云访问安全代理 (CASB)
阅读本主题可了解如何在 SRX 系列防火墙上配置 CASB,以便为选定的云应用程序集启用内联活动控制。
CASB概览
云访问安全代理 (CASB) 是位于企业用户和云服务提供商之间的关键安全检查点。它的主要作用是实施安全策略,以保护和控制对云应用的访问。
CASB 是 SRX 系列防火墙上的一项新的第 7 层服务,提供内联应用活动控制。CASB 的策略引擎允许您优化访问条件。您可以为一组云应用程序指定访问、下载和上传文件的规则,以便在组织内使用。
好处
- CASB 为安全团队提供对 SaaS 应用和活动的全面可见性和控制。
- CASB 通过与特定应用和活动绑定的自定义策略规则实现细粒度控制。
- CASB 通过域验证验证您的组织使用的 SaaS 应用程序是合法的,而不是恶意冒充的。
要在防火墙上使用 CASB,必须配置 CASB 策略并在安全策略中应用 CASB 策略规则。
配置 CASB 功能的步骤:
- 配置 CASB 策略。
使用其中一个匹配条件设置 CASB 策略规则:
Dropbox、Google Docs、OneDrive 等应用程序或文件共享、聊天、电子邮件等应用程序组。
登录、下载和上传等活动。但是,并非所有应用程序都支持每个活动。配置应用程序时,请确保仅选择该特定应用程序支持的活动。有关应用程序及其关联活动之间映射的全面视图,请参阅表 1。
表 1:应用程序和活动的映射 支持的应用程序
支持的活动
箱 登录、上传、下载、分享 Dropbox 登录、上传、下载、分享 Google 文档 登录、上传、下载、分享 Salesforce 登录、上传、下载、分享 OneDrive 登录、上传、下载、分享 SharePoint 登录、上传、下载、分享 松弛 登录, 聊天, 音频/视频, 文件传输 Gmail的 登录、读取、撰写、发送、上传附件、下载附件 您可以为 share-activity 选项配置 activity-parameters。您可以将此可选语句配置为对流量进行更精细的控制。
为 CASB 创建应用程序实例。对于 CASB,要区分企业和非企业 SaaS 应用程序实例,管理员需要使用 instance 参数配置访问策略。要识别实例,CASB 需要实例 ID、域和类型(可选)。 表 2 提供了应用程序实例设置选项。
表 2:应用程序实例设置 设置
指引
名字
(必填)应用程序实例名称。例如,dropbox123。
应用程序实例 ID
(必填)应用程序实例 ID。它指的是访问 SaaS 服务的唯一 URL
每个应用程序都可以有自己的实例 ID。对于以下示例 URL,通用字符串 acmecorp07 作为从应用程序的 SaaS URL 中获取的实例 ID:
框 URL - acmecorp07.app.box.com
OneDrive 或 SharePoint URL - acmecorp07ms-my.sharepoint.com
- Salesforce URL - acmecorp07.my.salesforce.com 和 acmecorp07.lightning.force.com
Slack - Slack URL 为 acmecorp-zoy8730.slack.com,实例 ID 为 acmecorp-zoy8730。
以下应用程序具有通用 URL,实例 ID 不适用。
Dropbox - dropbox.com
Google 文档 - docs.google.com
Gmail - mail.google.com
域
(必填)输入域地址。它指的是电子邮件域。
例如,acmecorp07.com 是一个组织域。Box、Dropbox、Google Docs、Salesforce、Gmail 和 Slack 为所有用户使用相同的域。
OneDrive 和 SharePoint 域值为 acmecorp07ms.onmicrosoft.com。
类型
(选答)输入以下值之一以将类型映射到应用程序实例:
工作
个人
您必须为 Dropbox 配置值类型。对于其他应用程序,此配置是可选的。
标记
(选答)输入以下值之一以将标记映射到应用程序实例:
已批准 - 组织批准的应用程序实例。
未批准 - 组织未批准的应用程序实例。
定义策略作。每个策略都有一组作(允许/拒绝和 log-action),系统在所有匹配条件成功后执行这些作。
配置默认规则。如果其他规则均不匹配,或者策略中没有其他规则,则默认规则将匹配。配置默认规则是强制性的。
将安全策略中的 CASB 策略应用为允许流量的应用服务。
请注意 CASB 规则的以下几点:
-
按顺序排列 CASB 规则,以处理应用程序或活动的特定匹配标准。
-
为统一策略配置设置默认 CASB 策略。此默认策略将应用于会话,直到发生动态应用程序匹配。一旦最终应用匹配可用于安全策略,将应用相应的 CASB 策略。如果在最终防火墙策略中未显式配置 CASB 策略,则 CASB 服务将脱离会话。
CASB 策略配置示例
要配置 CASB,您必须:
-
在 SRX 系列防火墙上安装 Junos OS 24.2R1 版。
-
在 SRX 系列防火墙上安装有效的应用识别功能许可证。请参阅 管理 Junos OS 许可证。
-
下载并安装 Junos OS 应用程序签名包。 下载并安装 Junos OS 应用程序签名包。
以下示例显示了 CASB 策略的配置,以允许用户仅与给定域共享到具有给定域的 SharePoint 应用程序。
- 配置 CASB 策略参数。
[edit] user@host# set security casb instance is1 application SharePoint user@host# set security casb instance is1 instance-id acmecorp07 user@host# set security casb instance is1 domain acmecorp07ms-my.sharepoint.com user@host# set security casb instance is1 tag sanctioned user@host# set security casb instance is1 type work user@host# set security casb casb-policy casb-policy-1 rules rule1 match application SharePoint activity Share param-name share-domain param-value acmecorp07 user@host# set security casb casb-policy casb-policy-1 rules rule1 match application SharePoint instance is1 user@host# set security casb casb-policy casb-policy-1 rules rule1 then allow user@host# set security casb casb-policy casb-policy-1 rules rule1 then log-action user@host# set security casb casb-policy casb-policy-1 default-rule allow user@host# set security casb casb-policy casb-policy-1 default-rule log-action
注意:在配置 CASB 策略的过程中, 应用程序 和 活动 都是必需的组件,而 param-value 是一个可选元素,允许您在策略中指定更细粒度的选项。
将安全策略中的 CASB 策略作为 application-services 应用。
[edit] user@host# set security policies from-zone trust to-zone untrust policy policy-name then permit application-services casb-policy casb-policy-1
以下 CASB 策略拒绝从所有文件共享应用程序下载。
- 配置 CASB 策略参数。
[edit] user@host# set security casb casb-policy casb-policy-2 rules rule1 match application-group FileSharing application any activity deny user@host# set security casb casb-policy casb-policy-2 rules rule1 then deny user@host# set security casb casb-policy casb-policy-2 default-rule allow
将安全策略中的 CASB 策略作为 application-services 应用。
[edit] user@host# set security policies from-zone trust to-zone untrust policy policy-name then permit application-services casb-policy casb-policy-2
您还可以对 CASB 策略执行以下活动:
-
记录活动。
[edit] set security casb casb-policy <policy-name> log-activity [login upload download]
-
更改规则的顺序。
[edit] insert security casb casb-policy <policy-name> rule <rule-name> [before | after]
-
设置默认策略。
[edit] set security casb default-policy <casb-policy-name>
统一策略需要默认策略。如果未配置默认策略,则系统将在提交过程中显示错误消息。
ERROR: default-policy is not configured which is must with unified multi policy configuration
验证选项
使用以下命令验证您的 CASB 策略配置:
- 使用以 show security casb casb-policies 显示设备上配置的所有 CASB 策略。
user@host> show security casb casb-policies Casb Policies: 1 Policy Name ID cp1 1
- 使用以 show security casb casb-policies policy-name 显示 CASB 策略的详细信息。
user@host> show security casb casb-policies cp1 PIC : FPC 0 PIC 0 Policy Name: cp1 Policy ID: 1
其他平台信息
使用 CASB 功能浏览器 确认平台和版本对特定功能的支持。
使用下表查看您的平台特定于平台的行为:
| 支持 CASB | SRX300、SRX320、SRX340、SRX345 以及SRX550M | SRX4100、SRX4200、SRX4300 和 SRX4600、SRX4700、SRX5400、SRX5600 和 SRX5800 的 SRX 系列 | 防火墙
|---|---|---|
| CASB 策略的最大数量 | 64 | 256 |
另见
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。