Este artículo explica los diferentes certificados utilizados por Cato Networks y sus propósitos.
Cato usa dos tipos diferentes de certificados digitales para asegurar la autenticación de dispositivos e inspeccionar el tráfico cifrado. Cada certificado cumple un propósito distinto y se distribuye de manera independiente:
-
Certificado de Inspección TLS de Cato – Desplegado en navegadores y puntos de conexión para permitir que Cato descifre e inspeccione el tráfico HTTPS para DLP, Anti-Malware y control de aplicaciones.
-
Certificado de Dispositivo del Cliente Cato – Generado automáticamente durante la instalación del Cliente para autenticar el dispositivo y aplicar políticas de acceso Zero Trust.
Estos certificados no son intercambiables. El certificado de Inspección TLS permite la inspección segura de los flujos de tráfico, mientras que el certificado de Dispositivo del Cliente valida e identifica el propio endpoint. Juntos, apoyan el acceso Zero Trust y proporcionan visibilidad profunda del tráfico cifrado a través de la red.
El certificado de Inspección TLS permite a Cato actuar como un intermediario de confianza para el tráfico HTTPS cifrado. El CA raíz predeterminado de Cato se instala automáticamente cuando descargas e instalas el Cliente Cato, o puedes subir tu propio certificado raíz CA a la Aplicación de Gestión de Cato (CMA). [KM1] [YL2] El certificado debe instalarse en los dispositivos de los usuarios para evitar advertencias del navegador cuando las sesiones TLS son inspeccionadas y firmadas nuevamente por Cato. [KM1] Cambiaría estos predicados para que primero se mencione el CA raíz predeterminado de Cato (ya que es, con diferencia, el caso de uso más común), luego mencionar el uso del CA raíz "personalizado/privado" como más bien una idea posterior. [YL2]@Kiki Mitchell ¿Es esto mejor?
La Compañía ABC aplica políticas de seguridad estrictas para el tráfico web, incluyendo la inspección TLS para DLP y escaneo Anti-Malware. Para evitar errores del navegador en los dispositivos de los usuarios, el administrador sube un certificado CA raíz personalizado al CMA y lo distribuye a todos los dispositivos corporativos usando MDM. Cuando los usuarios navegan por sitios web HTTPS, las sesiones TLS son descifradas, inspeccionadas y recifradas por Cato sin que se activen advertencias de certificado.
El certificado de Dispositivo del Cliente se usa para la autenticación basada en certificados y debe instalarse en cada endpoint. En la Aplicación de Gestión de Cato (CMA), subes un Certificado de Firma que Cato usa para verificar certificados de dispositivos en toda tu organización. Los certificados de dispositivo deben ser generados por una autoridad de confianza y desplegados en los endpoints usando herramientas como MDM o scripts de automatización. Una vez instalados, permiten a Cato autenticar el dispositivo, aplicar verificaciones de postura, aplicar políticas de Conectividad del Cliente, y restringir el acceso solo a los endpoints de confianza.
La Compañía ABC quiere asegurarse de que solo portátiles emitidos por la empresa puedan conectarse a la red usando el Cliente Cato. Cuando un usuario instala el Cliente, automáticamente genera un certificado de dispositivo vinculado a ese endpoint y cuenta. El administrador habilita la validación de certificados de dispositivo en la Política de Conectividad del Cliente. Si un usuario copia el Cliente en un dispositivo personal, falta el certificado, y el dispositivo es bloqueado para conectarse, incluso si el usuario tiene credenciales válidas.
0 comentarios
El artículo está cerrado para comentarios.