Quando desejamos bloquear toda forma de tráfego a respeito de uma aplicação, a ferramenta a ser usada é o firewall. Diferente de um DLP (Data Loss Prevention) , que foca no controle dos dados, o firewall se concentra na(s) aplicação(ões), podendo ser bastante granular, caso tenha capacidade de analisar a camada 7. 

Neste projeto, utilizamos o recurso de firewall de uma solução SASE (Secure Access Service Edge), que monitora o tráfego de uma filial, no modo inline, conforme topologia a seguir.

cato-ips-2

Para o 1º caso, foi testado o bloqueio de uma categoria de aplicação chamada Media Stream, que inclui Netflix, Spotify, Youtube, MUBI, Amazon Prime Video, TED, entre outras similares.

Como a análise não se baseia pura e simplesmente nos dados trafegados (mas sim no metadado em conjunto com o conteúdo útil), não utilizamos o recurso de TLS Inspection. Ao invés disso, a solução funciona a partir de DPI (Deep Packet Inspection), além da análise de assinatura e cabeçalho.

A regra de firewall #2, para este caso, foi configurada conforme a seguir.

 

internet-firewall-rule-media-stream

 

Tanto aplicativos mobile quanto aplicações web foram bloqueadas com sucesso.

No caso do Spotify, verificamos ambos os formatos, bloqueados, gerando seus relativos eventos.

 

galaxy-spotify

 

app-control-spotify

 

evento-spotify-tablet-notebook

 

Assim como outras aplicações sob tal categoria:

 

web app-control-ted

No 2º caso, um teste mais granular de bloqueio: o que for relacionado à translate, calendar ou chat, na suíte de aplicações Google, deve ser bloqueado. Por consequência todo o resto é permitido. A regra #2 correlata segue.

 

internet-firewall-rule-google

 

Os devidos recursos são bloqueados e todo o resto é permitido.

 

block-google-translate-calendar

 

gmail-permitido

 

block-google-apps

 

alow-google-apps