识别对用户和组织构成重大风险的网站。