Concerto
La matrice seguente indica quali casi d'uso di Concerto sono supportati in ciascuna Security Edition di beem.
- Tutte le funzionalità elencate sono ufficialmente supportate e incluse nei rispettivi contratti.
- Le caratteristiche non elencate non fanno parte dell'offerta del prodotto.
- Questa matrice include tutte le funzionalità supportate; non ce ne sono altre aggiuntive o non documentate.
- Questa matrice serve come riferimento per capire cosa è disponibile in ciascuna Security Edition.
Caratteristiche del concerto Matrix
In questa sezione vengono descritte le opzioni disponibili in Concerto per configurare la soluzione in base alle esigenze e alle preferenze individuali.
INFO
Con la soluzione Essential, l'accesso a Concerto non è disponibile.
La soluzione Essential è gestita direttamente da Swisscom.
Navigazione sicura nella rete beemNet
| Navigazione sicura nella rete beemNet | Basic | Plus | Premium |
|---|---|---|---|
| Applicare i punteggi di affidabilità di utenti e dispositivi alle politiche di protezione Internet È possibile applicare i punteggi di affidabilità di utenti ed entità alle politiche di protezione Internet e alle politiche di protezione delle applicazioni private. | ✗ | ✓ | ✓ |
| Ricerca reputazione URL e IP La ricerca URL estende la capacità eseguendo richieste in tempo reale ai server cloud per ottenere la categoria URL e la reputazione IP degli URL non presenti nel database URL locale. | ✓ | ✓ | ✓ |
| Configurare profili di filtraggio DNS personalizzati Il filtraggio DNS (Domain Name System) consente di controllare l'accesso a siti web, pagine web e indirizzi IP, per fornire protezione da siti web dannosi, come malware noti e siti di phishing. | ✗ | ✓ | ✓ |
| Configura profili di filtro URL personalizzati In un profilo di filtro DNS è possibile configurare i seguenti componenti da utilizzare per filtrare le richieste DNS: Elenchi di blocchi, Elenchi di autorizzazioni, Azioni basate su query e Azioni basate sulla reputazione | ✗ | ✓ | ✓ |
| Configurare le regole di protezione Internet SASE Le regole di protezione Internet sono regole firewall applicate al traffico Internet in uscita su base tenant. Forniscono protezione alla rete stabilendo criteri di corrispondenza e azioni di applicazione. | ✓ | ✓ | ✓ |
| Configura portali captive Per controllare quali URL gli utenti possono visualizzare quando accedono alle pagine web Internet, è possibile configurare il portale captive. Per gli URL di cui desideri controllare l'accesso, reindirizzi gli utenti a una pagina web captive portal sulla quale puoi visualizzare messaggi standard o personalizzati che forniscono informazioni sulla pagina web. Per queste pagine web, puoi controllare l'accesso o bloccarlo completamente. | ✗ | ✓ | ✓ |
| Configura profilo di filtraggio file personalizzato È possibile configurare il filtraggio dei file per bloccare il trasferimento di file e tipi di file potenzialmente pericolosi (ovvero file associati ad applicazioni specifiche), file di dimensioni specifiche, file associati a protocolli specifici e file che viaggiano in una direzione particolare. È possibile configurare elenchi di hash basati su SHA di file per contrassegnare i file potenzialmente pericolosi da rifiutare (talvolta denominati blacklist) e contrassegnare i file sicuri da consentire (talvolta denominati whitelist). È possibile configurare il filtro dei file per eseguire ricerche hash dei file basate sulla reputazione su un server cloud. | ✗ | ✓ | ✓ |
| Configurare profili di filtraggio IP personalizzati Il traffico che passa attraverso la rete può avere indirizzi IP associati a una cattiva reputazione e che possono causare rischi per la sicurezza della rete. Per bloccare questi indirizzi IP in base alla reputazione dell'indirizzo IP e ai metadati dell'indirizzo IP, come la geolocalizzazione, è possibile configurare profili di filtro degli indirizzi IP e quindi associarli alla politica di sicurezza. È possibile associare profili di filtro IP a dispositivi connessi a un Secure Web Gateway (SWG) che devono inviare traffico a Internet. | ✗ | ✓ | ✓ |
| Configurare Application Layer Gateway (ALG) Application Layer Gateway (ALG) è un componente di sicurezza che migliora le operazioni del firewall e del CGNAT. ALG consente di utilizzare filtri NAT traversal personalizzati per supportare la traduzione di indirizzi e porte per il controllo del livello applicativo e protocolli dati quali FTP e SIP. Affinché questi protocolli funzionino attraverso CGNAT o un firewall, l'applicazione deve identificare una combinazione indirizzo-numero di porta che consenta l'ingresso di pacchetti oppure NAT deve monitorare il traffico di controllo e aprire dinamicamente le mappature delle porte creando fori di spillo nel firewall. | ✗ | ✓ | ✓ |
Accesso sicuro alle applicazioni aziendali e protezione dei dati aziendali
| Accesso sicuro alle applicazioni aziendali e protezione dei dati aziendali | Basic | Plus | Premium |
|---|---|---|---|
| Configurare le regole di protezione delle applicazioni private SASE Le regole di protezione delle applicazioni private SASE sono regole firewall che è possibile configurare per definire la protezione delle applicazioni personalizzate. È possibile configurare queste regole di protezione per ogni singolo tenant. La protezione delle applicazioni private è simile alla protezione Internet, con la differenza che la protezione delle applicazioni private si applica solo alle applicazioni personalizzate. Non è possibile configurare la protezione delle applicazioni private per applicazioni predefinite o per gruppi di applicazioni. | ✓ | ✓ | ✓ |
| Configurare i connettori Azure Un connettore Azure collega un sistema o un servizio, come Microsoft Information Protection (MIP), ad Azure. Dopo aver creato un connettore Azure, è possibile creare etichette MIP e utilizzarle nei criteri DLP per azioni quali impostazione, rimozione e corrispondenza. Si noti che MIP è supportato solo su file PDF, .docx, .xslx e .pptx. | ✗ | ✓ | ✓ |
| Configura decrittografia TLS SASE La decrittografia TLS (Transport Layer Security) è un protocollo standard del settore utilizzato per fornire un canale di comunicazione sicuro tra client (dispositivi finali) e server (siti di destinazione) su Internet. | ✗ | ✓ | ✓ |
| Configurare tunnel SASE da sito a sito È possibile utilizzare tunnel da sito a sito per incapsulare i pacchetti trasmessi da un protocollo di trasporto. È possibile configurare tunnel IPsec sicuri e tunnel GRE (Generic Routing Encapsulation) dai gateway SASE beemNet ai data center e ai router locali in una rete aziendale. I tunnel IPsec da sito a sito forniscono agli utenti un accesso sicuro alle applicazioni e ai carichi di lavoro ospitati nel cloud. Il dispositivo gateway può essere un dispositivo fisico o un dispositivo SD-WAN basato su cloud. Il dispositivo remoto (peer) può essere un servizio gestito su cloud o un dispositivo di terze parti che supporta tunnel IPsec. | ✓ | ✓ | ✓ |
| Configurare il proxy inverso dell'applicazione Il proxy inverso dell'applicazione protegge dalla perdita di dati e dai malware quando dispositivi non gestiti accedono al cloud e alle risorse aziendali. Ciò consente alle aziende di fornire software sicuro come servizio (SaaS) e accesso privato alle applicazioni a utenti e dispositivi senza client. | ✓ | ✓ | ✓ |
| Configura isolamento browser remoto L'isolamento del browser remoto (RBI) è una soluzione basata su cloud che fornisce accesso zero-trust alle applicazioni basate su browser. | ✗ | ✓ | ✓ |
| Configura offuscamento rete È possibile configurare l'offuscamento della rete per nascondere la topologia della rete interna e i client beem remoti gli uni agli altri. Con l'offuscamento della rete, è possibile nascondere agli utenti finali la risorsa fisica che ospita l'applicazione (ovvero l'indirizzo IP del server), contribuendo così a proteggere i dispositivi da vettori di attacco, come la scansione delle porte e il movimento laterale. | ✗ | ✓ | ✓ |
| Configurare i certificati SASE Un'autorità di certificazione (CA) è un'organizzazione di terze parti affidabile che emette documenti elettronici, denominati certificati digitali. Un certificato CA verifica l'identità di un'entità digitale su Internet. I certificati CA sono una parte essenziale della comunicazione sicura. È possibile integrare e gestire i certificati necessari al proprio tenant. Questi certificati vengono utilizzati durante la configurazione dei profili e delle regole. | ✗ | ✓ | ✓ |
| Pubblica gateway SASE L'azione di pubblicazione pubblica (commit) una configurazione sui gateway. Quando un utente apporta modifiche alla configurazione sul portale, le modifiche vengono memorizzate localmente. L'azione di pubblicazione attiva l'invio delle configurazioni ai gateway. | ✓ | ✓ | ✓ |
Protezione dei dati aziendali
| Protezione dei dati aziendali | Basic | Plus | Premium |
|---|---|---|---|
| Configurare le applicazioni cloud da utilizzare con la protezione dei dati basata su API La protezione dei dati basata su API (API-DP) protegge le applicazioni SaaS e IaaS utilizzando le API fornite dai servizi cloud. | ✗ | ✗ | ✓ |
| Configurare i profili CASB Cloud Access Security Broker (CASB) è un sistema di applicazione delle politiche in locale o basato su cloud che protegge i dati che fluiscono tra gli utenti e le applicazioni cloud al fine di garantire la conformità ai requisiti aziendali e normativi. CASB applica le Security Policy aziendali quando gli utenti accedono alle risorse basate sul cloud. | ✓ | ✓ | ✓ |
| Configurare i profili di controllo tenant SaaS I profili di controllo tenant SaaS consentono di impedire agli utenti di accedere direttamente a determinati servizi, come Office365 basato sul web, senza passare attraverso un gateway beemNet. Quando si configura un profilo di controllo tenant SaaS, il profilo di controllo tenant inserisce campi e valori nell'intestazione HTTP quando il traffico passa attraverso il gateway. | ✓ | ✓ | ✓ |
| Configurare la prevenzione della perdita di dati offline La prevenzione della perdita di dati offline (DLP) è un insieme di strumenti e processi per rilevare e prevenire violazioni dei dati, esfiltrazione informatica e distruzione indesiderata di dati sensibili. Utilizzi il DLP per proteggere e mettere in sicurezza i dati di un'organizzazione e per garantire la conformità alle normative | ✗ | ✗ | ✓ |
| Configurare criteri di protezione dei dati basati su API per IaaS La protezione dei dati basata su API (API-DP) protegge e mette in sicurezza i dati aziendali che risiedono nelle applicazioni Infrastructure as a Service (IaaS). | ✗ | ✗ | ✓ |
| Configurare la politica di protezione dei dati basata su API per SaaS La protezione dei dati basata su API protegge e mette in sicurezza i dati aziendali che risiedono nelle applicazioni Software as a Service (SaaS). | ✗ | ✗ | ✓ |
| Configurare la protezione e-mail in Concerto La protezione e-mail rileva, previene e risponde agli attacchi informatici che vengono trasmessi tramite e-mail in uscita e in entrata. | ✗ | ✗ | ✓ |
| Configurare i profili di conservazione a fini legali in Concerto La conservazione a fini legali è un processo volto a preservare tutte le informazioni rilevanti che potrebbero essere presentate come prove in un procedimento legale. | ✗ | ✗ | ✓ |
| Configurare la prevenzione della perdita di dati in Concerto La prevenzione della perdita di dati (DLP) è un insieme di strumenti e processi per rilevare e prevenire violazioni dei dati, esfiltrazione informatica e distruzione indesiderata di dati sensibili. Utilizzi DLP per proteggere e garantire la sicurezza dei dati di un'organizzazione e per garantire la conformità alle normative. | ✗ | ✗ | ✓ |
| Configurare i profili CASB offline Il broker di sicurezza dell'accesso al cloud offline (CASB) è un sistema di applicazione delle politiche basato su cloud o locale che protegge i dati tra gli utenti e le applicazioni cloud per garantire la conformità ai requisiti aziendali e normativi. | ✗ | ✗ | ✓ |
| Configurare i profili di quarantena in Concerto Alcuni tipi di regole di prevenzione della perdita di dati (DLP), come Tipo di file, Corrispondenza dati esatta (EDM) e Riconoscimento ottico dei caratteri (OCR), supportano l'azione di quarantena. | ✗ | ✗ | ✓ |
| Integrazione con Microsoft Defender per le app cloud Microsoft Defender per le app cloud è un broker di sicurezza dell'accesso al cloud (CASB) che opera su più cloud. Fornisce visibilità, controllo sul traffico dati e analisi sofisticate per identificare e combattere le minacce informatiche nei servizi cloud. | ✗ | ✓ | ✓ |
| Configurare oggetti SASE definiti dall'utente Gli oggetti sono elementi di configurazione che si utilizzano per costruire configurazioni più complesse, come le regole di policy e i profili. | ✓ | ✓ | ✓ |
| Aggiorna e visualizza le applicazioni di rilevamento Shadow IT Shadow IT si riferisce a dispositivi, software e servizi IT che operano all'interno della rete di un'organizzazione senza una gestione, un controllo o un'approvazione esplicita da parte del reparto IT. | ✗ | ✓ | ✓ |
Dispositivi client e account utente
| Dispositivi client e account utente | Basic | Plus | Premium |
|---|---|---|---|
| Configurare i profili di accesso sicuro basati su client SASE I profili di accesso sicuro basati su client definiscono i monitor delle applicazioni, l'accesso al browser, i resolver DNS e i percorsi utilizzati per associare le chiavi pubbliche al client. | ✗ | ✓ | ✓ |
| Configurare le regole del criterio di accesso sicuro senza client SASE L'accesso senza client è un metodo che consente di fornire un accesso sicuro alle risorse aziendali senza richiedere agli utenti di installare software client sui propri dispositivi. Gli utenti accedono invece alle risorse tramite un browser web utilizzando tecnologie basate sul web. | ✗ | ✓ | ✓ |
| Configurare le regole di accesso sicuro basate su client SASE È possibile utilizzare regole e profili di accesso sicuro basati su client per gestire le applicazioni client in esecuzione su personal computer e telefoni cellulari, come EIP e Always On. | ✗ | ✓ | ✓ |
| Configurare i profili di rischio dei dispositivi in Concerto Il profilo di rischio dei dispositivi in Concerto consente di valutare l'importanza delle diverse categorie di rischio dei dispositivi. Per farlo, è necessario assegnare un valore di ponderazione, espresso in percentuale, a ciascuna categoria. | ✗ | ✓ | ✓ |
| Configurare i profili delle informazioni sugli endpoint Per proteggere la rete e le risorse aziendali, è possibile creare profili delle informazioni sugli endpoint (EIP), che garantiscono che i dispositivi endpoint che accedono alla rete aziendale mantengano e rispettino gli standard di sicurezza aziendali prima di accedere alle risorse di rete aziendali. | ✗ | ✓ | ✓ |
| Configurare i percorsi di accesso client SASE sicuri e i resolver DNS per l'accesso client sicuro I profili di accesso client sicuri definiscono i percorsi e i resolver DNS utilizzati per associare le chiavi pubbliche al client. | ✗ | ✓ | ✓ |
Protezione contro attacchi complessi
| Protezione contro attacchi complessi | Basic | Plus | Premium |
|---|---|---|---|
| Utilizza il firewall GenAI per proteggere l'IA generativa L'adozione dell'IA generativa sul posto di lavoro ha introdotto rischi per la sicurezza, poiché i dipendenti adottano strumenti di IA in modo indipendente senza l'approvazione dell'organizzazione. Questo utilizzo non monitorato, noto come "shadow AI", crea un rischio significativo di fuga di dati, lacune nella sicurezza e violazioni normative. | ✗ | ✓ | ✓ |
| Integrazione con CrowdStrike e Trend Micro per lo scambio di informazioni sulle minacce Integrazione di CrowdStrike o Trend Micro per lo scambio di informazioni sulle minacce | ✗ | ✓ | ✓ |
| Configurare le regole di vulnerabilità Le regole di vulnerabilità determinano il livello di protezione contro il buffer overflow, l'esecuzione di codice illegale e altri tentativi di sfruttare le vulnerabilità del sistema. | ✗ | ✓ | ✓ |
| Configura profili personalizzati di protezione offline per malware Il malware offline è un software dannoso progettato specificamente per danneggiare i computer e i sistemi informatici. | ✗ | ✗ | ✓ |
| Configurare profili di filtraggio IPS personalizzati Il sistema di prevenzione delle intrusioni (IPS) mitiga le vulnerabilità di sicurezza rispondendo ad attività inappropriate o anomale. Le risposte possono includere l'eliminazione dei pacchetti di dati e la disconnessione delle connessioni che trasmettono dati non autorizzati. | ✗ | ✓ | ✓ |
| Configurare firme personalizzate Per configurare firme personalizzate, è necessario caricare i file delle firme del sistema di prevenzione delle intrusioni (IPS) in formato .zip o .rules, quindi pubblicarli per inviare i file a tutti i gateway beem su cui è presente il tenant. | ✗ | ✓ | ✓ |
| Configurare la protezione avanzata dalle minacce offline Il software antivirus è in genere installato sui dispositivi endpoint. Quando si verifica una nuova epidemia di malware, i fornitori di software antivirus aggiornano le definizioni o i file di dati del software antivirus in modo che il software sia in grado di rilevare il nuovo malware. | ✗ | ✗ | ✓ |
| Configurare il rilevamento e la risposta degli endpoint Il rilevamento e la risposta degli endpoint (EDR) è una tecnologia di sicurezza informatica che monitora e risponde alle minacce provenienti da dispositivi endpoint quali laptop, telefoni cellulari e dispositivi Internet of Things (IoT). L'EDR rileva principalmente minacce avanzate in grado di eludere le difese di prima linea e di penetrare con successo nell'ambiente di rete. | ✗ | ✓ | ✓ |
| Configurare i profili forensi in Concerto La scienza forense informatica è una metodologia per la raccolta e l'analisi di dati, quali attività degli utenti e dati di sistema, su dispositivi informatici, dispositivi di rete, telefoni o tablet. I risultati vengono spesso utilizzati in procedimenti legali, indagini normative e aziendali, indagini su attività criminali e altri tipi di indagini che coinvolgono prove digitali. | ✗ | ✗ | ✓ |
| Configura IPS Override Un sistema di prevenzione delle intrusioni (IPS) mitiga le vulnerabilità di sicurezza rispondendo ad attività inappropriate o anomale. Le risposte possono includere l'eliminazione dei pacchetti di dati e la disconnessione delle connessioni che trasmettono dati non autorizzati. | ✗ | ✓ | ✓ |
| Configurare la protezione avanzata dalle minacce Il software antivirus è in genere installato sui computer endpoint. Quando si verificano nuove epidemie di malware, i fornitori di software antivirus aggiornano le definizioni o i file di dati del software antivirus in modo che il software sia in grado di rilevare il nuovo malware. | ✗ | ✗ | ✓ |
| Configurare i profili di protezione personalizzati contro il malware Il malware è un software dannoso progettato specificamente per danneggiare i computer e i sistemi informatici. Esistono molti tipi di malware, tra cui virus informatici, worm, virus Trojan, spyware, adware e ransomware. | ✗ | ✓ | ✓ |
Security Policy e analisi
| Security Policy e analisi | Basic | Plus | Premium |
|---|---|---|---|
| Punteggio di affidabilità dell'applicazione Il punteggio di affidabilità incorpora pesi per i vari controlli di sicurezza al fine di indicare l'importanza associata a ciascuno di essi in base ai requisiti organizzativi. | ✗ | ✓ | ✓ |
| Visualizza riferimenti agli oggetti del profilo SASE È possibile visualizzare tutti i riferimenti a qualsiasi oggetto SASE per i profili di protezione in tempo reale da altri livelli della gerarchia di configurazione. Un riferimento a un oggetto mostra tutte le posizioni nella gerarchia in cui l'oggetto è utilizzato. | ✓ | ✓ | ✓ |
| Esempi di report ATP beem Quando si utilizza la protezione avanzata dalle minacce (ATP) beem per inviare file per l'analisi, viene generato un report di analisi dettagliato per ogni file. | ✗ | ✗ | ✓ |
App beem
| App beem | Basic | Plus | Premium |
|---|---|---|---|
| Configurare i profili di accesso sicuro basati su client SASE I profili di accesso sicuro basati su client definiscono i monitor delle applicazioni, l'accesso al browser, i resolver DNS e i percorsi utilizzati per associare le chiavi pubbliche al client. | ✗ | ✓ | ✓ |
| Configurare le regole del criterio di accesso sicuro senza client SASE L'accesso senza client è un metodo che consente di fornire un accesso sicuro alle risorse aziendali senza richiedere agli utenti di installare software client sui propri dispositivi. Gli utenti accedono invece alle risorse tramite un browser web utilizzando tecnologie basate sul web. | ✗ | ✓ | ✓ |
| Configurare le regole di accesso sicuro basate su client SASE È possibile configurare regole di accesso sicuro basate su client e applicarle ai client di accesso sicuro. | ✗ | ✓ | ✓ |
| Configurare i profili di rischio dei dispositivi in Concerto Il profilo di rischio dei dispositivi in Concerto consente di valutare l'importanza delle diverse categorie di rischio dei dispositivi. Per farlo, è necessario assegnare un valore di ponderazione, espresso in percentuale, a ciascuna categoria. | ✗ | ✗ | ✓ |
| Configurare i profili delle informazioni sugli endpoint Per proteggere la rete e le risorse aziendali, è possibile creare profili delle informazioni sugli endpoint (EIP), che garantiscono che i dispositivi endpoint che accedono alla rete aziendale mantengano e rispettino gli standard di sicurezza aziendali prima di accedere alle risorse di rete aziendali. | ✗ | ✓ | ✓ |
| Configurare i percorsi di accesso client SASE sicuri e i resolver DNS per l'accesso client sicuro I profili di accesso client sicuri definiscono i percorsi e i resolver DNS utilizzati per associare le chiavi pubbliche al client. | ✗ | ✗ | ✓ |
| Certificate Pinning Il certificate pinning può interferire con la decrittografia e l'ispezione TLS perché limita i certificati considerati validi per una particolare applicazione o sito web. Poiché l'applicazione richiede un certificato specifico, rifiuta qualsiasi certificato che non corrisponda a quello associato. | ✗ | ✗ | ✓ |