حماية المستخدمين بالأمان المستمر

تتناول هذه المقالة كيفية تكوين سياسة "دائمًا شغّال" لزيادة أمان الإنترنت للمستخدمين في حسابك.

نظرة عامة

تعزز سياسة "دائمًا شغّال" أمان الإنترنت من خلال تحديد القواعد عندما يتصل المستخدمون أو مجموعات المستخدمين دائمًا بسحابة Cato. هذا يضمن أن كل حركة مرور تمر عبر PoP وتقوم محركات الأمان في Cato بفحص حركة المرور لضمان توافقها مع سياسات الأمان الخاصة بك.

حالة الاستخدام - تخصيص سياسة الاتصال الدائم للموظفين والمتعهدين الخارجيين

يستخدم شبكة شركة ABC موظفوها الذين لديهم وصول إلى الموارد المؤسسية ومتعاقدو الطرف الثالث الذين لا يمكنهم الوصول إلى الموارد المؤسسية. ينشئون قاعدة لتمكين "دائمًا شغّال" لموظفيهم بينما يتمكن متعاقدو الطرف الثالث من الوصول المباشر إلى الإنترنت. هذا يضمن أن كل حركة المرور من موظفي الشركة تمر عبر سحابة Cato وتحميها سياسات الأمان.

العمل مع سياسة الاتصال الدائم المرتبة

سياسة "دائمًا شغّال" هي قاعدة مرتبة. تُطبق القواعد في سياستك على المستخدم أو المجموعة كالتالي:

  • عندما يلتقون بقاعدة، يتبع العميل التكوين المحدد في القاعدة

  • إذا لم يستوفوا أي قواعد، يمكنهم قطع الاتصال عن الشبكة

متطلبات سياسة الاتصال الدائم

  • لا يتم دعم "دائمًا شغّال" للعملاء Linux

  • يتم دعم "دائمًا شغّال" مع مصادقة SSO للإصدارات التالية وما بعدها:

    • عميل Windows v5.3

    • عميل macOS v5.0

    • عميل iOS v5.0

    • عميل Android v5.0

توفير الوصول إلى الإنترنت مع سياسة الاتصال الدائم

مع تمكين سياسة دائمًا-قيد التشغيل، لا يزال بإمكانك توفير وصول مباشر إلى الإنترنت للمستخدمين من خلال:

  • باستخدام طريقة تجاوز مؤقتة

  • إنشاء قاعدة بحالة اتصال عند الطلب

  • السماح بوصول الإنترنت في وضع الاستعادة

تجاوز الوصول الآمن إلى الإنترنت مؤقتاً

يمكن أن تكون هناك بعض الحالات التي يحتاج فيها المستخدمون إلى تجاوز سحابة Cato مؤقتًا والوصول إلى الإنترنت مباشرة. على سبيل المثال، للوصول مؤقتًا إلى موقع ويب يتم حظره بواسطة قاعدة جدار الحماية على الإنترنت. لكل قاعدة، يمكنك تكوين كيفية تجاوز المستخدمين مؤقتًا شبكة كاتو السحابية.

في Windows v5.9 وما بعده، يمكنك أيضًا تكوين المدة التي يمكن فيها للمستخدمين تجاوز سحابة Cato. خلال هذه الفترة، لا يتدفق حركة المرور عبر سحابة Cato ويكون غير مؤمن.

عند فصل العميل مؤقتًا، يتم إنشاء أحداث تعرض تفاصيل المستخدم والمدة الزمنية التي كان العميل مفصولًا فيها. لعرض هذه الأحداث، في صفحة الأحداث قم بتطبيق فلتر لنوع الفرعي VPN Never-Off Bypass. يعرض طريقة التجاوز في الحدث الطريقة المستخدمة لتجاوز العميل. لمزيد من المعلومات حول الأحداث في حسابك، انظر تحليل الأحداث في الشبكة الخاصة بك.

يمكن للمستخدمين تجاوز سحابة Cato مؤقتًا باستخدام أحد الخيارات التالية:

  • التجاوز المُتحكم به من قبل المشرف مع رمز التجاوز

  • التجاوز المُتحكم به من قبل المستخدم

التجاوز الذي يتحكم به المسؤول باستخدام رمز التجاوز

ملاحظة

ملاحظة: مدعوم على نظام ويندوز، أندرويد، آي أو إس، ونسخة عميل macOS v5.4 وما فوق

استخدم هذا الخيار لتوليد كلمة مرور لمرة واحدة (OTP) في تطبيق إدارة Cato الذي يمكنك منحه لأي مستخدم والسماح لهم بفصل العميل مؤقتًا. في إصدارات العميل Windows الأقل من 5.9 وأنظمة التشغيل الأخرى المدعومة، يتم تجاوز العميل لمدة تصل إلى 15 دقيقة في المرة الواحدة. يمكن أن يكون كل رمز صالحًا لمدة تصل إلى 15 دقيقة.

بالإضافة إلى ذلك، يمكنك استخدام تطبيق مصادقة (مثل Google Authenticator) لمسح رمز QR في هذه الشاشة. ثم يمكنك دائمًا الحصول على OTP للمستخدمين من تطبيق المصادقة. يقوم تطبيق المصادقة بتحديث الرمز كل 30 ثانية، لذا يكون كل رمز صالحًا فقط لمدة 30 ثانية.

يمكنك استخدام نفس رمز التجاوز لأكثر من مستخدم، طالما أن الرمز لا يزال صالحًا.

التجاوز الذي يتحكم به المستخدم

ملاحظة

ملاحظة: مدعومة من:

  • Windows Client v5.9 وما بعدها

  • macOS Client v5.5 وما بعدها

تتيح هذه الخيار للمستخدمين فصل العميل مؤقتًا عند الطلب. في العميل، يجب على المستخدم تقديم سبب لقطع الاتصال بالعميل في حقل نص حر، ثم يمكنه الوصول الفوري المباشر إلى الإنترنت. يتم تضمين هذا السبب في الحدث.

يسمح للعميل بالانفصال لمدة الفترة الزمنية التي تم تكوينها في مدة الانفصال.

حالة الاستخدام - الوصول المعتمد مسبقاً إلى الإنترنت لفرق معينة

فريق الهندسة في شركة البيع بالتجزئة مسؤول عن ضمان كون موقعهم الإلكتروني متاح بنسبة 100% لاستقبال الطلبات عبر الإنترنت. هذا يعني أنهم بحاجة دائمًا للوصول إلى تطبيق SaaS عبر الإنترنت المطلوب لتسهيل إصلاح المشكلات. يتطلب الوصول إلى التطبيق خارج أوقات العمل وعند العمل عن بُعد. تنص سياسة الأمان الخاصة بالشركة على أنه يجب تأمين كل الوصول إلى الإنترنت.

للالتزام بسياسة الأمان، يقوم قسم تكنولوجيا المعلومات بتمكين الاتصال الدائم Always-On. كإجراء احترازي لتجنب حالة حيث لا يمكن العميل الاتصال بسحابة كاتو أثناء انقطاع محتمل، تزود فريق تقنية المعلومات المهندسين بطريقة للوصول الفوري إلى الإنترنت. أنشأت فريق تقنية المعلومات قاعدة في سياسة دائمًا-قيد التشغيل لمجموعة مستخدم المهندسين، حيث يتم تكوين وضع التجاوز للسماح للمستخدمين بفصل الاتصال مؤقتًا عند الطلب.

إذا كان المهندس بحاجة إلى إصلاح مشكلات الموقع الإلكتروني في منتصف الليل، يمكن لفريق تقنية المعلومات التأكد من أنه يمكنه الوصول إلى تطبيق SaaS للإصلاح حتى إذا كان هناك مشكلة في العميل. لا يحتاج المهندس إلى انتظار موافقة تقنية المعلومات لتجاوز سحابة Cato والبدء في إصلاح مشكلات الموقع الإلكتروني.

إنشاء قاعدة بحالة الاتصال عند الطلب

إذا كان هناك مستخدمون يحتاجون بانتظام إلى الوصول المباشر إلى الإنترنت، يمكنك إضافتهم إلى قاعدة بحالة الاتصال عند الطلب. تتيح هذه التكوين للمستخدمين توصيل أو قطع اتصال العميل حسب الحاجة.

وضع استعادة العميل

ملاحظة

ملاحظة: مدعومة من:

  • Windows Client v5.9 وما بعدها

  • macOS Client v5.5 وما بعدها

يمكنك أيضًا اختيار سلوك العميل في حالة عدم التمكن من إنشاء اتصال بسحابة Cato. يمكن تكوين العميل ل:

  • السماح بالوصول إلى الإنترنت (الإعداد الافتراضي): يمكن للمستخدمين الوصول إلى الإنترنت. لا تتدفق حركة المرور عبر سحابة Cato وتكون غير مؤمنة حتى يتم إنشاء اتصال بسحابة Cato.

  • تقييد الوصول إلى الإنترنت: لا يمكن للمستخدمين الوصول إلى الإنترنت حتى يتم إنشاء اتصال بسحابة كاتو وإنترنت مؤمن.

حالة الاستخدام - الاتصال بالإنترنت عند السفر

قامت شركة ABC بتمكين "دائمًا شغّال" لجميع المستخدمين. غالبًا ما يسافر مديروهم التنفيذيون ويتصلون بالإنترنت من المطارات والفنادق. في بعض الأحيان لا يكتشف العميل البوابة المقيدة ولا يمكنه إنشاء نفق مشفر. لضمان استمرار عمل الفريق التنفيذي عند سفرهم، يقوم فريق تكنولوجيا المعلومات بتكوين وضع الاسترداد في قاعدة الاتصال الدائم لمجموعة المستخدمين التنفيذيين للسماح بالوصول إلى الإنترنت.

إذا لم يكتشف العميل بوابة مقيدة، يمكن للمستخدمين في الإدارة العليا مواصلة العمل، لأن العميل يسمح بالوصول إلى الإنترنت حسب سياسة "دائمًا شغّال". بمجرد أن يعيد العميل إنشاء النفق، يتدفق المرور عبر سحابة كاتو كما هو متوقع.

التحضير لتنفيذ سياسة الاتصال الدائم

قبل تمكين سياستك "دائمًا شغّال"، فكّر في كيفية تفاعل "دائمًا شغّال" مع الميزات الأخرى وإصدارات العميل في بيئتك. يوفر هذا القسم توصيات حول كيفية استخدام SSO واتصال العميل ومصادقة الجهاز وWindows Client مع سياستك "دائمًا شغّال".

العمل مع الاتصال الدائم وSSO

بالنسبة للحسابات التي تستخدم مصادقة تسجيل الدخول الأحادي للمستخدمين، يمكنك أيضًا تكوين العملاء المدعومين للبقاء دائمًا متصلين بسحابة Cato (دائمًا شغّال). يوفر هذا التكوين للمستخدمين بساطة SSO وأمان "دائمًا شغّال". يتمكن العميل من الوصول إلى موفر IdP وتتم الوصول إلى الموارد الأخرى وفقًا لسياسة الأمان الخاصة بك.

ملاحظة

ملاحظة: لمساعدة المستخدمين الذين لا يمكنهم المصادقة على العميل، نوصي بتمكين طريقة لتجاوز شبكة كاتو السحابية ومراجعة أحداث التجاوز. وإلا، لا يمكن للجهاز غير المصدق الاتصال بالإنترنت أو سحابة Cato).

تنفيذ الاتصال الدائم وSSO

تحتوي هذه القسم على أفضل الممارسات والتوصيات لتطبيق دائم التشغيل مع SSO في حسابك.

  • ابدأ بتمكين دائم التشغيل وSSO لعدد صغير من المستخدمين لتقليل التأثير على حسابك

  • راجع أحداث التجاوز، لمراقبة استخدام رموز التجاوز في مؤسستك

  • نظرًا لأن المستخدمين غير المصدقين ليس لديهم اتصال بالإنترنت، تأكد من أن المستخدمين يمكنهم تسجيل الدخول إلى الجهاز دون الاعتماد على الإنترنت

  • تأكد من أن جميع العملاء محدثون إلى الحد الأدنى المدعوم من الإصدار للنظام التشغيلي ذو الصلة. إذا تم استخدام عميل لإصدار غير مدعوم، لا يمكن للعميل إعادة التحقق ويتم حظر الحركة إلى الإنترنت.

  • للتطبيقات التي تستخدم وكيل طرف ثالث، يتم دعم مصادقة المتصفح داخل العميل فقط للاتصال الدائم وSSO (لمزيد من المعلومات حول مصادقة المتصفح، انظر تكوين سياسة المصادقة لعملاء Cato)

استخدام سياسة الاتصال بالعميل ومصادقة الجهاز مع الاتصال الدائم

سياسة الاتصال بالعميل الخاصة بك وإعدادات مصادقة الجهاز تنطبق على أوضاع الأجهزة وفحوصات الجهاز التي يتم إجراؤها على الأجهزة للمستخدمين. إذا فشل الجهاز في الامتثال للسياسة التي تم إعدادها للملف الشخصي، فلن يتمكن المستخدم من الاتصال بـCato Cloud. تحتل سياسة اتصال العميل وإعدادات مصادقة الجهاز الأولوية على سياسة دائم التشغيل.

تثبيت عملاء Windows والاتصال الدائم

بالنسبة لفرق تكنولوجيا المعلومات، تقديم أو شحن أجهزة جديدة تمامًا للمستخدمين حول العالم، يمكننا توفير أمان دائم التشغيل خارج الصندوق.

بدءًا من عميل الويندوز v5.6، يمكنك تحسين أمن الإنترنت حتى قبل أن يصادق المستخدم على كاتو. سياسة دائم التشغيل متاحة بشكل جاهز، ويتم السماح بالوصول إلى الإنترنت فقط بعد أن يتحقق المستخدم من حسابك في Cato.

لتفعيل هذه الميزة، قم فقط بإضافة مفتاح السجل إلى جهاز Windows لتمكين دائم التشغيل. بمجرد إضافة المستخدم إلى العميل، تنطبق إعدادات دائم التشغيل المحددة في تطبيق إدارة Cato على هذا المستخدم.

لحسابات التي تستخدم ميزة تسجيل الدخول المسبق، يُسمح للجهاز فقط بالوصول إلى الوجهات المسموح بها قبل إضافة المستخدم إلى العميل. يتم حظر جميع عمليات وصول أخرى للإنترنت.

نوصي أيضًا بإضافة مفتاح التسجيل الذي يُشغل العميل عند بدء التشغيل. لمزيد من المعلومات، انظر تثبيت عميل Cato.

ملاحظة

ملاحظة: قبل إضافة المستخدمين إلى العميل، لا يمكن تجاوز Cato Cloud.

لتكوين سجل Windows لتطبيق دائم التشغيل:

  1. اذهب إلى مفتاح السجل: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN

  2. عرّف هذا المفتاح:

    • InitialAlwaysOn=1 (DWORD)

تكوين سياسة الاتصال الدائم

تشرح هذه القسم كيفية إنشاء سياسة دائم التشغيل.

إنشاء سياسة الاتصال الدائم

تتيح لك سياسة دائمًا-قيد التشغيل تعريف المستخدمين أو مجموعات المستخدمين للعملاء الذين يحتاجون إلى الاتصال الدائم بالشبكة.

Always-On_Policy.png

لإنشاء سياسة دائم التشغيل:

  1. من قائمة التنقل، انقر على الوصول > سياسة دائم التشغيل.

  2. انقر على جديد.

    يفتح لوحة قاعدة جديدة.

  3. أدخل اسم وحدد ترتيب القاعدة.

  4. حدد المستخدمين & المجموعات والمنصات.

  5. حدد حالة متصل، وضع التجاوز، مدة الفصل، ووضع الاستعادة.

    Bypass.png

  6. انقر على تطبيق.

  7. كرر الخطوات 2-5 لكل قاعدة في سياسة دائم التشغيل.

  8. قم بتمكين سياسة دائم التشغيل ثم انقر على حفظ.

    يكون المنزلق enable.png باللون الأخضر عندما تكون القاعدة مفعّلة، وباللون الرمادي عندما تكون القاعدة معطّلة.

تكوين الإعدادات الافتراضية

ملاحظة

ملاحظة: مدعوم من:

  • جميع عملاء Windows

  • عميل Linux v5.2 وما فوق

يمكنك تزويد المستخدمين بحالة اتصال حسب الطلب مع أمان إضافي عن طريق تكوين العميل للاتصال تلقائيًا أثناء مرحلة الإقلاع. بمجرد الاتصال، يمكن للمستخدمين اختيار فصل وإعادة توصيل العميل كلما احتاجوا إلى ذلك. بالنسبة للمستخدمين ذوي حالة الاتصال دائم التشغيل، يتصل العميل تلقائيًا، دون هذه التكوين.

  • إذا تم تحديد خيارات الاتصال عند الإقلاع أو البدء مصغرًا في تطبيق إدارة Cato:

    • تنفذ هذه على جميع العملاء في بيئتك

    • لا يمكن للمستخدمين تعطيل هذا الإعداد من العميل

  • إذا لم يتم تحديد خيارات الاتصال عند الإقلاع أو البدء مصغرًا، في تطبيق إدارة Cato:

    • يمكن للمستخدمين اختيار تفعيل هذه الميزات في علامة التبويب الإعدادات في العميل

ملاحظة: مع تمكين الاتصال عند الإقلاع، إذا قام المستخدم بتسجيل الخروج من جلسته على Windows، يتصل العميل بـCato Cloud. هذا لتوفير الوصول إلى وحدة تحكم النطاق للسماح للمستخدم بتسجيل الدخول مرة أخرى.

لتكوين الإعدادات الافتراضية للعملاء:

  1. من قائمة التنقل، انقر على الوصول > سياسة دائم التشغيل.

  2. افتح علامة التبويب الإعدادات.

  3. في قسم الاتصال عند الإقلاع، حدد الإعدادات الافتراضية لعملاء Windows.

    Connect_On_boot.png

  4. انقر على حفظ.

فرض المصادقة خلف موقع Cato

ملاحظة

ملاحظة: مدعوم من:

  • عميل Windows v5.8 وما فوق

  • عميل Linux v5.2 وما فوق

عندما يتصل المستخدم خلف Cato Socket أو موقع IPsec، يتصل العميل تلقائيًا بذلك الموقع في وضع المكتب. لمزيد من المعلومات حول وضع المكتب، انظر تكوين وضع المكتب.

يمكنك تكوين ما إذا كان يجب أن يتطلب المستخدمون ذوي الفعل دائم التشغيل المصادقة إلى Cato عندما يكون العميل متصلًا في وضع المكتب. ليس لهذه التكوين أي تأثير على السياسات الأمنية.

Authentication_in_Office.jpg

لفرض المصادقة في موقع Cato

  1. من قائمة التنقل، انقر على الوصول > سياسة دائم التشغيل.

  2. افتح علامة التبويب الإعدادات.

  3. في القسم فرض دائمًا في المكتب، حدد طلب المصادقة في المكتب.

  4. انقر على حفظ.

سياسة الاتصال بالعميل وسياسة الاتصال الدائم في المكتب

هذا القسم يناقش استخدام سياسة الاتصال بالعميل عند فرض سياسة الاتصال الدائم خلف موقع والحاجة لمستخدمي عن بعد للمصادقة حتى عندما يكونوا في المكتب. إعداد الاتصال الدائم يتطلب المصادقة في المكتب يجبر العميل على الالتزام بسياسة الاتصال بالعميل قبل السماح للمستخدمين بالاتصال.

  • تذكر أن سياسة الاتصال بالعميل ستحتاج إلى السماح لهؤلاء المستخدمين بالاتصال إما بالشبكة العريضة أو الإنترنت، حتى عندما يكون الجهاز موجودًا في المكتب خلف موقع

  • إذا دخل العميل في الوضع لتجاوز الاتصال الدائم، يتم تطبيق سياسة جدار الحماية للشبكة العريضة والإنترنت للموقع على المستخدم. قد تكون هذه السياسة مختلفة عن تلك المطبقة عند اتصال المستخدم عن بُعد

إنشاء كود التجاوز

كود التجاوز هو كود مكون من 6 أرقام يتم إدخاله في العميل للسماح للمستخدمين بفصل الاتصال مؤقتًا عن سحابة كاتو.

لإنشاء كود تجاوز:

  1. من قائمة التنقل، انقر على الوصول > سياسة دائمًا-قيد التشغيل.

  2. افتح علامة التبويب الإعدادات.

  3. قم بتوسيع القسم عرض كود التجاوز أو عرض كود QR لتطبيق المصادقة

  4. يمكنك الآن إرسال كود التجاوز أو كود QR إلى المستخدم.

فهم تجربة المستخدم

اعتمادًا على وضع التجاوز الذي تم تكوينه في تطبيق إدارة كاتو، يمكن للمستخدمين فصل العميل مؤقتًا باستخدام كود التجاوز أو بإدخال سبب للتجاوز.

إدخال كود التجاوز

يتم إنشاء كود التجاوز بواسطة المسؤولين وإرساله إلى المستخدم ليتم إدخاله في العميل. بعد إدخال كود صالح، يتجاوز العميل النفق المشفر مؤقتًا ويمكن للمستخدم الوصول إلى الإنترنت. يمكن فصل عملاء الويندوز أقل من v5.9، macOS، iOS، وAndroid مؤقتًا لمدة تصل إلى 15 دقيقة. يمكن فصل العملاء في نظام الويندوز نسخة v5.9 وما فوق لمدة محددة في مدة الفصل.

المستخدمون الذين يصادقون باستخدام SSO أو MFA يحتاجون إلى إعادة المصادقة على عميل كاتو عند إعادة الاتصال.

Bypass_code.png

لإدخال سبب التجاوز:

  • في عميل الويندوز، يمكن للمستخدمين النقر بزر الماوس الأيمن على رمز العميل في درج النظام وتحديد تجاوز مؤقت

  • في عميل macOS، يمكن للمستخدمين النقر بزر الماوس الأيمن على رمز العميل في درج النظام وتحديد فصل مؤقت

  • في عميل iOS، على الشاشة الرئيسية للعميل، حدد تجاوز دائمًا-قيد التشغيل

  • في عميل Android، من القائمة الجانبية، حدد تجاوز مؤقت

إدخال سبب التجاوز

ملاحظة

ملاحظة: مدعوم من: عميل الويندوز v5.9 وما فوق

  • عميل الويندوز v5.9 وما فوق

  • عميل macOS v5.5 وما فوق

يستطيع المستخدمون فصل العميل مؤقتًا بعد تقديم سبب. بعد أن يدخل المستخدم السبب، يتجاوز العميل مؤقتًا سحابة كاتو ويمكن للمستخدم الوصول إلى الإنترنت. يتم فصل العميل لمدة محددة في تطبيق إدارة كاتو.

المستخدمون الذين يصادقون باستخدام SSO أو MFA يحتاجون إلى إعادة المصادقة على عميل كاتو عند إعادة الاتصال.

Bypass_reason.png

لإدخال سبب التجاوز:

  1. في عميل الويندوز، يمكن للمستخدمين النقر بزر الماوس الأيمن على رمز العميل في درج النظام وتحديد تجاوز مؤقت.

  2. قدم سببًا لفصل العميل مؤقتًا.

  3. انقر على إدخال.

    تم فصل العميل.

تخصيص دائمًا-قيد التشغيل لمستخدمين معينين

يمكنك تخصيص سياسة دائمًا-قيد التشغيل لمستخدم فردي.

لتكوين سياسة دائمًا-قيد التشغيل لمستخدم معين:

  1. من قائمة التنقل، انقر على الوصول > سياسة دائمًا-قيد التشغيل.

  2. انقر على جديد.

    يفتح لوحة قاعدة جديدة.

  3. أدخل اسمًا وقم بتعيين ترتيب القاعدة.

  4. في القسم المستخدمون & المجموعات، حدد مستخدم SDP.

  5. اختر المستخدم المعين.

  6. حدد المنصات وحالة متصل.

  7. انقر على تطبيق.

  8. قم بتفعيل سياسة دائمًا-قيد التشغيل ثم انقر على حفظ.

    يكون المنزلق enable.png باللون الأخضر عندما تكون القاعدة مفعّلة، وباللون الرمادي عندما تكون القاعدة معطّلة.

هل كان هذا المقال مفيداً؟

7 من 10 وجدوا هذا مفيداً

لا توجد تعليقات