Configuración de la Política de Conectividad del Cliente

Este artículo analiza cómo configurar reglas para la Política de Conectividad del Cliente como parte de la implementación y aplicación del Acceso a la Red de Confianza Cero (ZTNA) en su cuenta de Cato.

Para obtener más información, consulte ¿Qué es la Política de Conectividad del Cliente?.

Visión general

Use la Política de Conectividad del Cliente para aplicar los requisitos de su política ZTNA que el Cliente Cato realiza en dispositivos para usuarios, como: Posturas y Controles del Dispositivo, nivel de confianza, sistema operativo del dispositivo, y más. Si el dispositivo no cumple con la política establecida para el perfil, entonces el usuario no puede conectarse a la Nube de Cato.

Por ejemplo, solo puedes permitir que los usuarios remotos accedan a los recursos internos cuando cumplen con las políticas de Postura del Dispositivo. Esto puede mejorar tu confianza en los dispositivos que están conectados a tus recursos internos.

También puedes usar la Política de Conectividad del Cliente para proporcionar a los usuarios acceso remoto seguro a Internet después de una autenticación de una sola vez. Para más información, ver Seguridad de Internet Remota con Autenticación de Una Vez.

Comprensión de las Acciones

La Acción define el nivel de acceso proporcionado al Usuario. Las Acciones son:

Permitir WAN e Internet: El Usuario tiene acceso a Internet seguro y puede acceder a la red privada (WAN)

Nota

Nota: Esta opción proporciona permiso a un Usuario para acceder a la red privada (WAN). El acceso de un Usuario a la red privada (WAN) depende de las reglas en el Firewall WAN.
Permitir Internet: El Usuario solo tiene acceso seguro a Internet y no puede acceder a la red privada (WAN)

Nota

Nota: Esta opción proporciona permiso a un Usuario para acceder a Internet. El acceso de un Usuario a Internet depende de las reglas en el Firewall de Internet.
Bloquear: El usuario está bloqueado para acceder a Internet y WAN.

Requisitos Previos

Las Comprobaciones de Dispositivos son compatibles con los Clientes de Windows y macOS. Para más información sobre los requisitos para cada chequeo, consulta Creación de Perfiles de Postura de Dispositivo y Chequeos de Dispositivo.

Preparación para implementar la Política de Conectividad del Cliente

El objetivo de la política es solo confiar en los dispositivos que cumplan con la política. Por lo tanto, define reglas que bloqueen todos los dispositivos no confiables para que NO se les permita conectarse a la red.

Antes de habilitar la Política de Conectividad del Cliente, asegúrate de decidir cuál es el comportamiento para los usuarios con Clientes y sistemas operativos no compatibles. ¿Quieres permitir que estos usuarios se conecten a tu cuenta? Por ejemplo, usuarios con Clientes Linux o Cliente Windows v4.7 y anteriores.

Funciones de la Política de Conectividad Compatibles

Configurando verificaciones para una variedad de proveedores de Anti-Malware y Firewall de punto final, para asegurarse de que el software relevante esté instalado y funcionando para permitir el acceso remoto con el Cliente.
Recomendamos que no habilite la conectividad Siempre Activada con Verificaciones en Tiempo Real, porque si un dispositivo no cumple con los requisitos de la política, el Cliente puede desconectarse abruptamente de la red. Esto puede proporcionar una mala experiencia para el usuario.

Puede revisar la lista de proveedores y versiones compatibles para Real-Time Checks aquí.
La Política de Conectividad es una política ordenada, por lo tanto, puede agregar usuarios a múltiples perfiles o reglas. Sin embargo, la primera regla que coincide se aplica al usuario.

Política de Conectividad del Cliente y Política Siempre Activada en la Oficina

Esta sección discute el uso de la Política de Conectividad del Cliente cuando está aplicando la política Siempre Activo detrás de un sitio y requiere que los usuarios remotos se autentiquen incluso cuando están en la oficina. La configuración de Siempre Activo Requerir autenticación en la oficina fuerza al Cliente a cumplir con la Política de Conectividad del Cliente antes de que los usuarios puedan conectar.

Recuerde que la Política de Conectividad del Cliente necesitará permitir que estos usuarios se conecten ya sea a la WAN o Internet, incluso cuando el dispositivo esté localizado en la oficina detrás de un sitio.
Si el Cliente entra en el modo para omitir Siempre Activo, se aplica la política de Cortafuegos de Internet y WAN del sitio al usuario. Esta política puede ser diferente a la que se aplica cuando el usuario se conecta de forma remota.

Para obtener más información, consulte Protección de Usuarios con Seguridad Siempre Activa (EA Anti-Tampering).

Configurando la Política de Conectividad del Cliente y Opciones

Esta sección explica cómo crear la Política de Conectividad del Cliente y añadir uno o más perfiles a cada regla.

Trabajando con la Política de Conectividad del Cliente Ordenada

Si un dispositivo coincide con el Usuario/Grupos, Plataformas, Países, y Perfil de Postura del Dispositivo para una regla, entonces la acción de la regla se aplica al dispositivo.

Para reglas con la acción Permitir, los dispositivos tienen permitido conectarse a la red
Para reglas con la acción Bloquear, los dispositivos están bloqueados y no pueden conectarse a la red

Creación de la Política de Conectividad del Cliente

La Política de Conectividad del Cliente es una base de reglas ordenada, y cada regla tiene un alcance de usuarios al que se aplica, incluyendo: geolocalización (países) y sistema operativo del dispositivo. Cuando Usuarios o grupos coinciden con la regla, la Nube de Cato gestiona las conexiones de la siguiente manera:

Cuando cumplen con los requisitos del Perfil de Dispositivo para una regla, se les permite conectarse a tu cuenta.
Cuando no cumplen con los requisitos del Perfil de Dispositivo para una regla, la Nube de Cato continúa inspeccionando la postura según las reglas de menor prioridad en la política.
El dispositivo para cualquier usuario o grupo que no coincida con ninguna regla es bloqueado por la regla implícita final de la política (CUALQUIER CUALQUIER bloqueo).

Para crear las reglas para la política de Conectividad del Cliente:

Desde el menú de navegación, haz clic en Acceso > Política de Conectividad del Cliente.
Haz clic en Nuevo.

Se abre el panel Nueva Regla.
Configura el alcance de la regla:
1. Defina los Usuarios/Grupos, Nivel de Confianza, Plataformas, Rango de IP del Proveedor Público, y Países para esta regla.
Expanda la Sección de Perfiles de Postura del Dispositivo y seleccione los perfiles para esta regla.

Si varios Perfiles están incluidos en una sola regla de Política, hay un implícito O entre ellos.

Nota: Seleccionar Cualquier Perfil de Postura del Dispositivo significa que no se incluyen Perfiles de Postura del Dispositivo en la regla.
Selecciona la Acción para la regla. Para más información sobre las acciones disponibles, consulta Seguridad de Internet Remota con Autenticación de Una Vez.
Haz clic en Aplicar.
Repite los pasos 2-5 para cada regla en la política de Conectividad del Cliente.
Habilita la Política de Conectividad del Cliente y luego haz clic en Guardar.

El deslizador es verde cuando la regla está habilitada, y gris cuando la regla está deshabilitada.

Política de Conectividad del Cliente de Ejemplo

Esta sección muestra un ejemplo de una Política de Conectividad del Cliente y cómo se aplican las reglas.

El alcance de la regla 1 son los grupos de I+D para África y Europa con dispositivos Windows.
- Cuando estos usuarios intentan conectarse a la Nube de Cato, solo se les permite conectar si cumplen con los requisitos del perfil de RnD África o el perfil de RnD Europa.
  
  De lo contrario, el motor verifica el usuario y el dispositivo para la regla 2.
El alcance de la regla 2 son los grupos de I+D para África y Europa con dispositivos Windows que NO cumplieron con los requisitos del Perfil de Postura de Dispositivo en la regla 1.
- Cuando estos usuarios intentan conectarse a la Nube de Cato, coinciden con el Perfil de Postura de Dispositivo Cualquier, y son bloqueados. No pueden conectarse a la Nube de Cato.
- La regla 2 no se aplica a los usuarios que no son miembros de los grupos de I+D para África y Europa, y estos usuarios continúan con la regla 3.
El alcance de la regla 3 es cualquier usuario o grupo de usuarios con un dispositivo Windows.

Cuando los usuarios intentan conectarse a la Nube de Cato, solo se les permite conectar a Internet y no a la WAN si cumplen con los requisitos del perfil de ejemplo.

De lo contrario, los usuarios son bloqueados por la regla final implícita CUALQUIER CUALQUIER Bloquear.

Experiencia del Usuario con la Postura del Dispositivo

Cuando los dispositivos coinciden con los Chequeos de Dispositivo, pueden conectarse a la Nube de Cato, y la experiencia para el usuario es que el Cliente muestra que está Conectado. Esto es la misma experiencia de Usuario que cuando no hay una política de Postura del Dispositivo para la cuenta.

Cuando un dispositivo no coincide con un Chequeo de Dispositivo, el Cliente no se conecta a la Nube de Cato, y el Cliente muestra un mensaje de error al usuario. Si un dispositivo no pasa una comprobación periódica después de que el Cliente está conectado, el Cliente se desconecta y se muestra el mismo mensaje de error.

Este es un ejemplo del mensaje de error:

Haz clic en Detalles para mostrar los requisitos específicos que el dispositivo no cumple. También se genera un evento que muestra los mismos detalles.

User Experience with Unsupported Client Versions

Cuando crea una política de Conectividad del Cliente para un Sistema Operativo, recomendamos encarecidamente que se asegure de que todos los Clientes instalados en todos los dispositivos estén actualizados a la versión mínima del Cliente admitida. Para las reglas que no permiten acceso para versiones anteriores (no compatibles) del Cliente, esta es la experiencia del Usuario final:

Windows OS - no se muestra mensaje al Usuario, y el Cliente intenta continuamente conectarse al túnel encriptado
macOS, iOS, Android, y Linux - a los Usuarios se les muestra un mensaje que dice que este dispositivo está bloqueado de la red (por ejemplo, conectar desde este OS está prohibido)

Comprensión de los Eventos para la Política de Conectividad del Cliente

La Aplicación de Gestión de Cato genera dos tipos de eventos relacionados con la Política de Conectividad del Cliente:

Siempre que los usuarios o grupos de usuarios cumplan con los requisitos de una regla de Política de Conectividad del Cliente, se les permitirá conectarse a la red.
Siempre que los Usuarios o grupos de Usuarios son bloqueados de conectarse a la red porque no cumplen con los requisitos de la Política de Conectividad del Cliente.

La siguiente tabla explica algunos de los campos del evento de una acción Permitir:

Campo	Explicación
Perfil de Postura del Dispositivo	El nombre del Perfil de Postura del Dispositivo que el dispositivo cumple.
Regla	El nombre de la regla de la Política de Conectividad del Cliente que permitió al dispositivo conectarse.
Método de Autenticación	El método de autenticación utilizado por el Usuario para autenticarse con el Cliente.

La siguiente tabla explica los diferentes Eventos de Conectividad con la acción Bloquear y la razón por la que la conexión fue bloqueada.

Subtipo de Evento	Razón del Bloqueo	Descripción del Mensaje del Evento
Política de Conectividad del Cliente	El dispositivo no cumple con la Comprobación de Dispositivo	Muestra los detalles del Anti-Malware o Firewall instalado en el dispositivo, y lo que se requiere para la Comprobación de Dispositivo.
Política de Conectividad del Cliente	Cliente no compatible	El dispositivo se está conectando usando un Sistema Operativo de Cliente o versión que no es soportada, y la regla de coincidencia no permite que un Cliente no soportado se conecte.
Política de Conectividad del Cliente	El dispositivo no coincide con ninguna regla	El dispositivo no coincidió con el alcance de ninguna regla en la Política de Conectividad del Cliente. Por lo tanto, la conexión fue bloqueada por la regla implícita final.

DevicePostureSupported_AM.txt70 kB