تكوين سياسة اتصال العميل

تناقش هذه المقالة كيفية تكوين القواعد لسياسة اتصال العميل كجزء من تنفيذ وتطبيق الوصول إلى الشبكة بدون ثقة (ZTNA) في حساب Cato الخاص بك.

لمزيد من المعلومات، انظر ما هي سياسة اتصال العميل؟.

نظرة عامة

استخدم سياسة اتصال العميل لتطبيق متطلبات سياسة ZTNA الخاصة بك والتي يقوم بها عميل Cato على الأجهزة للمستخدمين، مثل: وضعة الجهاز وفحوصات الأمن، مستوى الثقة، نظام تشغيل الجهاز، وأكثر. إذا فشل الجهاز في الامتثال للسياسة التي تم تعيينها للملف الشخصي، فلن يتمكن المستخدم من الاتصال بسحابة Cato.

على سبيل المثال، يمكنك السماح فقط للمستخدمين البعيدين بالوصول إلى الموارد الداخلية عندما يكونون متوافقين مع السياسات الفردية للجهاز. يمكن أن يعزز هذا مستوى الثقة لديك في الأجهزة المتصلة بمواردك الداخلية.

يمكنك أيضًا استخدام سياسة اتصال العميل لتوفير وصول آمن إلى الإنترنت عن بعد للمستخدمين بعد المصادقة لمرة واحدة. > لمزيد من المعلومات، انظر الأمان عبر الإنترنت عن بعد مع التحقق من الهوية لمرة واحدة.

فهم الإجراءات

تعرف الإجراء بمستوى الوصول الممنوح للمستخدم. الإجراءات هي:

  • السماح بالوصول إلى الشبكة الواسعة والإنترنت: لدى المستخدم إمكانية وصول آمنة إلى الإنترنت ويمكنه الوصول إلى الشبكة الخاصة (WAN).

    ملاحظة

    ملاحظة: توفر هذا الخيار إذنًا للمستخدم للوصول إلى الشبكة الخاصة (WAN). يعتمد وصول المستخدم إلى الشبكة الخاصة (WAN) على القواعد الموجودة في جدار الحماية للشبكة الواسعة (WAN Firewall).

  • السماح بالإنترنت فقط: يمكن للمستخدم الوصول فقط إلى الإنترنت بشكل آمن ولا يمكنه الوصول إلى الشبكة الخاصة (WAN)

    ملاحظة

    ملاحظة: توفر هذا الخيار إذنًا للمستخدم للوصول إلى الإنترنت. يعتمد وصول المستخدم إلى الإنترنت على القواعد الموجودة في جدار حماية الإنترنت (Internet Firewall).

    تتضمن هذه الإجراء أيضًا خيار إنهاء الجلسات النشطة لوحدة التواصل العريضة (WAN). يتم تطبيق هذا الخيار عندما يكون المستخدم عن بعد قد تم السماح له مسبقًا بالوصول إلى شبكة المنطقة الواسعة (WAN) بموجب قاعدة واحدة، ولكن الوضع يتغير بحيث تنطبق فقط قاعدة تسمح بالوصول إلى الإنترنت. في هذه الحالة، يمكنك اختيار ما إذا كنت ستنهي الجلسات النشطة للمستخدم البعيد في شبكة المنطقة الواسعة (WAN).

    على سبيل المثال، يتم منح مستخدم بعيد الوصول إلى شبكة المنطقة الواسعة بناءً على مستوى ثقته. إذا تغير هذا الشرط فيما بعد، مثل انتهاء صلاحية الرمز المميز، فلن يُسمح للمستخدم البعيد بعد ذلك بالوصول إلى شبكة المنطقة الواسعة. هذا الإعداد يحدد ما إذا كانت الجلسات الحالية لوحدة التواصل العريضة (WAN) سوف تُفصل. لا ينطبق هذا الخيار في وضع المكتب. 

  • حجب WAN والإنترنت: يتم حجب المستخدم عن الوصول إلى الإنترنت والـ WAN

    تُنهي الجلسات الحالية لوحدة التواصل العريضة (WAN) دائمًا بمجرد أن تطابق المستخدم قاعدة بهذا الإجراء.

المتطلبات الأساسية

تُدعم فحوصات الأجهزة للعملاء الذين يستخدمون نظامي Windows وmacOS. > لمزيد من المعلومات حول المتطلبات لكل تحقق، انظر إنشاء ملفات تعريف وضعية الجهاز والتحقق من الجهاز.

التحضير لتنفيذ سياسة اتصال العميل

الهدف من السياسة هو الوثوق فقط بالأجهزة التي تطابق السياسة. لذلك، عرّف القواعد التي تحظر جميع الأجهزة غير الموثوقة بحيث لا يُسمح لها بالاتصال بالشبكة.

قبل تمكين سياسة اتصال العميل، تأكد من أنك قررت كيفية التعامل مع المستخدمين الذين يستخدمون العملاء وأنظمة التشغيل غير المدعومة. هل ترغب في السماح لهؤلاء المستخدمين بالاتصال بحسابك؟ على سبيل المثال، المستخدمون الذين يستخدمون عملاء Linux أو عميل Windows الإصدار 4.7 وما قبله.

ميزات سياسة الاتصال المدعومة

  • إعداد الفحوصات لمجموعة متنوعة من بائعي برامج مكافحة الفيروسات والجدار الناري على نقاط النهاية، للتأكد من تثبيت البرامج ذات الصلة وتشغيلها للسماح بالوصول عن بعد مع العميل.

  • نوصي بعدم تمكين الاتصال الدائم باستخدام الفحوصات في الوقت الحقيقي، لأنه إذا فشل الجهاز في تلبية متطلبات السياسة، فقد يستقطع العميل الاتصال بالشبكة فجأة. يمكن أن يوفر هذا تجربة سيئة للمستخدم.

    يمكنك مراجعة قائمة الموردين والإصدارات المدعومة لعمليات التحقق في الوقت الحقيقي هنا.

  • سياسة الاتصال هي سياسة مرتبة، لذلك يمكنك إضافة مستخدمين إلى ملفات تعريف متعددة أو قواعد. ومع ذلك، يتم تطبيق القاعدة المطابقة الأولى على المستخدم.

سياسة اتصال العميل والسياسة الدائمة في المكتب

تناقش هذه القسم استخدام سياسة اتصال العميل عند تطبيق سياسة دائمة خلف الموقع وتتطلب من المستخدمين البعيدين التحقق من الهوية حتى عند وجودهم في المكتب. تجبر إعداد "مطالبة بالمصادقة داخل المكتب دائمًا" العميل على الامتثال لسياسة اتصال العميل قبل السماح للمستخدمين بالاتصال.

  • تذكر أن سياسة اتصال العميل ستحتاج إلى السماح لهؤلاء المستخدمين بالاتصال إما بـ WAN أو الإنترنت، حتى عند وجود الجهاز في المكتب خلف موقع.
  • إذا دخل العميل في وضع تجاوز الدائم، يتم تطبيق سياسة الجدار الناري لـ WAN والإنترنت الخاصة بالموقع على المستخدم. قد تكون هذه السياسة مختلفة عما يتم فرضه عند توصيل المستخدم عن بعد.

لمزيد من المعلومات، انظر حماية المستخدمين بالأمان الدائم.

تكوين سياسة اتصال العميل وإعداداتها

تشرح هذه القسم كيفية إنشاء سياسة اتصال العميل وإضافة ملف تعريف أو أكثر إلى كل قاعدة.

إنشاء سياسة اتصال العميل

سياسة اتصال العميل هي قاعدة منظمة، وكل قاعدة تحدد نطاق المستخدمين الذين تنطبق عليهم، بما في ذلك: تحديد الموقع الجغرافي (الدول)، ونظام تشغيل الجهاز. عندما يطابق المستخدمون أو المجموعات القاعدة، يقوم Cato Cloud بإدارة الاتصال كما يلي:

  • عند تحقيق متطلبات ملف تعريف الجهاز لقاعدة معينة، يُسمح لها بالاتصال بحسابك.
  • عندما لا تستوفي متطلبات ملف تعريف الجهاز لقاعدة معينة، يستمر سحابة كاتو في فحص الوضع وفقًا للقواعد ذات الأولوية الأدنى في السياسة.
  • الجهاز لأي مستخدم أو مجموعة لا تتطابق مع أي قاعدة يتم حظره بواسطة القاعدة النهائية الضمنية للسياسة (أي حظر).

لإنشاء القواعد لسياسة اتصال العميل:

  1. من قائمة التنقل، انقر فوق الوصول > سياسة اتصال العميل.

  2. انقر على جديد.

    تُفتح لوحة قاعدة جديدة.

  3. اضبط نطاق القاعدة:
    1. حدّد المستخدمين/المجموعات، مستوى الثقة، المنصات، نطاق IP لمزود الخدمة العام، و البلدان لهذه القاعدة.

  4. قم بتوسيع قسم ملفات تسجيل وضعية الجهاز، واختر الملفات لهذه القاعدة.

    إذا تم تضمين ملفات تعريف متعددة في قاعدة سياسة واحدة، فهناك OR ضمني بينها.

    ملاحظة: اختيار أي ملف تعريف وضعة الجهاز يعني عدم تضمين أي ملفات تعريف وضعة الجهاز في القاعدة.

  5. اختر الإجراء للقاعدة. لمزيد من المعلومات حول الإجراءات المتاحة، انظر الأمان عبر الإنترنت عن بعد مع التحقق من الهوية لمرة واحدة.
  6. انقر فوق تطبيق.
  7. كرر الخطوات من 2-5 لكل قاعدة في سياسة اتصال العميل.

  8. قم بتمكين سياسة اتصال العميل ثم انقر على حفظ.

    يكون شريط التمرير toggle.png باللون الأخضر عند تفعيل القاعدة، وباللون الرمادي عند تعطيلها.

عينة من سياسة اتصال العميل

تعرض هذه القسم مثالاً على سياسة اتصال العميل وكيفية تطبيق القواعد.

ClientConnectivity Policy.png

  1. نطاق القاعدة 1 هو مجموعات البحث والتطوير لأفريقيا وأوروبا مع الأجهزة التي تعمل بنظام Windows.

    • عندما يحاول هؤلاء المستخدمون الاتصال بسحابة Cato، يُسمح لهم بالاتصال فقط إذا استوفوا متطلبات ملف تعريف RnD لأفريقيا أو ملف تعريف RnD لأوروبا.

      خلاف ذلك، يتحقق النظام من المستخدم والجهاز للقاعدة 2.

  2. نطاق القاعدة 2 هو مجموعات البحث والتطوير لأفريقيا وأوروبا مع الأجهزة التي تعمل بنظام Windows والتي لم تستوفِ متطلبات ملف تعريف وضعة الجهاز في القاعدة 1.

    • عندما يحاول هؤلاء المستخدمون الاتصال بسحابة كاتو، يتطابقون مع ملف تعريف وضع الجهاز وأي، ويتم حظرهم. لا يمكنهم الاتصال بسحابة كاتو.
    • القاعدة 2 لا تنطبق على المستخدمين الذين ليسوا أعضاء في مجموعات RnD لأفريقيا وأوروبا، ويستمر هؤلاء المستخدمون مع القاعدة 3.

  3. نطاق القاعدة 3 هو أي مستخدم أو مجموعة مستخدمين الذين لديهم أجهزة تعمل بنظام Windows.

    عندما يحاول المستخدمون الاتصال بسحابة Cato، يُسمح لهم فقط بالاتصال بالإنترنت وليس بالشبكة الواسعة (WAN) إذا استوفوا متطلبات ملف تعريف العينة.

    خلاف ذلك، يتم حظر المستخدمين بواسطة القاعدة الضمنية النهائية لحظر (ANY ANY Block).

تجربة المستخدم مع وضعة الجهاز

عندما تطابق الأجهزة الفحوصات الأمنية، يمكنها الاتصال بسحابة Cato، وتجربة المستخدم هي أن العميل يظهر أنه متصل. هذه هي نفس تجربة المستخدم عندما لا توجد سياسة وضعة الجهاز للحساب.

عندما يفشل الجهاز في مطابقة الفحص الأمني، لا يتصل العميل بسحابة Cato، ويعرض العميل رسالة خطأ للمستخدم. إذا فشل الجهاز في التحقق الدوري بعد اتصال العميل، ينقطع اتصال العميل وتظهر نفس رسالة الخطأ.

هذا مثال على رسالة الخطأ:

DevicePosture_ClientError.png

انقر على التفاصيل لعرض المتطلبات المحددة التي لا يفي بها الجهاز. يتم أيضًا توليد حدث يوضح نفس التفاصيل.

تجربة المستخدم مع إصدارات العميل غير المدعومة

عند إنشاء سياسة اتصال العميل لنظام التشغيل، نوصي بشدة بأن تتأكد من أن جميع العملاء المثبتين على جميع الأجهزة تم ترقيتهم إلى الحد الأدنى للنسخة المدعومة للعميل. بالنسبة للقواعد التي لا تسمح بالوصول للإصدارات الأقدم (غير المدعومة) من العميل، هذه هي تجربة المستخدم النهائي:

  • نظام ويندوز - لا تُعرض أي رسالة للمستخدم، والعميل يواصل محاولة الاتصال بالنفق المشفر.
  • macOS، iOS، Android، وLinux - يتم عرض رسالة للمستخدم تقول إن هذا الجهاز محظور من الشبكة (على سبيل المثال، ممنوع الاتصال من هذا نظام التشغيل).

فهم الأحداث لسياسة اتصال العميل

تولد تطبيق إدارة Cato أنواع الأحداث المتعلقة بسياسة اتصال العميل:

  • عندما يلتزم المستخدمون أو مجموعات المستخدمين بمتطلبات قاعدة في سياسة اتصال العميل، ويُسمح لهم بالاتصال بالشبكة.
  • كلما تم حظر المستخدمين أو مجموعات المستخدمين من الاتصال بالشبكة لأنهم لا يوفون بمتطلبات سياسة اتصال العميل.

يوضح الجدول التالي بعض الحقول الحدثية من حدث إجراء السماح:

حقل توضيح
ملف تعريف وضع الجهاز اسم ملف تعريف وضع الجهاز الذي يلتزم به الجهاز.
قاعدة اسم قاعدة سياسة اتصال العميل التي سُمحت للجهاز بالاتصال بها.
طريقة التحقق من الهوية طريقة التحقق من الهوية التي استخدمها المستخدم للتحقق من هوية العميل.

يوضح الجدول التالي الأحداث المختلفة للاتصال مع إجراء الحظر والسبب في حظر الاتصال.

 

نوع الحدث الفرعي

السبب وراء الحجب

وصف رسالة الحدث

سياسة اتصال العميل

الجهاز يفشل في اجتياز فحص الجهاز.

يعرض تفاصيل برنامج مكافحة الفيروسات أو الجدار الناري المثبت على الجهاز، وما هو المطلوب لفحص الجهاز.

سياسة اتصال العميل

العميل غير مدعوم

الجهاز يتصل باستخدام نظام تشغيل أو إصدار غير مدعوم، ولا تسمح القاعدة المطابقة للعميل غير المدعوم بالاتصال.

سياسة اتصال العميل

الجهاز يفشل في المطابقة مع أي قاعدة.

الجهاز لم يتطابق مع نطاق أي قاعدة في سياسة اتصال العميل. لذلك، تم حجب الاتصال بواسطة القاعدة النهائية الضمنية.

هل كان هذا المقال مفيداً؟

4 من 5 وجدوا هذا مفيداً

لا توجد تعليقات