Concienciación del Usuario para Hosts Compartidos

Este tema proporciona información sobre cómo configurar la concienciación del usuario para hosts compartidos.

Visión general

Universal ZTNA (UZTNA) ofrece acceso de mínimos privilegios basado en identidad a aplicaciones privadas, SaaS y recursos de Internet a través de su plataforma SASE global. Aplica una segmentación consistente de usuario a aplicación, prevención de amenazas en tiempo real y verificaciones del estado del dispositivo, permitiendo acceso seguro para usuarios a través de entornos móviles, de sucursal y en la nube.

User_Awareness_-__Shared_Hosts.png

Con la concienciación del usuario para hosts compartidos, Cato te permite identificar y rastrear múltiples usuarios que se conectan desde un único dispositivo, como un servidor de terminales de Windows, un entorno de Citrix o un escritorio virtual de Azure (AVD). Los usuarios se conectan al dispositivo compartido desde sus dispositivos y pueden luego acceder a los recursos a través del dispositivo compartido de acuerdo con la política de tu organización.

La concienciación del usuario proporciona visibilidad crítica en las actividades del usuario, permitiendo un cumplimiento más granular de las políticas, mejorando la auditoría de seguridad y mejorando la detección de amenazas. Asegura que los controles de acceso y la monitorización se mantengan efectivos, incluso en entornos donde varios usuarios comparten el mismo host.

Nota

Nota:

  • Cato recomienda que instale el Cliente Cato para todos sus usuarios para obtener los beneficios de conciencia del usuario, postura del dispositivo y capacidades de monitorización de experiencia.
  • Esta función requiere el Cliente Windows v5.15 o posterior.

Flujo de Información

Los usuarios se conectan desde su dispositivo al host compartido situado detrás de un sitio (Socket, vSocket, etc.), por ejemplo, a través de una sesión RDP. Cada conexión de usuario al host compartido está marcada con una clave específica para ese usuario. Cuando el tráfico se envía desde el host compartido a la Nube Cato a través del túnel GRE, la clave se corresponde con la identidad del usuario, y el tráfico es inspeccionado y monitoreado basado en las políticas aplicadas a ese usuario o grupo de usuarios. Por ejemplo, a los usuarios de I+D se les podría conceder acceso a un repositorio, pero no a Salesforce, mientras que a los Ingenieros de Ventas se les concederá acceso a Salesforce, pero no al repositorio.

Por defecto, el tráfico se envía utilizando el protocolo IP estándar GRE 47. Para redes donde enviar tráfico GRE no es posible (por ejemplo, Microsoft Azure) o no es deseable debido a restricciones de seguridad u otras, es posible encapsular el tráfico GRE dentro de UDP. Esto se puede habilitar usando la clave de registro, como se describe a continuación. Una vez habilitado, todo el tráfico se encapsula en UDP y se envía a través del puerto 4754.

Nota

Nota: El tráfico se envía al rango del sistema Cato desde los Clientes, que por defecto es 10.254.254.0/24, para terminar el túnel GRE. Por lo tanto, este destino debe ser enrutado a un Socket dentro de la red que aloja los Clientes.

Para el tráfico que no deseas enviar a la Nube Cato, por ejemplo, a un servidor DNS, puedes configurar excepciones para que no pase por el túnel GRE. Esto te permite mantener el tráfico local en la LAN para que no tenga que salir al PoP.

Configuración de Concienciación del Usuario para Hosts Compartidos

Para habilitar la concienciación del usuario para los hosts compartidos, necesitas hacer lo siguiente:

  1. Configure qué tráfico se envía a través del host compartido y cuál no
  2. Instale el Cliente Cato en los hosts compartidos

Configuración del Tráfico a los Hosts Compartidos

Puedes configurar qué hosts compartidos pueden comunicarse con la Nube de Cato a través del túnel GRE y el tráfico a excluir. Por ejemplo, el tráfico de Internet debe enviarse a través del túnel GRE, pero el tráfico DNS debe excluirse.

shared-host-newRule.png

Configurar el tráfico hacia los hosts compartidos

  1. Navega a Acceso a la nube > Conciencia del Usuario y haz clic en la pestaña Hosts Compartidos .
  2. Haga clic en Nuevo > Nueva Regla.

    1. En el campo Dirección IP, selecciona el host o CIDR al que aplicar la regla.

      Los rangos de IP no son soportados, por ejemplo 10.10.10.5-10.10.10.10.

    2. Definir Excepciones de Enrutamiento para el tráfico que no debe enviarse a través del túnel GRE, por ejemplo, a un servidor DNS o Active Directory.
  3. Haz clic en Guardar y Publicar para propagar los cambios.

Instalar el Cliente Cato en los Hosts Compartidos

Necesitas instalar el Cliente Cato en los hosts compartidos para habilitar el túnel GRE.

shared-hosts.png

Los siguientes sistemas operativos son soportados:

  • Windows Server 2019 y superior
  • Para Azure Virtual Desktop, Windows 10 o Windows 11

Para instalar el Cliente Cato

  1. Siga las instrucciones para instalar el Cliente Cato.

  2. Instale a través de la línea de comandos y ejecute:

    .\<setup_file.exe>/props="CATO_INSTALL_UATS=1"

  3. Para Azure Virtual Desktop Windows 10 o Windows 11, después de completar la instalación:

    1. En el Registro de Windows, navegue a HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
    2. Cree el DWORD GREOverUDP y establezca el valor en 1
  4. En la misma ubicación del Registro de Windows, para verificar que la instalación fue exitosa, asegúrese de que el registro GREMode se haya creado y el valor esté establecido en 1.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 6 de 7

0 comentarios