Application Control

アプリケーション制御（CASB）はインターネットファイアウォールを拡張した機能です。
インターネットファイアウォールでアクセスを許可されたクラウドアプリケーションに対してより詳細な制御を行います。
Catoの持つアプリケーション情報を利用して各アプリケーションに基づいたユーザーアクティビティを制御するルールを作成できるため、アプリケーションへのファイルのアップロード/ダウンロードの制御やログイン時のテナント識別制御を実施する事が可能です。

※アプリケーションのアクティビティを制御するための前提条件としてTLSインスペクションを有効化、QUIC/GQuicのプロトコルをインターネットファイアウォールでブロック（TLSインスペクションの有効化で自動適用）する必要があります。

Application Control Policy

Security > Application Control > Application Control PolicyのApp Control Enableから機能を有効化できます。
※DLPのポリシーについてもApplication Controlから作成するため、Data Control Enableから機能を有効化できます。

アプリケーション制御のルールを作成する場合は、NewからApp Control Ruleを選択します。

・General

ポリシーの名称、ルールの優先順、ログ記録時の深刻度の度合いを設定します。

・Application、Activity

CASBの制御の対象とするアプリケーションやアプリケーションカテゴリを設定します。
Activityではアプリケーション内で制御する動作の条件を設定します。

・Access Methods

アプリケーションにアクセスする際のユーザーエージェントを設定します。

・Source

アプリケーションへの通信の送信元を設定します。

・Device Posture

デバイスポスチャプロファイルを作成している場合にポリシーの条件として適用できます。

・Time

ポリシーが有効になる時間帯を設定します。

・Actions

ポリシーに合致する通信を検出した場合の動作を設定します。

Header Injection

ヘッダーインジェクションはCASB機能の一部でユーザーがアクセスできるSaaSアプリケーションのテナントを制限することができます。
ヘッダーインジェクションを設定すると、PoP上のCatoインスペクションエンジンがHTTPパケットのヘッダーフィールドにCato上で定義したヘッダーを挿入し、指定されたヘッダーを受信したSaaSアプリケーションがテナントアクセスポリシーを適用します。
テナントアクセスポリシーによりヘッダーインジェクションで設定された値以外のトラフィックを全てブロックします。

Security > Application Control > Header Injectionから機能を有効化します。

Newからポリシーを新規作成します。
テナント制限の対象となるアプリケーションを選択します。
アプリケーションで許可されるヘッダーの名前と値を設定します。