Concerto
La matrice ci-dessous indique les cas d'utilisation de Concerto pris en charge dans chaque Security Edition de beem.
- Toutes les fonctionnalités répertoriées sont officiellement prises en charge et incluses dans les contrats correspondants.
- Les fonctionnalités non mentionnées ne font pas partie de l'offre du produit.
- Cette matrice comprend toutes les fonctionnalités prises en charge ; il n'y en a pas d'autres supplémentaires ou non documentées.
- Cette matrice sert de référence pour comprendre ce qui est disponible dans chaque Security Edition.
Caractéristiques de la Matrice Concerto
Dans cette section, nous décrivons les options disponibles dans Concerto pour configurer votre solution en fonction de vos besoins et préférences individuels.
INFO
Avec la solution Essential, vous n'avez pas accès à Concerto.
La solution Essential est gérée directement par Swisscom.
Navigation sécurisée dans le réseau beemNet
| Navigation sécurisée dans le réseau beemNet | Basic | Plus | Premium |
|---|---|---|---|
| Appliquer les scores de confiance des utilisateurs et des appareils aux stratégies de protection Internet Vous pouvez appliquer les scores de confiance des utilisateurs et des entités aux stratégies de protection Internet et aux stratégies de protection des applications privées. | ✗ | ✓ | ✓ |
| Recherche de réputation d'URL et d'IP La recherche d'URL étend les capacités en effectuant des requêtes en temps réel vers des serveurs cloud afin d'obtenir la catégorie d'URL et la réputation IP des URL qui ne sont pas présentes dans la base de données d'URL locale. | ✓ | ✓ | ✓ |
| Configurer des profils de filtrage DNS personnalisés Le filtrage DNS (Domain Name System) vous permet de contrôler l'accès aux sites Web, aux pages Web et aux adresses IP afin de vous protéger contre les sites Web malveillants, tels que les logiciels malveillants connus et les sites de phishing. | ✗ | ✓ | ✓ |
| Configurer des profils de filtrage d'URL personnalisés Dans un profil de filtrage DNS, vous pouvez configurer les composants suivants à utiliser pour filtrer les requêtes DNS : listes de refus, listes d'autorisation, actions basées sur les requêtes et actions basées sur la réputation | ✗ | ✓ | ✓ |
| Configurer les règles de protection Internet SASE Les règles de protection Internet sont des règles de pare-feu qui s'appliquent au trafic Internet au niveau de chaque locataire. Ils assurent la protection du réseau en établissant des critères de correspondance et des mesures d'application. | ✓ | ✓ | ✓ |
| Configurer les portails captifs Pour contrôler les URL que les utilisateurs peuvent consulter lorsqu'ils accèdent à des pages Web, vous pouvez configurer un portail captif. Pour les URL dont vous souhaitez contrôler l'accès, vous redirigez les utilisateurs vers une page Web de portail captif sur laquelle vous pouvez afficher des messages standard ou personnalisés fournissant des informations sur la page Web. Pour ces pages Web, vous pouvez contrôler l'accès ou le bloquer complètement. | ✗ | ✓ | ✓ |
| Configurer un profil de filtrage de fichiers personnalisé Vous pouvez configurer le filtrage des fichiers afin de bloquer le transfert de fichiers et de types de fichiers potentiellement dangereux (c'est-à-dire les fichiers associés à des applications spécifiques), les fichiers de tailles spécifiques, les fichiers associés à des protocoles spécifiques et les fichiers transitant dans une direction particulière. Vous pouvez configurer des listes de hachage SHA de fichiers afin de marquer les fichiers potentiellement dangereux à refuser (parfois appelés « liste noire ») et les fichiers sûrs à autoriser (parfois appelés « liste blanche »). Vous pouvez configurer le filtrage des fichiers afin d'effectuer des recherches de hachage de fichiers basées sur la réputation sur un serveur cloud. | ✗ | ✓ | ✓ |
| Configurer des profils de filtrage IP personnalisés Le trafic transitant par le réseau peut comporter des adresses IP associées à une mauvaise réputation et susceptibles de présenter un risque pour la sécurité de votre réseau. Pour bloquer ces adresses IP en fonction de leur réputation et de leurs métadonnées (telles que la géolocalisation), vous pouvez configurer des profils de filtrage d'adresses IP, puis les associer à une security policy. Vous associez des profils de filtrage IP aux appareils connectés à une passerelle Web sécurisée (SWG) et qui doivent envoyer du trafic vers Internet. | ✗ | ✓ | ✓ |
| Configurer la passerelle de couche application (ALG) La passerelle de couche application (ALG) est un composant de sécurité qui améliore les opérations du pare-feu et du CGNAT. ALG vous permet d'utiliser des filtres NAT traversal personnalisés pour prendre en charge la traduction d'adresses et de ports pour le contrôle de la couche application et les protocoles de données tels que FTP et SIP. Pour que ces protocoles fonctionnent via CGNAT ou un pare-feu, soit l'application doit identifier une combinaison adresse-numéro de port qui autorise les paquets entrants, soit NAT doit surveiller le trafic de contrôle et ouvrir dynamiquement les mappages de ports en créant des trous d'épingle dans le pare-feu. | ✗ | ✓ | ✓ |
Accès sécurisé aux applications métier et protection des données de l'entreprise
| Accès sécurisé aux applications métier et protection des données de l'entreprise | Basic | Plus | Premium |
|---|---|---|---|
| Configurer les règles de protection des applications privées SASE Les règles de protection des applications privées SASE sont des règles de pare-feu que vous configurez pour définir la protection des applications personnalisées. Vous configurez ces règles de protection pour chaque locataire. La protection des applications privées est similaire à la protection Internet, à la différence près qu'elle s'applique uniquement aux applications personnalisées. Vous ne pouvez pas configurer la protection des applications privées pour les applications prédéfinies ou pour les groupes d'applications. | ✓ | ✓ | ✓ |
| Configurer les connecteurs Azure Un connecteur Azure connecte un système ou un service, tel que Microsoft Information Protection (MIP), à Azure. Après avoir créé un connecteur Azure, vous pouvez créer des étiquettes MIP et les utiliser dans des stratégies DLP pour des actions telles que définir, supprimer et correspondre. Veuillez noter que le format MIP n'est pris en charge que pour les fichiers PDF, .docx, .xslx et .pptx. | ✗ | ✓ | ✓ |
| Configurer le décryptage TLS SASE Le décryptage TLS (Transport Layer Security) est un protocole standard utilisé pour fournir un canal de communication sécurisé entre les clients (appareils finaux) et les serveurs (sites de destination) sur Internet. | ✗ | ✓ | ✓ |
| Configurer les tunnels site à site SASE Vous pouvez utiliser les tunnels site à site pour encapsuler les paquets transmis par un protocole de transport. Vous pouvez configurer des tunnels IPsec sécurisés et des tunnels GRE (Generic Routing Encapsulation) depuis les passerelles SASE beemNet vers les centres de données et les routeurs sur site d'un réseau d'entreprise. Les tunnels IPsec de site à site fournissent aux utilisateurs un accès sécurisé aux applications et aux charges de travail hébergées dans le cloud. Le dispositif de passerelle peut être soit un dispositif physique, soit un dispositif SD-WAN basé sur le cloud. Le dispositif distant (homologue) peut être un service géré dans le cloud ou un dispositif tiers prenant en charge les tunnels IPsec. | ✓ | ✓ | ✓ |
| Configurer le proxy inverse de l'application Le proxy inverse de l'application protège contre la perte de données et les logiciels malveillants lorsque des appareils non gérés accèdent au cloud et aux ressources de votre entreprise. Cela permet aux entreprises de fournir des logiciels sécurisés en tant que service (SaaS) et un accès privé aux applications aux utilisateurs et appareils sans client. | ✓ | ✓ | ✓ |
| Configurer l'isolation du navigateur distant L'isolation du navigateur distant (RBI) est une solution basée sur le cloud qui fournit un accès zéro confiance aux applications basées sur un navigateur. | ✗ | ✓ | ✓ |
| Configurer l'obfuscation du réseau Vous pouvez configurer l'obfuscation du réseau afin de masquer la topologie du réseau interne et les clients beem distants les uns aux autres. Avec l'obfuscation réseau, vous pouvez masquer aux utilisateurs finaux la ressource physique hébergeant l'application (c'est-à-dire l'adresse IP du serveur), contribuant ainsi à sécuriser les appareils contre les vecteurs d'attaque, tels que le balayage de ports et le mouvement latéral. | ✗ | ✓ | ✓ |
| Configurer les certificats SASE Une autorité de certification (CA) est un organisme tiers de confiance qui délivre des documents électroniques appelés certificats numériques. Un certificat CA vérifie l'identité d'une entité numérique sur Internet. Les certificats CA sont un élément essentiel de la communication sécurisée. Vous pouvez intégrer et gérer les certificats requis par votre locataire. Vous utilisez ces certificats lorsque vous configurez des profils et des règles. | ✗ | ✓ | ✓ |
| Publier les passerelles SASE L'action de publication publie (valide) une configuration vers les passerelles. Lorsqu'un utilisateur apporte des modifications de configuration sur le portail, les modifications sont stockées localement. L'action de publication déclenche le transfert des configurations vers les passerelles. | ✓ | ✓ | ✓ |
Protection des données de l'entreprise
| Protection des données de l'entreprise | Basic | Plus | Premium |
|---|---|---|---|
| Configurer les applications cloud à utiliser avec la protection des données basée sur API La protection des données basée sur API (API-DP) sécurise les applications SaaS et IaaS à l'aide des API fournies par les services cloud. | ✗ | ✗ | ✓ |
| Configurer les profils CASB Le Cloud Access Security Broker (CASB) est une solution de mise en œuvre de politiques sur site ou dans le cloud qui sécurise les données circulant entre les utilisateurs et les applications cloud afin de respecter les exigences réglementaires et celles de l'entreprise. CASB applique les politiques de sécurité de l'entreprise lorsque les utilisateurs accèdent à des ressources basées sur le cloud. | ✓ | ✓ | ✓ |
| Configurer les profils de contrôle des locataires SaaS Vous utilisez les profils de contrôle des locataires SaaS pour empêcher les utilisateurs d'accéder directement à certains services, tels que Office365 basé sur le Web, sans passer par une passerelle beemNet. Lorsque vous configurez un profil de contrôle de locataire SaaS, celui-ci insère des champs et des valeurs dans l'en-tête HTTP lorsque le trafic passe par la passerelle. | ✓ | ✓ | ✓ |
| Configurer la prévention des pertes de données hors ligne La prévention des pertes de données hors ligne (DLP) est un ensemble d'outils et de processus permettant de détecter et de prévenir les violations de données, l'exfiltration cybernétique et la destruction indésirable de données sensibles. Vous utilisez la DLP pour protéger et sécuriser les données d'une organisation et pour vous conformer aux réglementations | ✗ | ✗ | ✓ |
| Configurer les stratégies de protection des données basées sur l'API pour IaaS La protection des données basée sur l'API (API-DP) protège et sécurise les données de l'organisation qui résident dans les applications d'infrastructure en tant que service (IaaS). | ✗ | ✗ | ✓ |
| Configurer la stratégie de protection des données basée sur l'API pour SaaS La protection des données basée sur l'API protège et sécurise les données de l'organisation qui résident dans des applications SaaS (Software as a Service). | ✗ | ✗ | ✓ |
| Configurer la protection des e-mails dans Concerto La protection des e-mails détecte, prévient et répond aux cyberattaques qui sont transmises par le biais des e-mails entrants et sortants. | ✗ | ✗ | ✓ |
| Configurer les profils de conservation légale dans Concerto La conservation légale est un processus visant à préserver toutes les informations pertinentes susceptibles d'être présentées comme preuves dans une procédure judiciaire. | ✗ | ✗ | ✓ |
| Configurer la prévention des pertes de données dans Concerto La prévention des pertes de données (DLP) est un ensemble d'outils et de processus permettant de détecter et de prévenir les violations de données, l'exfiltration cybernétique et la destruction indésirable de données sensibles. Vous utilisez la DLP pour protéger et sécuriser les données d'une organisation et pour vous conformer aux réglementations. | ✗ | ✗ | ✓ |
| Configurer les profils CASB hors ligne Le courtier de sécurité d'accès au cloud hors ligne (CASB) est une solution de mise en œuvre de politiques sur site ou dans le cloud qui sécurise les données entre les utilisateurs et les applications cloud afin de respecter les exigences réglementaires et celles de l'entreprise. | ✗ | ✗ | ✓ |
| Configurer les profils de quarantaine dans Concerto Certains types de règles de prévention des pertes de données (DLP), tels que Type de fichier, Correspondance exacte des données (EDM) et Reconnaissance optique de caractères (OCR), prennent en charge l'action de mise en quarantaine. | ✗ | ✗ | ✓ |
| Intégration avec Microsoft Defender pour les applications cloud Microsoft Defender pour les applications cloud est un courtier en sécurité d'accès au cloud (CASB) qui fonctionne sur plusieurs clouds. Il offre une visibilité, un contrôle sur le transfert des données et des analyses sophistiquées pour identifier et lutter contre les cybermenaces sur l'ensemble des services cloud. | ✗ | ✓ | ✓ |
| Configurer les objets définis par l'utilisateur SASE Les objets sont des éléments de configuration que vous utilisez pour créer des configurations plus importantes, telles que des règles de stratégie et des profils. | ✓ | ✓ | ✓ |
| Mettre à jour et afficher les applications de détection des technologies informatiques parallèles Les technologies informatiques parallèles désignent les appareils, logiciels et services informatiques qui fonctionnent au sein du réseau d'une organisation sans gestion, contrôle ou approbation explicite du service informatique. | ✗ | ✓ | ✓ |
Appareils clients et comptes utilisateurs
| Appareils clients et comptes utilisateurs | Basic | Plus | Premium |
|---|---|---|---|
| Configurer les profils d'accès sécurisés basés sur le client SASE Les profils d'accès sécurisés basés sur le client définissent les moniteurs d'application, l'accès au navigateur, les résolveurs DNS et les routes utilisés pour lier les clés publiques au client. | ✗ | ✓ | ✓ |
| Configurer les règles de stratégie d'accès sécurisé sans client SASE L'accès sans client est une méthode qui permet de fournir un accès sécurisé aux ressources de l'entreprise sans que les utilisateurs aient à installer de logiciel client sur leurs appareils. Au lieu de cela, les utilisateurs accèdent aux ressources via un navigateur web à l'aide de technologies Web. | ✗ | ✓ | ✓ |
| Configurer les règles d'accès sécurisé basées sur le client SASE Vous utilisez des règles et des profils d'accès sécurisé basés sur le client pour gérer les applications client exécutées sur les ordinateurs personnels et les téléphones mobiles, telles que EIP et Always On. | ✗ | ✓ | ✓ |
| Configurer les profils de risque des appareils dans Concerto Le profil de risque des appareils dans Concerto vous permet d'évaluer l'importance des différentes catégories de risques liés aux appareils. Pour ce faire, vous attribuez une valeur pondérée, exprimée en pourcentage, à chaque catégorie. | ✗ | ✓ | ✓ |
| Configurer les profils d'informations sur les terminaux Pour protéger le réseau et les ressources de l'entreprise, vous pouvez créer des profils d'informations sur les terminaux (EIP), qui garantissent que les terminaux qui accèdent au réseau de l'entreprise respectent les normes de sécurité de l'entreprise avant d'accéder aux ressources du réseau. | ✗ | ✓ | ✓ |
| Configurer les routes d'accès client sécurisées SASE et les résolveurs DNS pour un accès client sécurisé Les profils d'accès client sécurisés définissent les routes et les résolveurs DNS utilisés pour lier les clés publiques au client. | ✗ | ✓ | ✓ |
Protection contre les attaques complexes
| Protection contre les attaques complexes | Basic | Plus | Premium |
|---|---|---|---|
| Utilisez le pare-feu GenAI pour sécuriser l'IA générative L'adoption de l'IA générative sur le lieu de travail a introduit des risques pour la sécurité, car les employés adoptent des outils d'IA de manière indépendante, sans l'accord de leur organisation. Cette utilisation non contrôlée, appelée « IA fantôme », crée un risque important de fuite de données, de failles de sécurité et de violations réglementaires. | ✗ | ✓ | ✓ |
| Intégration avec CrowdStrike et Trend Micro pour l'échange d'informations sur les menaces Intégrez CrowdStrike ou Trend Micro pour l'échange d'informations sur les menaces | ✗ | ✓ | ✓ |
| Configurer les règles de vulnérabilité Les règles de vulnérabilité déterminent le niveau de protection contre les dépassements de mémoire tampon, l'exécution de code illégal et d'autres tentatives d'exploitation des vulnérabilités du système. | ✗ | ✓ | ✓ |
| Configurer les profils de protection contre les logiciels malveillants personnalisés hors ligne Les logiciels malveillants hors ligne sont des logiciels malveillants spécialement conçus pour perturber le fonctionnement des ordinateurs et des systèmes informatiques. | ✗ | ✗ | ✓ |
| Configurer des profils de filtrage IPS personnalisés Le système de prévention des intrusions (IPS) atténue les vulnérabilités de sécurité en réagissant aux activités inappropriées ou anormales. Les réponses peuvent inclure la suppression de paquets de données et la déconnexion des connexions qui transmettent des données non autorisées. | ✗ | ✓ | ✓ |
| Configurer les signatures personnalisées Pour configurer des signatures personnalisées, vous devez télécharger les fichiers de signatures du système de prévention des intrusions (IPS) au format .zip ou .rules, puis les publier afin de les envoyer à toutes les passerelles beem sur lesquelles le locataire est présent. | ✗ | ✓ | ✓ |
| Configurer la protection avancée contre les menaces hors ligne Les logiciels antivirus sont généralement installés sur les machines terminales. Lorsqu'une nouvelle épidémie de logiciels malveillants se déclare, les éditeurs de logiciels antivirus mettent à jour leur fichier de définitions ou leur base de données afin que le logiciel antivirus puisse détecter les nouveaux logiciels malveillants. | ✗ | ✗ | ✓ |
| Configurer la détection et la réponse aux incidents sur les terminaux La détection et la réponse aux incidents sur les terminaux (EDR) est une technologie de cybersécurité qui surveille et répond aux menaces provenant des terminaux tels que les ordinateurs portables, les téléphones mobiles et les appareils connectés à l'Internet des objets (IoT). L'EDR détecte principalement les menaces avancées qui peuvent contourner les défenses de première ligne et pénétrer avec succès dans l'environnement réseau. | ✗ | ✓ | ✓ |
| Configurer les profils d'analyse forensique dans Concerto L'analyse forensique des données est une méthodologie permettant de collecter et d'analyser des données, telles que l'activité des utilisateurs et les données système, sur des appareils informatiques, des appareils réseau, des téléphones ou des tablettes. Les résultats sont souvent utilisés dans le cadre de procédures judiciaires, d'enquêtes réglementaires et d'entreprise, d'enquêtes criminelles et d'autres types d'enquêtes impliquant des preuves numériques. | ✗ | ✗ | ✓ |
| Configurer la dérogation IPS Un système de prévention des intrusions (IPS) atténue les vulnérabilités de sécurité en réagissant aux activités inappropriées ou anormales. Les réponses peuvent inclure la suppression de paquets de données et la déconnexion des connexions qui transmettent des données non autorisées. | ✗ | ✓ | ✓ |
| Configurer la protection avancée contre les menaces Les logiciels antivirus sont généralement installés sur les machines terminales. Lorsque de nouveaux logiciels malveillants apparaissent, les éditeurs de logiciels antivirus mettent à jour leurs fichiers de définition ou leurs fichiers de données afin que leurs logiciels puissent détecter ces nouveaux logiciels malveillants. | ✗ | ✗ | ✓ |
| Configurer des profils de protection personnalisés contre les logiciels malveillants Les logiciels malveillants sont des programmes malveillants spécialement conçus pour perturber le fonctionnement des ordinateurs et des systèmes informatiques. Il existe de nombreux types de logiciels malveillants, notamment les virus informatiques, les vers, les chevaux de Troie, les logiciels espions, les logiciels publicitaires et les ransomwares. | ✗ | ✓ | ✓ |
Politiques de sécurité et analyse
| Politiques de sécurité et analyse | Basic | Plus | Premium |
|---|---|---|---|
| Le score de confiance des applications intègre des pondérations pour les différents contrôles de sécurité afin d’indiquer l’importance associée à chacun, en fonction des exigences de l’organisation. | ✗ | ✓ | ✓ |
| Afficher les références aux objets du profil SASE Vous pouvez afficher toutes les références à n'importe quel objet SASE pour les profils de protection en temps réel à partir d'autres niveaux de la hiérarchie de configuration. Une référence d'objet indique tous les emplacements dans la hiérarchie où l'objet est utilisé. | ✓ | ✓ | ✓ |
| Exemples de rapports ATP beem Lorsque vous utilisez la protection avancée contre les menaces (ATP) de beem pour soumettre des fichiers à l’analyse, un rapport d’analyse détaillé est généré pour chaque fichier. | ✗ | ✗ | ✓ |
Application beem
| Application beem | Basic | Plus | Premium |
|---|---|---|---|
| Configurer les profils d'accès sécurisés basés sur le client SASE Les profils d'accès sécurisés basés sur le client définissent les moniteurs d'application, l'accès au navigateur, les résolveurs DNS et les routes utilisés pour lier les clés publiques au client. | ✗ | ✓ | ✓ |
| Configurer les règles de stratégie d'accès sécurisé sans client SASE L'accès sans client est une méthode qui permet de fournir un accès sécurisé aux ressources de l'entreprise sans que les utilisateurs aient à installer de logiciel client sur leurs appareils. Au lieu de cela, les utilisateurs accèdent aux ressources via un navigateur web à l'aide de technologies Web. | ✗ | ✓ | ✓ |
| Configurer les règles d'accès sécurisé basées sur le client SASE Vous configurez des règles d'accès sécurisé basées sur le client et les appliquez aux clients d'accès sécurisé. | ✗ | ✓ | ✓ |
| Configurer les profils de risque des appareils dans Concerto Le profil de risque des appareils dans Concerto vous permet d'évaluer l'importance des différentes catégories de risques liés aux appareils. Pour ce faire, vous attribuez une valeur pondérée, exprimée en pourcentage, à chaque catégorie. | ✗ | ✗ | ✓ |
| Configurer les profils d'informations sur les terminaux Pour protéger le réseau et les ressources de l'entreprise, vous pouvez créer des profils d'informations sur les terminaux (EIP), qui garantissent que les terminaux qui accèdent au réseau de l'entreprise respectent les normes de sécurité de l'entreprise avant d'accéder aux ressources du réseau. | ✗ | ✓ | ✓ |
| Configurer les routes d'accès client sécurisées SASE et les résolveurs DNS pour un accès client sécurisé Les profils d'accès client sécurisés définissent les routes et les résolveurs DNS utilisés pour lier les clés publiques au client. | ✗ | ✗ | ✓ |
| Certificate Pinning Le certificat pinning peut interférer avec le décryptage et l'inspection TLS, car il limite les certificats considérés comme valides pour une application ou un site Web particulier. Étant donné que l'application attend un certificat spécifique, elle rejette tout certificat qui ne correspond pas à celui qui a été épinglé. | ✗ | ✗ | ✓ |