أمان الإنترنت عن بُعد مع مصادقة مرة واحدة

توضح هذه المقالة كيفية استخدام ميزات Cato لتزويد المستخدمين بالأمان عبر الإنترنت عن بُعد مع المصادقة لمرة واحدة والوصول الخاص الآمن عند الطلب.

نظرة عامة

Cato يمكن أن يوفر للمستخدمين وصولاً آمنًا إلى الإنترنت عن بُعد بعد عملية المصادقة لمرة واحدة. هذا يعني أن المستخدمين لديهم دائمًا اتصال وحماية على الإنترنت مع تفاعل minimal مع الـ Client. يمكن توفير الوصول إلى شبكتك الخاصة (WAN) عند الطلب.

يتم تكوين ذلك من خلال تحديد مستوى المصادقة الذي يحتاجه المستخدمون للوصول الآمن إما إلى الإنترنت أو إلى شبكتك الخاصة (WAN). على سبيل المثال، يمكنك دائمًا السماح للمستخدمين بالوصول الآمن إلى الإنترنت بعد مصادقتهم الأولية، ولكن السماح بالوصول إلى شبكتك الخاصة (WAN) فقط بعد إعادة مصادقة المستخدم.

بالإضافة إلى ذلك، يمكنك التحكم في تجربة إعادة مصادقة المستخدم. يمكن عرض مطالبة للمستخدمين إما قبل أو بعد انتهاء صلاحية رمز المصادقة.

تكوينات للوصول الآمن إلى الإنترنت أو شبكة خاصة (WAN)

يتم تمكين الأمان عبر الإنترنت عن بُعد مع المصادقة لمرة واحدة بتحديد مستويات الثقة للمستخدم ومستوى الوصول (الإجراء) في قواعد سياسة اتصال العميل. يصف مستوى الثقة مدى موثوقية مصادقة المستخدم. يحدد الإجراء ما إذا كان يمكن للمستخدم الوصول إلى الإنترنت والشبكة الخاصة (WAN) أو الإنترنت فقط.

فهم مستويات الثقة

يصف مستوى الثقة مدى موثوقية مصادقة المستخدم. مستويات الثقة هي:

  • مرتفع: المستخدم مصادق إلى الـ Client ورمز Cato صالح

  • منخفض: لقد تم مصادقة المستخدم على الـ Client، لكن رمز Cato انتهى

  • ″أي: Authentic إلى الـ Client ورمز Cato صالح أو منتهي الصلاحية"

يتم تطبيق مستويات الثقة على المستخدمين بعد المصادقة باستخدام أي طريقة مصادقة. رمز Cato لا ينتهي أبدًا للمستخدمين الذين يصادقون باستخدام اسم المستخدم وكلمة المرور أو رموز التسجيل. هؤلاء المستخدمون دائمًا ما يكون لديهم مستوى ثقة مرتفع.

فهم الإجراءات

يحدد الإجراء مستوى الوصول الممنوح للمستخدم. الإجراءات هي:

  • السماح بـ WAN وInternet: لدى المستخدم وصولاً آمنًا إلى الإنترنت ويمكنه الوصول إلى الشبكة الخاصة (WAN)

    ملاحظة: يوفر هذا الخيار الإذن للمستخدم للوصول إلى الشبكة الخاصة (WAN). يعتمد وصول المستخدم إلى الشبكة الخاصة (WAN) على القواعد في جدار حماية WAN.

  • السماح فقط بالإنترنت: لدى المستخدم وصولاً آمنًا إلى الإنترنت فقط ولا يمكنه الوصول إلى الشبكة الخاصة (WAN)

    أنظمة التشغيل غير المدعومة والإصدارات التي تُشغل هذا الإجراء سيتم حجبها.

    ملاحظة: يوفر هذا الخيار الإذن للمستخدم للوصول إلى الإنترنت. يعتمد وصول المستخدم إلى الإنترنت على القواعد في جدار حماية الإنترنت.

    يتضمن هذا الإجراء أيضًا الخيار لإنهاء الجلسات النشطة لـ WAN. يعتمد هذا الخيار عندما يُسمح للمستخدم سابقًا بالوصول إلى WAN بموجب قاعدة، ولكن تتغير ظروفهم ويطابقون الآن فقط قاعدة تسمح بالوصول إلى الإنترنت. في هذه الحالة، يمكنك اختيار ما إذا كنت تريد إنهاء جلسات الأستخدام الحالية لـ WAN.

    على سبيل المثال، يتم منح مستخدم الوصول إلى WAN بناءً على مستوى الثقة لديهم. إذا تغير ذلك لاحقًا، مثل عندما تنتهي صلاحية الرمز، لم يعد يُسمح للمستخدم بالوصول إلى WAN. هذا الإعداد يحدد ما إذا كانت الجلسات الحالية لـ WAN قد تم قطع الاتصال بها.

  • حظر WAN وInternet: المستخدم محجوب من الوصول إلى الإنترنت وWAN

    يتم دائمًا إنهاء الجلسات الحالية لـ WAN بمجرد أن يوافق المستخدم على قاعدة ذات هذا الإجراء.

المتطلبات المسبقة

  • عميل Windows v5.9 والأحدث، أو عميل macOS v5.10 (وأحدث)

  • يجب أن يكون للمستخدمين ترخيص SDP للوصول الآمن إلى الإنترنت

  • يجب على المستخدمين المصادقة والحصول على رمز صالح مرة واحدة على الأقل لكي يتم فرض مستويات الثقة

حالات الاستخدام

حالة استخدام - الوصول الآمن إلى الإنترنت بعد المصادقة مرة واحدة

تمتلك شركة نشر مندوبين مبيعات يعملون عن بُعد ونادرًا ما يحتاجون إلى الوصول إلى شبكة الشركة الخاصة WAN.

تقوم الشركة بإنشاء هذه القواعد لمجموعة مستخدمي مندوب المبيعات:

  • في سياستهم Always-On، يقومون بضمان اتصال Client مع أي شخص يعمل عن بعد

  • في سياسة اتصال العميل، يسمحون للمستخدمين بمستوى ثقة منخفض بالوصول إلى الإنترنت

عندما يصل مندوبو المبيعات إلى منطقة عملاء محتملين، يتم توصيلهم بأمان إلى الإنترنت دون أي تفاعل مع Cato Client.

Low_Confidence_Level.png

حالة استخدام - المتطلب الدائم لإعادة المصادقة

البنك لديه متطلبات أمان مشددة على الإنترنت ويحتاج دائمًا لضمان أن المستخدمين الذين يصلون عبر الإنترنت وشبكة خاصة (WAN) يتم مصادقتهم.

تقوم الشركة بإنشاء هذه القواعد لجميع المستخدمين عن بعد:

  • في سياستهم Always-On لضمان اتصال Client دائمًا

  • في سياسة اتصال Client، يوفرون الوصول إلى الإنترنت والشبكة الخاصة (WAN) للمستخدمين بمستوى ثقة مرتفع.

عند اتصال المستخدم عن بُعد، يجب عليه المصادقة قبل أن يتمكن من الوصول إلى الإنترنت أو الشبكة الخاصة (WAN).

High_Confidence.png

تكوين أمان الإنترنت عن بُعد مع مصادقة مرة واحدة

اتبع هذه الخطوات لتمكين أمان الإنترنت عن بُعد مع مصادقة لمرة واحدة:

  1. حدد قاعدة في سياستك Always-On بحيث يتصل Client دائمًا بسحابة Cato لحماية المستخدمين والأجهزة.

  2. حدد قاعدة في سياسة اتصال Client التي تحدد مستوى الوصول استنادًا إلى مستوى الثقة للمستخدم.

  3. قم بتكوين كيفية عرض المطالبة للمستخدمين لإعادة المصادقة لتوفير أفضل تجربة للمستخدمين لديك.

الخطوة 1: تطبيق سياسة Always-On لحماية المستخدمين عن بعد دائمًا

تعزز سياسة Always-On أمان الإنترنت من خلال تحديد القواعد لوقت اتصال المستخدمين أو مجموعات المستخدمين دائمًا بسحابة Cato. يضمن ذلك مرور كل حركة المرور عبر PoP وتقوم محركات الأمان الخاصة بـ Cato بفحص الحركة لضمان توافقها مع سياسات الأمان الخاصة بك.

لمزيد من المعلومات حول كيفية إنشاء قاعدة في سياسة Always-On الخاصة بك، راجع حماية المستخدمين مع أمان Always-On.

إذا كان لديك بالفعل قاعدة لمجموعات المستخدمين المعنية في سياستك Always-On، فإن هذه الخطوة ليست ضرورية.

الخطوة 2: تكوين سياسة اتصال Client لتوفير الوصول بناءً على مستوى الثقة

تؤمن سياسة اتصال Client شبكتك من خلال ضمان الاتصال فقط للأجهزة أو المستخدمين عندما يلتزمون بمتطلبات الأمان التنظيمية.

يتضمن وجود مستوى الثقة والإجراءات في قاعدة سياسة اتصال Client لتحديد الوصول المتاح للمستخدمين ومجموعات المستخدمين بناءً على موثوقية مصادقتهم.

لمزيد من المعلومات حول كيفية إدارة الوصول إلى الشبكة في سياسة اتصال العميل الخاصة بك، رجاءً راجع تكوين سياسة اتصال العميل.

لا يمكن تطبيق قواعد سياسة اتصال Client إلا على المستخدمين الذين لديهم ترخيص SDP.

CCP.png

لتكوين الوصول استنادًا إلى مستوى الثقة:

  1. من قائمة التنقل، انقر الوصول > سياسة اتصال Client.

  2. انقر جديد. يفتح لوحة قاعدة جديدة.

  3. تحليل نطاق القاعدة:

    1. حدد مستوى الثقة

    2. حدد الإجراء

  4. انقر تطبيق ثم انقر حفظ.

    ملاحظة

    ملاحظة: كأفضل ممارسة، أنشئ قاعدة نهائية لأي مستخدم أو مجموعة بمستوى ثقة أي وإجراء السماح بالإنترنت. يوفر هذا أي مستخدم لم يطابق قاعدة ذات أولوية أعلى بوصول آمن للإنترنت.

الخطوة 3: تعريف تجربة المستخدم لإعادة المصادقة

يمكنك اختيار موعد مطالبة Client للمستخدمين بإعادة المصادقة. على سبيل المثال:

  • إذا كان المستخدم يحتاج فقط إلى وصول آمن للإنترنت ولا يحتاج إلى وصول منتظم إلى شبكتك الخاصة (WAN)، فلا يحتاج إلى مقاطعة بإشعارات لإعادة المصادقة.

  • إذا كان المستخدم دائمًا يحتاج إلى الوصول إلى شبكتك الخاصة (WAN)، يمكنه تلقي إشعارات لإعادة المصادقة قبل وبعد انتهاء صلاحية رمز المصادقة حتى لا يتم حظر وصوله.

إذا قمت بتكوين أي أو منخفض مستوى الثقة مع الإجراء السماح لـ WAN والإنترنت، فلن يتم مطالبة المستخدم بإعادة المصادقة بعد انتهاء صلاحية الرمز، ويتم منحه الوصول الكامل بالرمز المنتهي. لمزيد من المعلومات عن طرق المصادقة المتاحة، انظر سياسة مصادقة العميل في كاتو.

When_to_Auth.png

لتحديد متى يتم مطالبة المستخدمين بإعادة المصادقة:

  1. من قائمة التنقل، انقر الوصول > مصادقة المستخدم.

  2. انقر على علامة التبويب إعدادات إضافية.

  3. اختر متى يتم مطالبة المستخدمين بإعادة المصادقة.

    ملاحظة: يمكنك اختيار، واحدة، كلا الخيارين، أو عدم اختيار أي منهما. إذا تركت كلا الخيارين غير محددين، فلن يتلقى المستخدم أي طلبات لإعادة المصادقة.

  4. انقر فوق جديد.

مراقبة مستوى ثقة المستخدمين والوصول إلى الشبكة

يمكنك مراقبة مستوى الثقة للمستخدمين في أي وقت من صفحة الوصول > المستخدمون. يتم عرض مستوى الثقة الحالي للمستخدم في علامة تبويب نشاط مستخدمي SDPO (وقد تكون العمود مخفية).

يتم أيضًا إنشاء حدث كلما سمحت سياسة اتصال العميل للمستخدم بالاتصال. لمزيد من المعلومات، انظر سياسة اتصال العميل.

فهم تجربة المستخدم

يعرض Client مستوى الوصول المسموح للمستخدم بناءً على مدى موثوقية مصادقتهم. اعتمادًا على مستوى الوصول المسموح، يتم سرد الوصول الخاص الآمن والوصول الآمن إلى الإنترنت بعلامة تحقق أو علامة تعجب.

إذا كان لدى Client الوصول إلى كل من الشبكة الخاصة (WAN) والإنترنت

إذا كان لدى Client الوصول إلى الإنترنت فقط:

Internet_Only.jpg
Trust_Level_Client_Auth.jpg

الإعدادات المتقدمة

تمكين الأمان عبر الإنترنت عن بُعد مع المصادقة لمرة واحدة له تأثيرات على ميزات أخرى.

إعدادات DNS

يتم تجاهل DNS الداخلي لحسابك للمستخدمين الذين منحوا الوصول فقط إلى الإنترنت.

إذا كان لدى المستخدم فقط الوصول إلى الإنترنت، يتم استخدام Cato Internet DNS (10.254.254.1) كـ DNS الأساسي و8.8.8.8 كـ DNS الثانوي.

ملاحظة: تستمر تطبيق قواعد إعادة توجيه DNS افتراضيًا. يمكن تغيير هذا السلوك على أساس كل مستخدم أو كل حساب. للمزيد من المعلومات، يرجى الاتصال بالمراسلة.

وضع المكتب

يمكنك تكوين المستخدمين الذين تم تمكين Always-On لديهم ليتطلبوا المصادقة على Cato عند اتصال Client في وضع المكتب. لمزيد من المعلومات، انظر حماية المستخدمين بالأمان الدائم.

المستخدم الذي يتم تكوينه في قاعدة سياسة اتصال Client التي تسمح بالوصول إلى الإنترنت بمستوى ثقة منخفض (رمز مصادقة Cato منتهي) لا يحتاج إلى المصادقة في وضع المكتب. تجاوز تكوين سياسة اتصال Client تكوين Always-On في وضع المكتب.

ما قبل تسجيل الدخول

لا تتأثر تكوينات ما قبل تسجيل الدخول بتكوينات الأمان عبر الإنترنت عن بُعد مع المصادقة لمرة واحدة. قبل أن يصادق المستخدمون، يتم توجيه الحركة على النحو التالي:

  • يُسمح لعملاء Always-On المفعلة بالاتصال فقط بالموارد المحددة في الوجهات المسموح بها، وتُحظر حركة الإنترنت.

  • يمكن للعملاء الذين لا يملكون Always-On مفعلة الاتصال بالموارد المحددة في الوجهات المسموح بها والوصول إلى الإنترنت غير المؤمنة.

لمزيد من المعلومات حول تسجيل الدخول السابق، انظر باستخدام تسجيل الدخول المسبق لنظام Windows وعميل SDP.

التفاصيل الفنية

يتم تمكين أمان الإنترنت عن بعد بمصادقة مرة واحدة باستخدام التكوينات في سياسة الدوام وسياسة اتصال العميل.

بعد أن يصادق المستخدمون ويكون الرمز صالحًا، تمر كل حركة المرور عبر Cato PoP ويتم فحصها بواسطة محركات الأمان الخاصة بـ Cato وفقًا لسياسات الأمان الخاصة بك.

بعد انتهاء صلاحية رمز المصادقة، يمكنك السماح لحركة الإنترنت بمواصلة المرور عبر PoP Cato. يوفر هذا الوصول الآمن المستمر إلى الإنترنت حتى إذا كان المستخدم غير مصادق. للوصول الخاص الآمن، ما زال يُطلب من المستخدمين إعادة المصادقة للوصول وفقًا لسياسة جدار حماية WAN الخاص بك.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات