Este artículo explica cómo puedes usar la Política de Conectividad del Cliente para asegurar que los dispositivos solo se conecten a tu red cuando cumplan con los requisitos de seguridad organizacionales.
Parte de la implementación de tu política de seguridad corporativa de Acceso a la Red de Confianza Cero (ZTNA) y reducción de la superficie de ataque es verificar la postura de los dispositivos antes de que se conecten a la red. La Política de Conectividad del Cliente te permite crear las reglas que definen los requisitos en el dispositivo. Después de que un usuario SDP se autentica con éxito, el Cliente Cato realiza verificaciones para verificar las condiciones relevantes en el dispositivo. Por ejemplo, el Cliente verifica que el software anti-malware esté actualizado; de lo contrario, no se conecta a tu red.
El Cliente puede identificar condiciones del dispositivo, por ejemplo:
- Perfil de Postura del Dispositivo: Esto verifica la postura de seguridad del dispositivo para las Verificaciones de Dispositivo compatibles, vea abajo Definición de Requisitos de Postura del Dispositivo.
- Plataforma: Esto identifica el sistema operativo del dispositivo. Por ejemplo, puede requerir que solo los dispositivos Windows estén permitidos para conectar.
- Países: Esto identifica la ubicación física del dispositivo. Por ejemplo, defina una lista de países en los que el Cliente no se conecta a la red si el dispositivo está ubicado en ese país (basado en geolocalización IP).
- Nivel de Confianza: Esto describe cuán confiable es la autenticación del usuario. Para más información, ver Seguridad de Internet Remota con Autenticación de Una Vez.
La Política de Conectividad del Cliente también ayuda a los administradores a mantener el nivel de acceso correcto cuando el contexto del usuario o del dispositivo cambia durante una sesión. Si el Cliente ya no cumple con los requisitos para el acceso completo a la red, la política puede limitar la sesión a un acceso seguro a Internet o bloquear la conexión, dependiendo de la regla configurada. Esto ayuda a reducir la exposición de dispositivos que se vuelven no conformes mientras se mantiene el acceso disponible cuando la conexión sigue cumpliendo con los requisitos de seguridad de la organización.
La Política de Conectividad del Cliente controla el acceso para usuarios remotos, para más información sobre cómo controlar el acceso para usuarios detrás de un sitio, ver Agregar Condiciones del Dispositivo a las Reglas del Firewall.
La empresa ABC tiene su sede en el Reino Unido y cuenta con una mezcla de empleados corporativos y contratistas externos. Los empleados corporativos usan dispositivos Windows, pero los contratistas externos usan sus propios dispositivos. Para proteger la red, la empresa quiere asegurarse de que solo los dispositivos con las siguientes condiciones puedan conectar:
- El dispositivo está ubicado en el Reino Unido
- Los dispositivos utilizados por empleados corporativos tienen el certificado de dispositivo requerido
- Los dispositivos utilizados por contratistas de terceros tienen software anti-malware, encriptación de disco y software de gestión de parches instalado en el dispositivo
Para garantizar que los dispositivos que se conectan a su red cumplan con sus requisitos de seguridad, la empresa crea las siguientes reglas de Permitir de la Política de Conectividad del Cliente:
-
Regla 1 - Empleados corporativos: En un dispositivo usado por un empleado corporativo, el Cliente verifica que el dispositivo:
- Es un dispositivo Windows
- Tiene un token de autenticación válido
- Tiene el certificado requerido instalado
- Está ubicado en el Reino Unido
-
Regla 2 - Contratistas externos: En un dispositivo usado por un contratista externo, el Cliente verifica que el dispositivo:
- Tiene software anti-malware, encriptación de disco y software de gestión de parches instalado
- Tiene un token de autenticación válido
- Está ubicado en el Reino Unido
El Cliente solo se conecta a la red si identifica que el dispositivo cumple con las condiciones adecuadas para el empleado corporativo o el contratista externo.
La Política de Conectividad del Cliente es una base de reglas ordenada que verifica secuencialmente si las condiciones del dispositivo coinciden con las condiciones requeridas para el usuario SDP. Una vez que un dispositivo coincide con una regla, puede conectarse a tu red. Las reglas que se enumeran después de la regla coincidente no se aplican al dispositivo. Si un dispositivo no coincide con ninguna regla, es bloqueado por la regla implícita final de la política (BLOQUEO CUALQUIERA CUALQUIERA).
Para más información sobre cómo definir reglas en la Política de Conectividad del Cliente, ver Configurar la Política de Conectividad del Cliente.
Para hacer cumplir los requisitos de cumplimiento para los usuarios SDP, primero decide los requisitos de postura del dispositivo para los segmentos de usuario en tu organización. Luego puedes usar la Política de Conectividad del Cliente para implementar estos requisitos.
Cada regla de la Política de Conectividad del Cliente puede contener un Perfil de Postura del Dispositivo. Esto te permite definir requisitos detallados de postura del dispositivo (Verificaciones del Dispositivo) para los dispositivos en tu organización. Cuando incluyes múltiples verificaciones en un solo perfil, tienen una relación Y. Por ejemplo, puedes crear un Perfil de Postura del Dispositivo que contenga verificaciones de Anti-Malware, Firewall y Cifrado de Disco.
Puedes crear diferentes verificaciones por sistema operativo y buscar la presencia de proveedores y versiones específicas instaladas en un dispositivo. Esto permite al Cliente realizar verificaciones detalladas de los dispositivos para validar la postura.
Las verificaciones de dispositivos son compatibles con los Clientes Windows y macOS. Para más información sobre los requisitos para cada chequeo, consulta Creación de Perfiles de Postura de Dispositivo y Chequeos de Dispositivo.
Puedes prevenir que el Cliente se conecte a tu red basándote en el sistema operativo del dispositivo y/o la ubicación del dispositivo. Cada regla de la Política de Conectividad del Cliente contiene opciones para incluir Plataformas y Países. Si el Cliente identifica que el dispositivo está ejecutando un sistema operativo no conforme o que se encuentra en una ubicación no conforme, no se conecta a tu red.
0 comentarios
Inicie sesión para dejar un comentario.