Cato Networks, Anbieter einer SASE-Plattform (Secure Access Service Edge), hat eine risikobasierte Kontrolle der Zugriffe auf Web- und Cloud-Applikationen vorgestellt. Dies soll helfen, potenzielle Infiltrationen zu vermeiden, die durch Remote Work und geschäftlich genutzte Privatgeräte (Bring Your Own Device, BYOD) entstehen. Unternehmensrichtlinien lassen sich nun laut Anbieter in Echtzeit in einem Gerätekontext durchsetzen.
Cato hat dazu eine kontinuierliche Analyse des Gerätekontexts in seine Single Pass Cloud Engine (Space) eingebunden. Der Cloud-basierte Software-Stack untersuche kontinuierlich den Sicherheitszustand eines Geräts und ergreife Maßnahmen, wenn das nicht mehr richtlinienkonform ist. Zusätzlich zum Gerätekontext berücksichtige Space bereits Identität, Netzwerk, Daten und viele weitere Attribute.
Cato erläutert das Vorgehen an folgendem Bespiel: Arbeitet ein Anwender mit seinem persönlichen Gerät remote, kann er zwar Daten auf die Collaboration-Plattform hoch-, aber nicht herunterladen, und es stehen ihm keine weiteren Ressourcen zur Verfügung. Arbeitet derselbe Benutzer aber von einem Unternehmensgerät aus, ist es möglich, ihm auch Download-Berechtigungen zuzuweisen. Auf Finanz-, ERP- und CRM-Systeme kann man zusätzlich einen schreibgeschützten Lesezugriff gewähren. Nutzt der Anwender ein unternehmenseigenes Gerät mit einer aktuellen Anti-Malware, lässt sich ein Lese- und Schreibzugriff auf die Collaboration- Plattform, Finanzsysteme und Fileshares gewähren. Zugleich lässt sich der Zugang zu allen Ressourcen blockieren, wenn ein Nutzer scheinbar an einem beliebigen Gerät und von einem ungewöhnlichen Ort aus arbeitet.
Durch die Analyse des Gerätekontexts in den FWaaS-, SWG- und ZTNA-Richtlinien, so Cato, könne man den Benutzerzugriff auf bestimmte Ressourcen einschränken. Indem Cato den Gerätekontext auch innerhalb der CASB-Richtlinien nutzt, lasse sich der Benutzerzugriff auf Funktionen innerhalb dieser Anwendungen begrenzen.
Zu den Kontextattributen eines Geräts zählen der Typ der verwendeten Anti-Malware, das Vorhandensein einer Client-seitigen Firewall oder einer Festplattenverschlüsselung sowie das Patch-Level etc. Diese Informationen sammelt das Opswat-Oesis-System als Teil des Cato Clients.
Neben den Schutzfunktionen soll der globale private Backbone des SASE-Anbieter eine möglichst gute Benutzererfahrung von jedem Ort aus gewährleisten. Integrierte WAN-Optimierung und ein verwaltetes globales Netzwerk mit über 70 PoPs bieten laut Anbieterangaben einen bis zu 40-mal höheren Durchsatz als das öffentliche Internet.
Die Neuerungen stehen allen Cato-Client-Kunden ohne zusätzliche Kosten zur Verfügung.