تنفيذ وصول تكيفي بواسطة كاتو

الملخص التنفيذي

تعمل المؤسسات الحديثة في بيئات يكون فيها المستخدمون والأجهزة والتطبيقات موزعين بشكل كبير، ويجب أن تتكيف قرارات الوصول بشكل مستمر مع تغيير الظروف الأمنية. المصادقة الثابتة في اللحظة الحالية غير كافية لحماية ضد التهديدات المتطورة مثل خرق الاعتمادات، وسوء تكوين الأجهزة، والمخاطر الناجمة عن المستخدمين.

الوصول التكيفي هو نهج معماري يمكّن القرارات الديناميكية للوصول استنادًا إلى الإشارات السياقية التي يتم تقييمها بشكل مستمر، بما في ذلك:

  • درجة المخاطرة للمستخدم
  • وضعية الجهاز
  • ثقة المصادقة
  • الشبكة والموقع
  • سياق التطبيق والموارد
  • سلامة الجلسة
  • السياق التهديدي

داخل منصة كاتو SASE، يتم تنفيذ قدرات الوصول المتكيف عبر طائرات تحكم متعددة وتفرض في نقطة الوجود. تُطبّق الوصول التكيفي عبر مجموعة من طرق الوصول، مما يضمن أن الضوابط المستندة إلى السياق يتم تنفيذها باستمرار بواسطة السياسات المناسبة لـCato. يتيح هذا التنفيذ المتسق والمدرك للهوية والمدرك للسياق للاتصال والوصول إلى التطبيقات وحركة مرور الشبكة دون الاعتماد على الافتراضات الثابتة للثقة.

من خلال دمج تقييم الإشارات المستمرة مع تطبيق السياسات، يمكن للمنظمات تقليل التعرض للمستخدمين والأجهزة المخترقة، تطبيق الوصول المبني على الأقل امتيازاً، وبدء مصادقة مضافة عندما تكون هناك حاجة إلى ضمان أفضل. في نفس الوقت، يوفر المديرون رؤية إلى مخاطر المستخدم، امتثال الجهاز، وحالة الجلسة، مما يمكنهم من اتخاذ قرارات تشغيلية وأمنية مستنيرة.

سياق الأعمال والدوافع

تحتاج المنظمات إلى وصول متكيف لاستبدال الثقة الثابتة بقرارات معتمدة على السياق عبر المستخدمين، الأجهزة، والجلسات. يمكن أن تتغير شروط الثقة بعد تسجيل الدخول، ويجب أن تستجيب السيطرة على الوصول لهذه التغييرات.

المصادقة الأولية وموقع الشبكة غير كافيين ضد سرقة الاعتماد، نقاط النهاية غير المدارة، وظروف التهديد المتغيرة بسرعة.

ينفذ كاتو الوصول التكيفي من خلال أربعة أركان:

  • بناء الثقة بإشارات قوية: يعتمد الوصول التكيفي على إشارات محدثة، موثوقة، ومتجددة باستمرار. تشكل هذه الإشارات الأساس لقرارات السياسات خلال إنشاء الجلسة وفي كافة مراحل حياة الجلسة.
  • الثقة الموحدة من خلال تجميع الإشارات: يتم تنسيق الإشارات في نقطة الوجود لتعكس حالة الجلسة الحالية. يتم تقييم سمات الهوية، نتائج الوضعية، والمؤشرات السلوكية معًا لكل طلب.
  • فرض الثقة عبر طائرات التحكم: تطبق السياسات عبر الاتصال، الوصول إلى التطبيقات، وحركة الشبكة. يتم تطبيق نفس السياق باستمرار على اتصال العميل، ZTNA، وقرارات الجدار الناري.
  • الرؤية الثقة للتحليل والاستجابة: يوفر تطبيق إدارة كاتو رؤية مركزية لقرارات السياسات والإشارات الكامنة وراءها. تساعد وحدة التحكم المؤتمنة مسؤولين للتحقيق في الجلسات، التحقق من نتائجها، وتطبيق تغييرات السياسات باستمرار عبر الطائرات التحكمية.

يمكّن هذا النهج التطبيق المستمر الواعي بالمخاطر المتوافق مع صفر ثقة، دون الاعتماد على افتراضات الثقة الثابتة.

حالات الاستخدام العامة

تدعم قدرات الوصول التكيفي في منصة كاتو السيناريوهات التي تتطلب تغيُّر قرارات الوصول عندما تتغير ظروف المستخدم، الجهاز، أو الجلسة.

  • الوصول القائم على المخاطر إلى التطبيقات الخاصة: التحكم في الوصول إلى التطبيقات الداخلية بناءً على الحالة الحالية لجلسة المستخدم والجهاز.

    • مثال: يُسمح للمستخدم بالوصول إلى تطبيق الموارد البشرية الداخلية عندما تمرر الجهاز فحوصات الوضعية وتظل درجة مخاطر المستخدم ضمن النطاق المقبول. يمكن حظر نفس المستخدم من ذلك التطبيق في وسط الجلسة إذا زادت درجة المخاطر. على سبيل المثال، يقومون بتنزيل البرامج الضارة أو الاتصال بنطاق معروف للقيادة والسيطرة.

  • التحكم في الاتصال الواعي بالجهاز: التأكد من أن الأجهزة الممتثلة والآمنة فقط يمكنها إنشاء اتصال مع سحابة كاتو.

    • مثال: يُسمح لجهاز كمبيوتر محمول مؤسسي مُدار مع وكيل حماية نقطتي النهاية المطلوبة بالاتصال بسحابة كاتو. يمكن حظر نفس الجهاز إذا لم يكن تشغيل حماية نقطتي النهاية بأحدث إصدار.

  • المصادقة التزايدية للوصول الحساس: طلب إعادة المصادقة عند وصول المستخدمين إلى الموارد الحساسة أو عندما يكون ضمان الجلسة غير كافٍ.

    • مثال: يُسمح للمستخدم بتصفح الموارد الداخلية القياسية باستخدام الجلسة الحالية. عندما يحاول المستخدم فتح تطبيق مالي حساس، يمكن للسياسة أن تطلب إعادة المصادقة قبل السماح بالوصول.

  • الوصول عن بُعد المتحكم للمستخدمين: تحديد المستخدمين المسموح لهم بالاتصال عن بُعد وتقييد الآخرين بالوصول فقط من المكتب.

    • مثال: يُسمح للموظفين في مجموعات المستخدمين المعتمدة بالوصول عن بُعد إلى التطبيقات الخاصة من خلال تطبيق كاتو. يمنع المستخدمون الذين يقتصر وصولهم على المكتب فقط عند محاولة الاتصال عن بُعد.

  • الرؤية التشغيلية للمديرين: توفير عرض للجلسات القرارات المتعلقة بالوصول لدعم استكشاف المشكلات والتحقق من السياسة.

    • مثال: يمكن للمديرين مراجعة سبب السماح للمستخدم أو حظره أو تحديه بفحص نشاط المستخدم والأحداث في تطبيق إدارة كاتو. على سبيل المثال، تتيح صفحة دليل المستخدمين تصفية المستخدمين حسب مستوى المخاطر (مثل عالٍ أو حرج)، وتحديد المستخدمين الذين يتطلبون التحقيق بسرعة.

الإشارات السياقية

تعتمد قرارات الوصول التكيفي على إشارات سياقية تصف الحالة الحالية للمستخدم، الجهاز، والجلسة. تُقَيّم هذه الإشارات باستمرار وتُستخدم بموجب سياسات تطبيق إدارة كاتو لتحديد ما إذا كان ينبغي السماح بالوصول أو تقييده أو تحديه.

  • درجة المخاطر الخاصة بالمستخدم: تمثل الخطر الأمني الحالي لجلسة المستخدم. يتم تحديث الدرجة باستمرار بناءً على النشاط السلوكي والكشف عن الأمان، بما في ذلك:

    • مؤشرات الأنظمة التي سبق اختراقها
    • مؤشرات محاولات محظورة قد تؤدي إلى إصابة
    • انتهاكات السياسات أو الأنشطة الخطرة التي قد تؤدي إلى اختراق

  • وضعية الجهاز: تمثل الحالة الأمنية لنقطة النهاية. في تطبيق إدارة كاتو، تُعرّف الوضعية باستخدام ملفات تعريف وضعية الجهاز وفحوصات الأجهزة. يفرض تطبيق كاتو هذه الفحوصات على الجهاز قبل وخلال الوصول، ويمكن الرجوع إلى حالة الوضعية الناتجة عبر سياسات متعددة تتطلب امتثال الجهاز.

    • تقيّم فحوصات الأجهزة شروطًا معينة على نقطة النهاية (على سبيل المثال، حالة حماية نقطتي النهاية، إصدار نظام التشغيل، الشهادات، أو التكوين).
    • تجمع ملفات تعريف وضعية الجهاز واحدة أو أكثر من الفحوصات في ملفات تعريف قابلة لإعادة الاستخدام تمثل خط أساس أمنيًا مطلوبًا.
  • امتثال MDM الخارجي: يوسع وضعية الجهاز بإشارات من أنظمة خارجية مثل Microsoft Intune. هذه الإشارات تشير إلى ما إذا كان الجهاز يلتزم بسياسات المنظمة، مثل التشفير أو مستوى الرقعة.
  • ثقة المصادقة: تمثل حداثة وصلاحية رمز مصادقة المستخدم. يُشتق من رمز كاتو ويشير إلى ما إذا كانت الجلسة لا تزال تلبي مستوى الضمان المطلوب للمصادقة.

يتم تقييم هذه الإشارات في نقطة الوجود وتوفيرها لمحرك السياسة، مما يمكن من قرارات الوصول المستمرة الواعية بالمخاطر خلال دورة حياة الجلسة.

التدفق المروري والتحكم

يتم تنفيذ الوصول التكيفي في نقطة كاتو، حيث يتم تقييم إشارات الهوية، الجهاز، والجلسة أثناء إنشاء الجلسة والنشاط المستمر.

adaptive_access_diagram.png
  1. المصادقة على المستخدم وإنشاء الجلسة: يتصل المستخدم بأقرب نقطة كاتو، والتي تحول طلب المصادقة إلى مزود الهوية المُكوّن. بعد المصادقة الناجحة، تقوم نقطة الوجود بإنشاء الجلسة واسترداد هوية المستخدم وسمات المجموعة.
  2. تقييم السياسة الأولية: عند إنشاء الجلسة، تقوم نقطة الوجود بتقييم الإشارات السياقية ذات الصلة مقابل السياسات المُكوّنة. يؤسس هذا القرار الأولي للوصول لجلسة المستخدم ويحدد ما إذا كان يمكن للمستخدم الاتصال.
  3. الوصول إلى تطبيق: عندما يحاول المستخدم الوصول إلى تطبيق، تقيم نقطة الوجود شروط السياسة ذات الصلة لذلك الطلب.
  4. المصادقة التزايدية: إذا تطلبت السياسة مصادقة أقوى، تعيد نقطة الوجود توجيه المستخدم إلى مزود الهوية المُكوّن. بعد إعادة المصادقة بنجاح، تستمر الجلسة مع مستوى الضمان المطلوب.
  5. التنفيذ المستمر: بعد منح الوصول، تواصل نقطة الوجود تقييم شروط الجلسة. إذا زاد الخطر، فشلت الوضعية، أو لم تعد ضمانات المصادقة كافية، يمكن للسياسة حجب الوصول أو مطالبة المستخدم بالمصادقة مرة أخرى.

سياسات كاتو للوصول التكيفي

يتم تنفيذ الوصول التكيفي في منصة كاتو من خلال سياسات متعددة لتطبيق إدارة كاتو التي تفرض قرارات الوصول عبر الاتصال والوصول إلى التطبيقات وحركة الشبكة. تقيّم كل سياسة الإشارات السياقية وتطبق الضوابط في مراحل مختلفة من جلسة المستخدم.

سياسة اتصال العميل

تتحكم سياسة اتصال العميل فيما إذا كان يُسمح لجهاز المستخدم بإقامة اتصال بسحابة كاتو. تفرض هذه السياسة مبادئ الثقة الصفرية عند نقطة الاتصال من خلال التحقق من صحة الجهاز والجلسة قبل منح الوصول.

يستخدم المديرون هذه السياسة لمنع الأجهزة غير المدارة أو غير الممتثلة من الاتصال وفرض متطلبات المصادقة قبل إنشاء الجلسة.

سياسة الوصول الخاص

تسمح لك كاتو Private Access بتوفير الوصول الآمن المعتمد على الهوية إلى التطبيقات الخاصة دون توسيع شبكتك إلى المستخدمين. بدلاً من منح الاتصال المباشر على مستوى الشبكة مثل VPN التقليدي، تفرض وصولًا خاصًا بالأقل امتيازًا قائمًا على هوية المستخدم والسياق.

تتحكم سياسة الوصول الخاص في الوصول إلى التطبيقات الخاصة وتُفرض الوصول الأقل امتيازًا للسماح فقط للمستخدمين بالاتصال بالتطبيقات الخاصة التي يستخدمونها بشكل خاص.

سياسة دائما متصلة

تتيح سياسة دائما متصلة للمسؤولين تحديد المستخدمين والأجهزة التي يجب أن تبقى متصلة بسحابة كاتو دائمًا حتى يتم فحص حركة المرور دائمًا بواسطة السياسات الأمنية وتُطبق عليها الضوابط بشكل مستمر. هذه سياسة دقيقة تدعم متطلبات الاتصال المختلفة لمجموعات المستخدمين المختلفة. على سبيل المثال، يمكن أن يُطلب من الموظفين أو الأجهزة المدارة البقاء متصلة، بينما يمكن السماح للمقاولين أو الأجهزة غير المدارة باتصال حسب الطلب أو الوصول المباشر إلى الإنترنت.

تُمكن سياسة دائما متصلة المنظمات من توظيف فرض الاتصال المتوافق مع المخاطر والثقة. يمكن أن تتطلب السيناريوهات ذات الثقة العالية أو المخاطر العالية فحصاً مستمراً، في حين أن السيناريوهات ذات المخاطر المنخفضة يمكن أن تسمح باتصال أكثر مرونة دون المساس بوضع الأمان العام.

السياسات الأمنية

تدعم السياسات الأمنية التالية أيضًا إشارات السياق لتطبيق نفس الضوابط في مراحل مختلفة من جلسة المستخدم:

  • الجدار الناري للإنترنت وWAN
  • التحكم في التطبيقات (CASB) وDLP

دعم السياسة لإشارات الوصول التكيفي

يلخص الجدول التالي الإشارات السياقية المدعومة من كل سياسة كاتو التي نوقشت في الأقسام السابقة. يمثل كل صف سياسة، ويمثل كل عمود إشارة سياقية. يوفر هذا الجدول مرجعًا سريعًا حيث يتم تطبيق إشارات الوصول التكيفي عبر منصة كاتو.

اسم السياسة درجة خطورة المستخدم وضعية الجهاز الامتثال الخارجي ثقة المصادقة
سياسة اتصال العميل لا نعم نعم نعم
سياسة الوصول الخاص (ZTNA) نعم نعم نعم لا
سياسة دائما متصلة لا نعم نعم لا
سياسة الجدار الناري للإنترنت نعم نعم نعم نعم
سياسة الجدار الناري لWAN نعم نعم نعم لا
السياسة التحكم في التطبيقات & وحماية البيانات DLP لا نعم نعم لا

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات