Seguridad de Dispositivos de Confianza Cero con Cato

¿Qué es la Autenticación de Dispositivos?

La autenticación de dispositivos es el proceso de verificar la identidad y el estado de seguridad de un dispositivo antes de permitirle acceder a recursos de la red. La autenticación de dispositivos se implementa utilizando certificados digitales en Cato. Es parte del marco de seguridad de confianza cero para garantizar que solo los dispositivos de confianza puedan acceder a la red y a recursos de red específicos.

¿Por qué la necesidad de Autenticación de Dispositivos y por qué es importante?

El principio central de la seguridad de confianza cero es que ningún dispositivo o usuario debe ser automáticamente de confianza. La confianza cero asume que cada solicitud de acceso, ya sea desde dentro o fuera de la red, potencialmente proviene de un actor malicioso o un dispositivo comprometido.

La autenticación de dispositivos asegura que solo los dispositivos autorizados puedan acceder a los recursos de la red. Al verificar la identidad y el estado de seguridad de cada dispositivo antes de conceder acceso, la confianza cero limita el riesgo de un posible incumplimiento causado por un dispositivo comprometido o no autorizado.

¿Cómo implementa Cato la autenticación de dispositivos?

Cato implementa la autenticación de dispositivos utilizando la política de conectividad del cliente para aplicar la validación basada en certificados. Esto garantiza que solo los dispositivos con un certificado válido y confiable puedan acceder a la red.

Cuando un dispositivo intenta conectarse a la red (a través de un PoP de Cato) y el Chequeo de Certificado del Dispositivo está configurado en una regla de Conectividad del Cliente, el Cliente de Cato verifica que un certificado válido esté instalado en el dispositivo. De lo contrario, el Cliente bloquea el dispositivo para que no se conecte a la red.

Este es el flujo de configuración para implementar la autenticación de dispositivos.

  1. Prepare los dispositivos para usar el Chequeo de Dispositivos para el certificado de firma.

  2. Configure un Chequeo de Dispositivo para el certificado de firma y asígnelo a un Perfil de Dispositivo. Consulte Creación de Perfiles de Postura de Dispositivo y Chequeos de Dispositivo.

  3. Cree una regla de política de Conectividad del Cliente que permita conexiones para dispositivos que tengan el certificado de firma instalado.

    La regla final de Bloqueo ANY ANY en la política se aplica a los dispositivos que no tienen el certificado instalado.

¿Cómo funciona el Chequeo de Certificado de Dispositivo?

El Chequeo de Certificado de Dispositivo se basa en la encriptación de clave asimétrica. La encriptación de clave asimétrica, también conocida como criptografía de clave pública, es una técnica criptográfica que utiliza un par de claves matemáticamente relacionadas para asegurar la información. Las dos claves se llaman clave pública y clave privada. Cato no genera los certificados ni gestiona su ciclo de vida.

Los datos encriptados con la clave pública solo pueden ser desencriptados con la clave privada correspondiente, y viceversa. La clave pública puede compartirse abiertamente, mientras que la clave privada se mantiene en secreto.

Este método de encriptación es seguro porque, aunque la clave pública puede compartirse abiertamente, no puede utilizarse para desencriptar mensajes que fueron encriptados con ella. Solo la clave privada correspondiente puede desencriptar el mensaje.

Autenticación_del_Dispositivo.png

  1. Cargue el certificado de firma raíz en la aplicación de Gestión de Cato (Acceso > Acceso del Cliente > Certificados de Firma). El certificado también contiene la clave pública. La clave pública puede compartirse abiertamente.

  2. Sube el certificado del dispositivo y la clave privada al dispositivo. El dispositivo debe mantener en secreto la clave privada. El Cliente de Cato debe estar instalado en el dispositivo. Cuando el dispositivo se conecta al PoP de Cato (Punto de Presencia), el Cliente verifica la autenticidad del certificado y comprueba que el certificado sea válido y coincida con el certificado de firma.

  3. Para verificar la autenticidad del dispositivo, Cato envía un desafío encriptado. El desafío encriptado es un mensaje aleatorio generado por Cato y encriptado con la clave pública obtenida del certificado raíz cargado en Cato en el paso 1.

  4. El dispositivo usa su clave privada para desencriptar el desafío encriptado y envía el desafío desencriptado a Cato.

  5. Si el desafío descifrado coincide con el original, el dispositivo se autentica y se le otorga acceso a los recursos definidos.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios