Αυτή η ενότητα καλύπτει τη χρήση περιορισμών κεφαλίδας SaaS στο Cloud Web Security για τον περιορισμό της πρόσβασης μισθωτή σε καθορισμένες εφαρμογές λογισμικού ως υπηρεσίας (SaaS), όπως τα Office 365 και G Suite, περιλαμβάνει μια επισκόπηση, μια ροή εργασίας για τη διαμόρφωση ενός κανόνα περιορισμού κεφαλίδας SaaS, και ολοκληρώνεται με πρόσθετους πόρους σε αυτό το θέμα.

Επισκόπηση

Παραδοσιακά, οι εταιρείες περιορίζουν τα ονόματα τομέα ή τις διευθύνσεις IP όταν θέλουν να διαχειριστούν την πρόσβαση. Αυτή η προσέγγιση αποτυγχάνει σε έναν κόσμο όπου το λογισμικό ως υπηρεσία (SaaS) φιλοξενείται σε δημόσιο cloud και εκτελείται σε κοινόχρηστα ονόματα τομέα. Για παράδειγμα, εάν μια επιχείρηση χρησιμοποιεί το Office 365, θα εργάζεται με ονόματα τομέα όπως outlook.office.com και login.microsoftonline.com. Στο παράδειγμα της Microsoft, ο αποκλεισμός αυτών των διευθύνσεων θα εμπόδιζε πλήρως τους χρήστες να έχουν πρόσβαση στο Outlook στο web, αντί απλώς να τους περιορίσει σε εγκεκριμένες ταυτότητες και πόρους.

Η λύση σε αυτό το πρόβλημα είναι να περιορίσετε την πρόσβαση μισθωτή, και το Cloud Web Security το επιτυγχάνει αυτό με τη δυνατότητα περιορισμού κεφαλίδας SaaS. Αυτή η δυνατότητα επιτρέπει στους διαχειριστές να επιβάλλουν πολιτικές περιορισμού μισθωτή εντός των υπηρεσιών SaaS, όπως τα Office 365 και G Suite. Για παράδειγμα, μπορεί να θέλετε να επιτρέψετε την πρόσβαση στον εταιρικό λογαριασμό Office 365 σε όλους τους εργαζόμενους, αλλά να μην τους επιτρέψετε την πρόσβαση σε προσωπικούς λογαριασμούς. Αυτοί οι περιορισμοί επιτρέπονται μέσω εισαγωγής κεφαλίδων HTTP που καθορίζουν τους επιτρεπόμενους μισθωτές.

Διαμόρφωση ενός περιορισμού κεφαλίδας SaaS

Ο χρήστης μπορεί να διαμορφώσει έναν κανόνα περιορισμού κεφαλίδας SaaS εκτελώντας τα ακόλουθα βήματα:
  1. Μεταβείτε στις επιλογές Cloud Web Security > Διαμόρφωση (Configure) > Περιορισμοί κεφαλίδας SaaS (SaaS Header Restrictions).
  2. Στην οθόνη Περιορισμοί κεφαλίδας SaaS (SaaS Header Restrictions), κάντε κλικ στην επιλογή + ΠΡΟΣΘΗΚΗ ΚΑΝΟΝΑ (+ ADD RULE) για να διαμορφώσετε έναν κανόνα περιορισμού κεφαλίδας SaaS.

    Εμφανίζεται η οθόνη Κεφαλίδα SaaS (SaaS Header) > Προέλευση (Source).

  3. Στην οθόνη Προέλευση (Source), ορίστε στην επιλογή Όλοι οι χρήστες και οι ομάδες (All Users and Groups) ώστε να εφαρμόζεται ο κανόνας κεφαλίδας SaaS σε όλους στην επιχείρηση. Αυτή η επιλογή είναι ενεργοποιημένη από προεπιλογή. Απενεργοποιήστε αυτή την επιλογή και επιλέξτε τα πεδία Καθορισμός χρηστών [Specify User(s)] και Καθορισμός ομάδων [Specify Group(s)] για να καθορίσετε έναν ή περισσότερους χρήστες ή/και ομάδες όπου θα εφαρμόζεται ο κανόνας.

    Κάντε κλικ στην επιλογή Επόμενο (Next). Εμφανίζεται η οθόνη Προορισμός (Destination).

  4. Στην οθόνη Εφαρμογή προορισμού (Destination Application), ο χρήστης έχει δύο διαδρομές: Προκαθορισμένη ή Προσαρμοσμένη.
    1. Προκαθορισμένη εφαρμογή προορισμού (Predefined Destination Application): Επιλέξτε μία από τις έξι προκαθορισμένες εφαρμογές: Office 365 για μεγάλες επιχειρήσεις, Office 365 για καταναλωτές, G Suite, Slack, YouTube και Dropbox. Κάθε προδιαμορφωμένη εφαρμογή περιλαμβάνει τους περιορισμένους τομείς και τις κεφαλίδες για αυτές τις εφαρμογές. Ανάλογα με την εφαρμογή, ο χρήστης ενδέχεται να χρειαστεί να διαμορφώσει με μη αυτόματο τρόπο πρόσθετες πληροφορίες, όπως περιγράφεται παρακάτω:
      1. Το Office 365 για μεγάλες επιχειρήσεις παρουσιάζει δύο πρόσθετες παραμέτρους που πρέπει να διαμορφωθούν για την ολοκλήρωση του κανόνα:
        1. Κεφαλίδα 1: Restrict-Access-To-Tenants Εισαγάγετε μια λίστα επιτρεπόμενων μισθωτών. Οτιδήποτε δεν παρατίθεται ως επιτρεπόμενο θα αποκλειστεί από το Cloud Web Security.
        2. Κεφαλίδα 2: Restrict-Access-Context Εισαγάγετε το αναγνωριστικό μισθωτή για την υπηρεσία που χρησιμοποιείται από την επιχείρησή σας. Ο χρήστης θα πρέπει να διαμορφώσει το αναγνωριστικό μισθωτή για τη συνδρομή του στο Office 365. Οποιοδήποτε αναγνωριστικό μισθωτή το οποίο δεν παρατίθεται θα αποκλειστεί από το Cloud Web Security.
      2. Office 365 για καταναλωτές: Σε αντίθεση με την έκδοση για μεγάλες επιχειρήσεις δεν απαιτεί πρόσθετη διαμόρφωση, καθώς η τιμή restrict-msa μεταβιβάζεται στην κεφαλίδα sec-Restrict-Tenant-Access-Policy.

      3. G Suite: Εισαγάγετε τον τομέα που καταχωρίσατε στο Google Workspace μαζί με τυχόν δευτερεύοντες τομείς που προσθέσατε.

      4. Το Slack παρουσιάζει δύο πρόσθετα πεδία που πρέπει να διαμορφώσετε για να ολοκληρώσετε τον κανόνα:
        1. Κεφαλίδα 1: X-Slack-Allowed-Workspaces-Requester Εισαγάγετε την τιμή του χώρου εργασίας ή του αναγνωριστικού του οργανισμού που αντιπροσωπεύει το πλέγμα του επαγγελματικού ή επιχειρηματικού λογαριασμού σας. Οτιδήποτε δεν παρατίθεται ως επιτρεπόμενο θα αποκλειστεί από το Cloud Web Security.
        2. Κεφαλίδα 2: X-Slack-Allowed-Workspaces Εισαγάγετε μια λίστα επιτρεπόμενων αναγνωριστικών χώρου εργασίας ή/και οργανισμού. Οποιοδήποτε αναγνωριστικό δεν παρατίθεται θα αποκλειστεί από το Cloud Web Security.
      5. YouTube: Για να ολοκληρώσετε τον κανόνα, πρέπει να καθορίσετε εάν θέλετε η λειτουργία Περιορισμένης πρόσβασης (Restrict Mode) του YouTube να είναι Αυστηρή (Strict) ή Μέτρια (Moderate). Σύμφωνα με την τεκμηρίωση του YouTube Διαχείριση των ρυθμίσεων του YouTube του οργανισμού σας, οι λειτουργίες περιορισμένης πρόσβασης ορίζονται ως εξής:
        • Αυστηρή περιορισμένη πρόσβαση στο YouTube— Αυτή η ρύθμιση είναι η πιο περιοριστική, αλλά δεν αποκλείει όλα τα βίντεο. Η Αυστηρή περιορισμένη λειτουργία αποκλείει πολλά βίντεο με βάση ένα αυτοματοποιημένο σύστημα, αφήνοντας μερικά βίντεο διαθέσιμα για προβολή.
        • Μέτρια περιορισμένη πρόσβαση στο YouTube— Αυτή η ρύθμιση είναι παρόμοια με την Αυστηρή περιορισμένη λειτουργία, αλλά καθιστά διαθέσιμη μια πολύ μεγαλύτερη συλλογή βίντεο.

      6. Dropbox: Εισαγάγετε την τιμή του αναγνωριστικού ομάδας του λογαριασμού της επιχείρησης, καθώς αυτό θα είναι το μόνο αναγνωριστικό που επιτρέπεται από το Cloud Web Security.

      Σημείωση: Για οποιαδήποτε προκαθορισμένη εφαρμογή, εάν απαιτείται πρόσθετη διαμόρφωση και δεν είστε βέβαιοι για τις απαιτούμενες τιμές, απευθυνθείτε στον αντιπρόσωπο του πελάτη για αυτή την εφαρμογή.
    2. Η Εφαρμογή προσαρμοσμένου προορισμού (Custom Destination Application) απαιτεί να εισαγάγετε τους τομείς εφαρμογών SaaS μαζί με όλες τις τιμές κεφαλίδας που σχετίζονται με την εφαρμογή. Δεδομένου ότι αυτή είναι μια προσαρμοσμένη εφαρμογή, θα πρέπει να συμβουλευτείτε την τοποθεσία web αυτής της εφαρμογής ή/και τον αντιπρόσωπο του πελάτη για να επιβεβαιώσετε πρώτα ότι υποστηρίζεται ο περιορισμός μισθωτή μέσω της χρήσης κεφαλίδων, και, στη συνέχεια, να εντοπίσετε τους τομείς και τις τιμές κεφαλίδας για να διασφαλίσετε ότι αυτός ο κανόνας έχει διαμορφωθεί σωστά.
      Σημείωση: Δεν υποστηρίζουν όλες οι εφαρμογές SaaS περιορισμό μισθωτή μέσω της χρήσης κεφαλίδων, και είναι σημαντικό κατά τη διαμόρφωση μιας προσαρμοσμένης εφαρμογής να επιβεβαιώνετε ότι αυτή η δυνατότητα υποστηρίζεται για την εφαρμογή που θέλετε να περιορίσετε. Μόνο οι προκαθορισμένες εφαρμογές που παρατέθηκαν προηγουμένως επιβεβαιώνονται ως συμβατές με τον περιορισμό κεφαλίδας SaaS.

    Κάντε κλικ στην επιλογή Επόμενο (Next), εμφανίζεται η οθόνη Όνομα, αιτίες και ετικέτες (Name, Reasons, and Tags).

  5. Στην οθόνη Όνομα, αιτίες και ετικέτες (Name, Reasons, and Tags) διαμορφώστε ένα μοναδικό όνομα κανόνα (απαιτείται), μια αιτία (εάν χρειάζεται), ετικέτες (εάν χρησιμοποιούνται) και μια θέση για τον κανόνα στη λίστα κανόνων φιλτραρίσματος URL [οι επιλογές είναι είτε «Αρχή της λίστας» (Top of List) είτε «Τέλος της λίστας» (Bottom of List)].

  6. Κάντε κλικ στην επιλογή Τέλος (Finish) και ο κανόνας που δημιουργήθηκε πρόσφατα θα εμφανιστεί στη λίστα Περιορισμός κεφαλίδας SaaS (SaaS Header Restriction) και θα εφαρμοστεί.

Πρόσθετοι πόροι για προκαθορισμένες εφαρμογές

Ακολουθούν συνδέσεις προς τεκμηρίωση για τους προκαθορισμένους προορισμούς εφαρμογών ώστε να ενημερωθείτε καλύτερα σχετικά με τον τρόπο λειτουργίας του περιορισμού του μισθωτή μέσω κεφαλίδων για κάθε εφαρμογή.