حماية المستخدمين بالأمان المستمر

تتناول هذه المقالة كيفية تكوين سياسة "دائمًا شغّال" لزيادة أمان الإنترنت للمستخدمين في حسابك.

نظرة عامة

تعزز سياسة "دائمًا شغّال" أمان الإنترنت من خلال تحديد القواعد عندما يتصل المستخدمون أو مجموعات المستخدمين دائمًا بسحابة Cato. هذا يضمن أن كل حركة مرور تمر عبر PoP وتقوم محركات الأمان في Cato بفحص حركة المرور لضمان توافقها مع سياسات الأمان الخاصة بك.

حالة استخدام - تخصيص سياسة دائمًا-قيد التشغيل للموظفين والجهات الخارجية المتعاقدة

يستخدم شبكة شركة ABC موظفوها الذين لديهم وصول إلى الموارد المؤسسية ومتعاقدو الطرف الثالث الذين لا يمكنهم الوصول إلى الموارد المؤسسية. ينشئون قاعدة لتمكين "دائمًا شغّال" لموظفيهم بينما يتمكن متعاقدو الطرف الثالث من الوصول المباشر إلى الإنترنت. هذا يضمن أن كل حركة المرور من موظفي الشركة تمر عبر سحابة Cato وتحميها سياسات الأمان.

العمل مع سياسة دائمًا-قيد التشغيل المرتبة

سياسة "دائمًا شغّال" هي قاعدة مرتبة. تُطبق القواعد في سياستك على المستخدم أو المجموعة كالتالي:

  • عندما يلتقون بقاعدة، يتبع العميل التكوين المحدد في القاعدة

  • إذا لم يستوفوا أي قواعد، يمكنهم قطع الاتصال عن الشبكة

المتطلبات الأساسية لسياسة دائمًا-قيد التشغيل

  • لا يتم دعم "دائمًا شغّال" للعملاء Linux

  • يتم دعم "دائمًا شغّال" مع مصادقة SSO للإصدارات التالية وما بعدها:

    • عميل Windows v5.3

    • عميل macOS v5.0

    • عميل iOS v5.0

    • عميل Android v5.0

توفير الوصول إلى الإنترنت مع سياسة دائمًا-قيد التشغيل

مع تمكين سياسة دائمًا-قيد التشغيل، لا يزال بإمكانك توفير وصول مباشر إلى الإنترنت للمستخدمين من خلال:

  • باستخدام طريقة تجاوز مؤقتة

  • إنشاء قاعدة بحالة اتصال عند الطلب

  • السماح بوصول الإنترنت في وضع الاستعادة

تجاوز مؤقت للوصول إلى الإنترنت المؤمَّن

يمكن أن تكون هناك بعض الحالات التي يحتاج فيها المستخدمون إلى تجاوز سحابة Cato مؤقتًا والوصول إلى الإنترنت مباشرة. على سبيل المثال، للوصول مؤقتًا إلى موقع ويب يتم حظره بواسطة قاعدة جدار الحماية على الإنترنت. لكل قاعدة، يمكنك تكوين كيفية تجاوز المستخدمين مؤقتًا شبكة كاتو السحابية.

في Windows v5.9 وما بعده، يمكنك أيضًا تكوين المدة التي يمكن فيها للمستخدمين تجاوز سحابة Cato. خلال هذه الفترة، لا يتدفق حركة المرور عبر سحابة Cato ويكون غير مؤمن.

عند فصل العميل مؤقتًا، يتم إنشاء أحداث تعرض تفاصيل المستخدم والمدة الزمنية التي كان العميل مفصولًا فيها. لعرض هذه الأحداث، في صفحة الأحداث قم بتطبيق فلتر لنوع الفرعي VPN Never-Off Bypass. يعرض طريقة التجاوز في الحدث الطريقة المستخدمة لتجاوز العميل. لمعرفة المزيد عن الأحداث في حسابك، انظر تحليل الأحداث في شبكتك.

يمكن للمستخدمين تجاوز سحابة Cato مؤقتًا باستخدام أحد الخيارات التالية:

  • التجاوز المُتحكم به من قبل المشرف مع رمز التجاوز

  • التجاوز المُتحكم به من قبل المستخدم

تجاوز تحكم مشرف بكود تجاوز

ملاحظة

ملاحظة: مدعوم على نظام ويندوز، أندرويد، آي أو إس، ونسخة عميل macOS v5.4 وما فوق

استخدم هذا الخيار لتوليد كلمة مرور لمرة واحدة (OTP) في تطبيق إدارة Cato الذي يمكنك منحه لأي مستخدم والسماح لهم بفصل العميل مؤقتًا. في إصدارات العميل Windows الأقل من 5.9 وأنظمة التشغيل الأخرى المدعومة، يتم تجاوز العميل لمدة تصل إلى 15 دقيقة في المرة الواحدة. يمكن أن يكون كل رمز صالحًا لمدة تصل إلى 15 دقيقة.

بالإضافة إلى ذلك، يمكنك استخدام تطبيق مصادقة (مثل Google Authenticator) لمسح رمز QR في هذه الشاشة. ثم يمكنك دائمًا الحصول على OTP للمستخدمين من تطبيق المصادقة. يقوم تطبيق المصادقة بتحديث الرمز كل 30 ثانية، لذا يكون كل رمز صالحًا فقط لمدة 30 ثانية.

يمكنك استخدام نفس رمز التجاوز لأكثر من مستخدم، طالما أن الرمز لا يزال صالحًا.

تجاوز تحكم المستخدم

ملاحظة

ملاحظة: مدعومة من:

  • Windows Client v5.9 وما بعدها

  • macOS Client v5.5 وما بعدها

تتيح هذه الخيار للمستخدمين فصل العميل مؤقتًا عند الطلب. في العميل، يجب على المستخدم تقديم سبب لفصل العميل في حقل نصي حر. ومن ثم يمكن الوصول مباشرةً إلى الإنترنت على الفور. يتم تضمين هذا السبب في الحدث.

يسمح للعميل بالانفصال لمدة الفترة الزمنية التي تم تكوينها في مدة الانفصال.

حالة استخدام - الوصول المسبق المعتمد للإنترنت لفرق معينة

فريق الهندسة في شركة البيع بالتجزئة مسؤول عن ضمان كون موقعهم الإلكتروني متاح بنسبة 100% لاستقبال الطلبات عبر الإنترنت. هذا يعني أنهم بحاجة دائمًا للوصول إلى تطبيق SaaS عبر الإنترنت المطلوب لتسهيل إصلاح المشكلات. يتطلب الوصول إلى التطبيق خارج أوقات العمل وعند العمل عن بُعد. تنص سياسة الأمان الخاصة بالشركة على أنه يجب تأمين كل الوصول إلى الإنترنت.

للالتزام بسياسة الأمان، يقوم قسم تكنولوجيا المعلومات بتمكين الاتصال الدائم Always-On. كإجراء احترازي لتجنب حالة حيث لا يمكن العميل الاتصال بسحابة كاتو أثناء انقطاع محتمل، تزود فريق تقنية المعلومات المهندسين بطريقة للوصول الفوري إلى الإنترنت. أنشأت فريق تقنية المعلومات قاعدة في سياسة دائمًا-قيد التشغيل لمجموعة مستخدم المهندسين، حيث يتم تكوين وضع التجاوز للسماح للمستخدمين بفصل الاتصال مؤقتًا عند الطلب.

إذا كان المهندس بحاجة إلى إصلاح مشكلات الموقع الإلكتروني في منتصف الليل، يمكن لفريق تقنية المعلومات التأكد من أنه يمكنه الوصول إلى تطبيق SaaS للإصلاح حتى إذا كان هناك مشكلة في العميل. لا يحتاج المهندس إلى انتظار موافقة تقنية المعلومات لتجاوز سحابة Cato والبدء في إصلاح مشكلات الموقع الإلكتروني.

إنشاء قاعدة مع حالة متصلة عند الطلب

إذا كان هناك مستخدمون يحتاجون بانتظام إلى الوصول المباشر إلى الإنترنت، يمكنك إضافتهم إلى قاعدة بحالة الاتصال عند الطلب. تتيح هذه التكوين للمستخدمين توصيل أو قطع اتصال العميل حسب الحاجة.

وضع استرداد العميل

ملاحظة

ملاحظة: مدعومة من:

  • Windows Client v5.9 وما بعدها

  • macOS Client v5.5 وما بعدها

يمكنك أيضًا اختيار سلوك العميل في حالة عدم التمكن من إنشاء اتصال بسحابة Cato. يمكن تكوين العميل ل:

  • السماح بالوصول إلى الإنترنت (الإعداد الافتراضي): يمكن للمستخدمين الوصول إلى الإنترنت. لا تتدفق حركة المرور عبر سحابة Cato وتكون غير مؤمنة حتى يتم إنشاء اتصال بسحابة Cato.

  • تقييد الوصول إلى الإنترنت: لا يمكن للمستخدمين الوصول إلى الإنترنت حتى يتم إنشاء اتصال بسحابة كاتو وإنترنت مؤمن.

حالة استخدام - الاتصال بالإنترنت أثناء السفر

قامت شركة ABC بتمكين "دائمًا شغّال" لجميع المستخدمين. غالبًا ما يسافر مديروهم التنفيذيون ويتصلون بالإنترنت من المطارات والفنادق. في بعض الأحيان لا يكتشف العميل البوابة المقيدة ولا يمكنه إنشاء نفق مشفر. لضمان استمرار عمل الفريق التنفيذي عند سفرهم، يقوم فريق تكنولوجيا المعلومات بتكوين وضع الاسترداد في قاعدة الاتصال الدائم لمجموعة المستخدمين التنفيذيين للسماح بالوصول إلى الإنترنت.

إذا لم يكتشف العميل بوابة مقيدة، يمكن للمستخدمين في الإدارة العليا مواصلة العمل، لأن العميل يسمح بالوصول إلى الإنترنت حسب سياسة "دائمًا شغّال". بمجرد أن يعيد العميل إنشاء النفق، يتدفق المرور عبر سحابة كاتو كما هو متوقع.

التحضير لتطبيق سياسة دائمًا-قيد التشغيل

قبل تمكين سياستك "دائمًا شغّال"، فكّر في كيفية تفاعل "دائمًا شغّال" مع الميزات الأخرى وإصدارات العميل في بيئتك. يوفر هذا القسم توصيات حول كيفية استخدام SSO واتصال العميل ومصادقة الجهاز وWindows Client مع سياستك "دائمًا شغّال".

العمل مع سياسة دائمًا-قيد التشغيل وSSO

بالنسبة للحسابات التي تستخدم مصادقة تسجيل الدخول الأحادي للمستخدمين، يمكنك أيضًا تكوين العملاء المدعومين للبقاء دائمًا متصلين بسحابة Cato (دائمًا شغّال). يوفر هذا التكوين للمستخدمين بساطة SSO وأمان "دائمًا شغّال". يتمكن العميل من الوصول إلى موفر IdP وتتم الوصول إلى الموارد الأخرى وفقًا لسياسة الأمان الخاصة بك.

ملاحظة

ملاحظة: لمساعدة المستخدمين الذين لا يمكنهم المصادقة على العميل، نوصي بتمكين طريقة لتجاوز شبكة كاتو السحابية ومراجعة أحداث التجاوز. وإلا، لا يمكن للجهاز غير المصدق الاتصال بالإنترنت أو سحابة Cato).

تطبيق سياسة دائمًا-قيد التشغيل وSSO

تحتوي هذه القسم على أفضل الممارسات والتوصيات لتطبيق دائم التشغيل مع SSO في حسابك.

  • ابدأ بتمكين دائم التشغيل وSSO لعدد صغير من المستخدمين لتقليل التأثير على حسابك

  • راجع أحداث التجاوز، لمراقبة استخدام رموز التجاوز في مؤسستك

  • نظرًا لأن المستخدمين غير المصدقين ليس لديهم اتصال بالإنترنت، تأكد من أن المستخدمين يمكنهم تسجيل الدخول إلى الجهاز دون الاعتماد على الإنترنت

  • تأكد من أن جميع العملاء محدثون إلى الحد الأدنى المدعوم من الإصدار للنظام التشغيلي ذو الصلة. إذا تم استخدام عميل لإصدار غير مدعوم، لا يمكن للعميل إعادة التحقق ويتم حظر الحركة إلى الإنترنت.

  • لعمليات النشر التي تستخدم بروكسي طرف ثالث، يتم دعم مصادقة المتصفح فقط من داخل العميل للاتصال الدائم وSSO (للمزيد عن مصادقة المتصفح، انظر تكوين سياسة المصادقة لعملاء كاتو)

استخدام سياسة اتصال العميل ومصادقة الجهاز مع دائمًا-قيد التشغيل

سياسة اتصال العميل و إعدادات مصادقة الأجهزة تطبق أوضاع الجهاز والفحوصات التي تتم على الأجهزة للمستخدمين. إذا فشل الجهاز في الامتثال للسياسة التي تم إعدادها للملف الشخصي، فلن يتمكن المستخدم من الاتصال بـCato Cloud. تحتل سياسة اتصال العميل وإعدادات مصادقة الجهاز الأولوية على سياسة دائم التشغيل.

تثبيت عملاء الويندوز ودائمًا-قيد التشغيل

بالنسبة لفرق تكنولوجيا المعلومات، تقديم أو شحن أجهزة جديدة تمامًا للمستخدمين حول العالم، يمكننا توفير أمان دائم التشغيل خارج الصندوق.

بدءًا من عميل الويندوز v5.6، يمكنك تحسين أمن الإنترنت حتى قبل أن يصادق المستخدم على كاتو. سياسة دائم التشغيل متاحة بشكل جاهز، ويتم السماح بالوصول إلى الإنترنت فقط بعد أن يتحقق المستخدم من حسابك في Cato.

لتفعيل هذه الميزة، قم فقط بإضافة مفتاح السجل إلى جهاز Windows لتمكين دائم التشغيل. بمجرد إضافة المستخدم إلى العميل، تنطبق إعدادات دائم التشغيل المحددة في تطبيق إدارة Cato على هذا المستخدم.

للحسابات التي تستخدم ميزة تسجيل الدخول المسبق، يُسمح للجهاز بالوصول فقط إلى الوجهات المسموح بها قبل إضافة المستخدم إلى العميل. يتم حظر جميع عمليات وصول أخرى للإنترنت.

نوصي أيضًا بإضافة مفتاح التسجيل الذي يُشغل العميل عند بدء التشغيل. للمزيد من المعلومات، انظر تثبيت عميل كاتو

ملاحظة

ملاحظة: قبل إضافة المستخدمين إلى العميل، لا يمكن تجاوز Cato Cloud.

لتكوين سجل Windows لتطبيق دائم التشغيل:

  1. اذهب إلى مفتاح السجل: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN

  2. عرّف هذا المفتاح:

    • InitialAlwaysOn=1 (DWORD)

تكوين سياسة دائمًا-قيد التشغيل

تشرح هذه القسم كيفية إنشاء سياسة دائم التشغيل.

إنشاء سياسة دائمًا-قيد التشغيل

تتيح لك سياسة دائمًا-قيد التشغيل تعريف المستخدمين أو مجموعات المستخدمين للعملاء الذين يحتاجون إلى الاتصال الدائم بالشبكة.

Always-On_Policy.png

لإنشاء سياسة دائم التشغيل:

  1. من قائمة التنقل، انقر على الوصول > سياسة دائم التشغيل.

  2. انقر على جديد.

    يفتح لوحة قاعدة جديدة.

  3. أدخل اسم وحدد ترتيب القاعدة.

  4. حدد المستخدمين & المجموعات والمنصات.

  5. حدد حالة متصل، وضع التجاوز، مدة الفصل، ووضع الاستعادة.

    Bypass.png

  6. انقر على تطبيق.

  7. كرر الخطوات 2-5 لكل قاعدة في سياسة دائم التشغيل.

  8. قم بتمكين سياسة دائم التشغيل ثم انقر على حفظ.

    شريط التمرير enable.png يكون أخضر عندما يتم تفعيل القاعدة، ورمادي عندما يتم تعطيلها.

تكوين الإعدادات الافتراضية

ملاحظة

ملاحظة: مدعوم من:

  • جميع عملاء Windows

  • عميل Linux v5.2 وما فوق

يمكنك تزويد المستخدمين بحالة اتصال حسب الطلب مع أمان إضافي عن طريق تكوين العميل للاتصال تلقائيًا أثناء مرحلة الإقلاع. بمجرد الاتصال، يمكن للمستخدمين اختيار فصل وإعادة توصيل العميل كلما احتاجوا إلى ذلك. بالنسبة للمستخدمين ذوي حالة الاتصال دائم التشغيل، يتصل العميل تلقائيًا، دون هذه التكوين.

  • إذا تم تحديد خيارات الاتصال عند الإقلاع أو البدء مصغرًا في تطبيق إدارة Cato:

    • تنفذ هذه على جميع العملاء في بيئتك

    • لا يمكن للمستخدمين تعطيل هذا الإعداد من العميل

  • إذا لم يتم تحديد خيارات الاتصال عند الإقلاع أو البدء مصغرًا، في تطبيق إدارة Cato:

    • يمكن للمستخدمين اختيار تفعيل هذه الميزات في علامة التبويب الإعدادات في العميل

ملاحظة: مع تمكين الاتصال عند الإقلاع، إذا قام المستخدم بتسجيل الخروج من جلسته على Windows، يتصل العميل بـCato Cloud. هذا لتوفير الوصول إلى وحدة تحكم النطاق للسماح للمستخدم بتسجيل الدخول مرة أخرى.

لتكوين الإعدادات الافتراضية للعملاء:

  1. من قائمة التنقل، انقر على الوصول > سياسة دائم التشغيل.

  2. افتح علامة التبويب الإعدادات.

  3. في قسم الاتصال عند الإقلاع، حدد الإعدادات الافتراضية لعملاء Windows.

    Connect_On_boot.png

  4. انقر على حفظ.

فرض المصادقة خلف موقع كاتو

ملاحظة

ملاحظة: مدعوم من:

  • عميل Windows v5.8 وما فوق

  • عميل Linux v5.2 وما فوق

عندما يتصل المستخدم خلف Cato Socket أو موقع IPsec، يتصل العميل تلقائيًا بذلك الموقع في وضع المكتب. للمزيد من المعلومات عن وضع المكتب، انظر تكوين وضع المكتب.

يمكنك تكوين ما إذا كان يجب أن يتطلب المستخدمون ذوي الفعل دائم التشغيل المصادقة إلى Cato عندما يكون العميل متصلًا في وضع المكتب. ليس لهذه التكوين أي تأثير على السياسات الأمنية.

Authentication_in_Office.jpg

لفرض المصادقة في موقع Cato

  1. من قائمة التنقل، انقر على الوصول > سياسة دائم التشغيل.

  2. افتح علامة التبويب الإعدادات.

  3. في القسم فرض دائمًا في المكتب، حدد طلب المصادقة في المكتب.

  4. انقر على حفظ.

إنشاء كود التجاوز

كود التجاوز هو كود مكون من 6 أرقام يتم إدخاله في العميل للسماح للمستخدمين بفصل الاتصال مؤقتًا عن سحابة كاتو.

لإنشاء كود تجاوز:

  1. من قائمة التنقل، انقر على الوصول > سياسة دائمًا-قيد التشغيل.

  2. افتح علامة التبويب الإعدادات.

  3. قم بتوسيع القسم عرض كود التجاوز أو عرض كود QR لتطبيق المصادقة

  4. يمكنك الآن إرسال كود التجاوز أو كود QR إلى المستخدم.

فهم تجربة المستخدم

اعتمادًا على وضع التجاوز الذي تم تكوينه في تطبيق إدارة كاتو، يمكن للمستخدمين فصل العميل مؤقتًا باستخدام كود التجاوز أو بإدخال سبب للتجاوز.

إدخال كود التجاوز

يتم إنشاء كود التجاوز بواسطة المسؤولين وإرساله إلى المستخدم ليتم إدخاله في العميل. بعد إدخال كود صالح، يتجاوز العميل النفق المشفر مؤقتًا ويمكن للمستخدم الوصول إلى الإنترنت. يمكن فصل عملاء الويندوز أقل من v5.9، macOS، iOS، وAndroid مؤقتًا لمدة تصل إلى 15 دقيقة. يمكن فصل العملاء في نظام الويندوز نسخة v5.9 وما فوق لمدة محددة في مدة الفصل.

المستخدمون الذين يصادقون باستخدام SSO أو MFA يحتاجون إلى إعادة المصادقة على عميل كاتو عند إعادة الاتصال.

Bypass_code.png

لإدخال سبب التجاوز:

  • في عميل الويندوز، يمكن للمستخدمين النقر بزر الماوس الأيمن على رمز العميل في درج النظام وتحديد تجاوز مؤقت

  • في عميل macOS، يمكن للمستخدمين النقر بزر الماوس الأيمن على رمز العميل في درج النظام وتحديد فصل مؤقت

  • في عميل iOS، على الشاشة الرئيسية للعميل، حدد تجاوز دائمًا-قيد التشغيل

  • في عميل Android، من القائمة الجانبية، حدد تجاوز مؤقت

إدخال سبب التجاوز

ملاحظة

ملاحظة: مدعوم من: عميل الويندوز v5.9 وما فوق

  • عميل الويندوز v5.9 وما فوق

  • عميل macOS v5.5 وما فوق

يستطيع المستخدمون فصل العميل مؤقتًا بعد تقديم سبب. بعد أن يدخل المستخدم السبب، يتجاوز العميل مؤقتًا سحابة كاتو ويمكن للمستخدم الوصول إلى الإنترنت. يتم فصل العميل لمدة محددة في تطبيق إدارة كاتو.

المستخدمون الذين يصادقون باستخدام SSO أو MFA يحتاجون إلى إعادة المصادقة على عميل كاتو عند إعادة الاتصال.

Bypass_reason.png

لإدخال سبب التجاوز:

  1. في عميل الويندوز، يمكن للمستخدمين النقر بزر الماوس الأيمن على رمز العميل في درج النظام وتحديد تجاوز مؤقت.

  2. قدم سببًا لفصل العميل مؤقتًا.

  3. انقر على إدخال.

    تم فصل العميل.

تخصيص دائمًا-قيد التشغيل لمستخدمين معينين

يمكنك تخصيص سياسة دائمًا-قيد التشغيل لمستخدم فردي.

لتكوين سياسة دائمًا-قيد التشغيل لمستخدم معين:

  1. من قائمة التنقل، انقر على الوصول > سياسة دائمًا-قيد التشغيل.

  2. انقر على جديد.

    يفتح لوحة قاعدة جديدة.

  3. أدخل اسمًا وقم بتعيين ترتيب القاعدة.

  4. في القسم المستخدمون & المجموعات، حدد مستخدم SDP.

  5. اختر المستخدم المعين.

  6. حدد المنصات وحالة متصل.

  7. انقر على تطبيق.

  8. قم بتفعيل سياسة دائمًا-قيد التشغيل ثم انقر على حفظ.

    شريط التمرير enable.png يكون أخضر عندما يتم تفعيل القاعدة، ورمادي عندما يتم تعطيلها.

هل كان هذا المقال مفيداً؟

7 من 10 وجدوا هذا مفيداً

لا توجد تعليقات