Este artículo explica cómo usar las funciones de Cato para proporcionar a los usuarios Seguridad de Internet Remota con Autenticación de Una Sola Vez y acceso privado seguro bajo demanda.
Cato puede proporcionar a los usuarios acceso remoto seguro a Internet después de una autenticación de una sola vez. Esto significa que los usuarios siempre tienen conexión y protección de Internet con una interacción mínima con el Cliente. El acceso a su red privada (WAN) se puede proporcionar bajo demanda.
Esto se configura definiendo el nivel de autenticación que los usuarios requieren para el acceso seguro, ya sea a Internet o a su red privada (WAN). Por ejemplo, siempre puede permitir que los usuarios tengan acceso seguro a Internet después de su autenticación inicial, pero solo permitir el acceso a su red privada (WAN) después de que un usuario se reautentique.
Además, puede controlar la experiencia de reautenticación del usuario. Se puede mostrar un aviso a los usuarios antes o después de que el token de autenticación expire.
La Seguridad de Internet Remoto con Autenticación Una vez está habilitada definiendo los niveles de Nivel de Confianza del usuario y el nivel de acceso (Acción) en las reglas de Política de Acceso de Cliente. El Nivel de Confianza describe cuán confiable es la autenticación del usuario. La Acción define si el usuario puede acceder a Internet y a la red privada (WAN) o solo a Internet.
El Nivel de Confianza describe cuán confiable es la autenticación del usuario. Los Niveles de Confianza son:
-
Alto: El usuario está autenticado al Cliente y el token de Cato es válido
-
Bajo: El usuario ha autenticado en el Cliente, pero el token de Cato ha expirado
-
Cualquiera: El usuario ha autenticado en el Cliente y el token de Cato es válido o ha expirado
Los niveles de confianza se aplican a los usuarios después de autenticarse con cualquier método de autenticación. El token de Cato nunca expira para los usuarios que se autentican con un Nombre de Usuario y Contraseña o Códigos de Registro. Estos usuarios siempre tienen un nivel de confianza Alto.
La Acción define el nivel de acceso proporcionado al usuario. Las Acciones son:
-
Permitir WAN e Internet: El usuario tiene acceso seguro a Internet y puede acceder a la red privada (WAN)
Nota
Nota: Esta opción proporciona permiso para que un usuario acceda a la red privada (WAN). El acceso del usuario a la red privada (WAN) depende de las reglas en el Firewall WAN.
-
Permitir Internet: El usuario solo tiene acceso a Internet seguro y no puede acceder a la red privada (WAN)
El sistema operativo del cliente y las versiones no compatibles que desencadenan esta acción serán bloqueados.Nota
Nota: Esta opción proporciona permiso para que un usuario acceda a Internet. El acceso del usuario a Internet depende de las reglas en el Firewall de Internet.
-
Bloquear: El usuario tiene bloqueado el acceso a Internet o WAN
Una compañía editorial tiene representantes de ventas que trabajan de forma remota y raramente necesitan acceso al WAN de la compañía.
La compañía crea estas reglas para el grupo de usuario representante de ventas:
-
En su política Always-On aseguran que el Cliente se conecta con cualquier persona que trabaje de forma remota
-
En la Política de Conectividad del Cliente, permiten a los usuarios con un Nivel de Confianza Bajo acceder a Internet
Cuando los representantes de ventas llegan a un prospecto, están conectados de forma segura a Internet sin ninguna interacción con el Cliente de Cato.
Un banco tiene requisitos estrictos de seguridad de Internet y necesita asegurarse siempre de que los usuarios que acceden de forma remota a Internet y la red privada (WAN) estén autenticados.
La compañía crea estas reglas para todos los usuarios remotos:
-
En su política Always-On para asegurar que el Cliente siempre se conecte
-
En la Política de Conectividad del Cliente, proporcionan acceso a Internet y a la red privada (WAN) a los usuarios con un nivel de confianza Alto.
Cuando un usuario se conecta de forma remota, debe autenticarse antes de poder acceder a Internet o a la red privada (WAN).
Siga estos pasos para habilitar la Seguridad de Internet Remota con Autenticación de Una Sola Vez:
-
Defina una regla en su política Always-On para que el Cliente siempre se conecte al Cato Cloud, protegiendo a los usuarios y dispositivos.
-
Defina una regla en su política de Conectividad del Cliente que defina el nivel de acceso basado en el Nivel de Confianza del usuario.
-
Configure cómo se solicita a los usuarios que se reautentiquen para brindar la mejor experiencia para sus usuarios.
La Política Always-On mejora la seguridad de Internet definiendo reglas para cuando los usuarios o grupos de usuarios siempre se conectan al Cato Cloud. Esto asegura que todo el tráfico pase por un PoP y los motores de seguridad de Cato inspeccionen el tráfico para asegurarse de que cumpla con sus políticas de seguridad.
Para más información sobre cómo crear una regla en tu política Siempre Activa, consulte Protegiendo Usuarios con Seguridad Siempre Activa.
Si ya tiene una regla para los grupos de usuarios relevantes en su política Always-On, este paso no es necesario.
Paso 2: Configurar la Política de Acceso de Cliente para Proporcionar Acceso Basado en el Nivel de Confianza
La política de Conectividad del Cliente protege su red asegurando que los dispositivos o usuarios solo se conecten cuando cumplen con los requisitos de seguridad organizacional.
Incluir el Nivel de Confianza y las Acciones en una regla de Política de Conectividad del Cliente le permite definir el acceso disponible para los usuarios y grupos de usuarios basado en cuán confiable es su autenticación.
Para más información sobre cómo gestionar el acceso a la red en tu Política de Acceso de Cliente, consulte Configuración de la Política de Acceso de Cliente.
Las reglas de la Política de Conectividad del Cliente solo pueden aplicarse a usuarios con una Licencia SDP.
Para configurar el acceso basado en el Nivel de Confianza:
-
Desde el menú de navegación, haga clic en Acceso > Política de Conectividad del Cliente.
-
Haga clic en Nuevo. Se abre el panel Nueva Regla.
-
Configure el alcance de la regla:
-
Defina el Nivel de Confianza
-
Defina la Acción
-
-
Haz clic en aplicar y, a continuación, haz clic en Guardar.
Nota
Nota: Como mejor práctica, cree una regla final para cualquier usuario o grupo con un Nivel de Confianza de Cualquiera y la acción Permitir Internet. Esto proporciona a cualquier usuario que no haya coincidido con una regla de mayor prioridad acceso seguro a Internet.
Puede elegir cuándo el Cliente solicita a los usuarios que se reautentiquen. Por ejemplo:
-
Si un usuario solo necesita acceso seguro a Internet y no necesita acceso regular a su red privada (WAN), no necesitan ser molestados por solicitudes de reautenticación.
-
Si un usuario siempre necesita acceso a su red privada (WAN), pueden recibir solicitudes de reautenticación antes y después de que el token de autenticación expire para que su acceso no sea bloqueado.
Si configura Cualquiera o Bajo nivel de confianza con la acción Permitir WAN e Internet, el usuario no recibe una solicitud de reautenticación después de que el token expire, y se le concede acceso total con un token expirado. Para más información sobre los métodos de autenticación disponibles, consulte Configuración de la Política de Autenticación para Clientes Cato.
Para definir cuándo se solicita a los usuarios que se reautentiquen:
-
Desde el menú de navegación, haga clic en Acceso > Autenticación de Usuario.
-
Haga clic en la pestaña Configuraciones Adicionales.
-
Elija cuándo se solicita a los usuarios que se reautentiquen.
Nota: Puede elegir una, ambas o ninguna de las opciones. Si deja ambas opciones sin marcar, el usuario no recibe ninguna solicitud para reautenticarse.
-
Haz clic en Guardar.
Puedes monitorear el nivel de confianza de los usuarios en cualquier momento desde la página Acceso > Usuarios. El nivel de confianza actual de un usuario se muestra en la pestaña Actividad de Usuarios SDP (la columna puede estar oculta).
También se crea un evento cada vez que la Política de Acceso de Cliente permite a un usuario conectarse. Para más información, consulta Configurar la Política de Acceso de Cliente.
El Cliente muestra el nivel de acceso permitido al usuario basado en cuán confiable es su autenticación. Dependiendo del nivel de acceso permitido, el Acceso Privado Seguro y el Acceso Seguro a Internet se listan con una marca de verificación o un signo de exclamación.
Habilitar la Seguridad de Internet Remota con Autenticación de Una Sola Vez tiene impactos en otras funciones.
El DNS interno para su cuenta es ignorado para usuarios a quienes se les otorga acceso solo a Internet.
Si un usuario tiene solo acceso a Internet, el DNS de Internet de Cato (10.254.254.1) se usa como su DNS Primario y su DNS Secundario es 8.8.8.8.
Nota: Las Reglas de Reenvío de DNS se aplican de forma predeterminada. Este comportamiento se puede cambiar en base a cada usuario o cuenta. Para más información, por favor contacte al Soporte de Cato.
Modo Oficina
Puede configurar a los usuarios con Always-On habilitado para requerir autenticación en Cato cuando el Cliente está conectado en Modo de Oficina. Para más información, consulte Protegiendo Usuarios con Seguridad Siempre Activa.
Un usuario configurado en una regla de la Política de Conectividad del Cliente que permite el acceso a Internet con un Nivel de Confianza Bajo (token de Autenticación de Cato expirado) no necesita autenticarse en el Modo Oficina. La configuración de la Política de Conectividad del Cliente anula la configuración Siempre Activa en el Modo Oficina.
Las configuraciones de Pre-Inicio de Sesión no se ven afectadas por configuraciones de Seguridad de Internet Remota con Autenticación Única. Antes de que los usuarios se autentiquen, el tráfico se enruta de la siguiente manera:
-
Los clientes con Siempre Activo habilitado solo pueden conectarse a recursos definidos en Destinos Permitidos, el tráfico de Internet está bloqueado.
-
Los clientes sin Siempre Activo habilitado pueden conectarse a recursos definidos en Destinos Permitidos y acceder a Internet no seguro.
Para más información sobre Pre Login, consulte Usando Windows Pre Login y el Cliente SDP.
La Seguridad de Internet Remoto con Autenticación Una vez está habilitada usando configuraciones en la Política Siempre Activa y la Política de Acceso de Cliente,
Después de que los usuarios se autentican y el token de autenticación es válido, todo el tráfico pasa a través del PoP de Cato y es inspeccionado por los motores de seguridad de Cato de acuerdo con sus políticas de seguridad.
Después de que el token de autenticación expira, puede permitir que el tráfico de Internet continúe pasando a través del PoP de Cato. Esto proporciona acceso continuo a Internet asegurado aunque el usuario no esté autenticado. Para acceso privado asegurado, los usuarios aún deben re-autenticarse para obtener acceso según su política de Firewall WAN.
0 comentarios
Inicie sesión para dejar un comentario.