Este artículo describe cómo configurar reglas para la Política de Conectividad del Cliente como parte de la implementación y aplicación de Zero Trust Network Access (ZTNA) en su cuenta de Cato.
Para más información, consulte ¿Qué es la Política de Acceso de Cliente?.
Use la Política de Conectividad del Cliente para aplicar los requisitos de su política ZTNA que el Cliente de Cato realiza en dispositivos para usuarios, tales como: Evaluaciones y Verificaciones del Dispositivo, nivel de confianza, sistema operativo del dispositivo y más. Si el dispositivo no cumple con la política establecida para el perfil, el usuario no puede conectarse a la Nube de Cato.
Por ejemplo, solo puede permitir que los usuarios remotos accedan a recursos internos cuando cumplen con las políticas de Evaluación del Dispositivo. Esto puede mejorar su confianza en los dispositivos que están conectados a sus recursos internos.
También puede usar la Política de Conectividad del Cliente para proporcionar a los usuarios acceso remoto seguro a Internet después de una autenticación única. Para más información, ver Seguridad de Internet Remota con Autenticación de Una Vez.
La Acción define el nivel de acceso proporcionado al usuario. Las Acciones son:
-
Permitir WAN e Internet: El usuario tiene acceso seguro a Internet y puede acceder a la red privada (WAN)
Nota
Nota: Esta opción proporciona permiso para que un usuario acceda a la red privada (WAN). El acceso de un usuario a la red privada (WAN) depende de reglas en el Firewall WAN.
-
Permitir sólo Internet: El usuario sólo tiene acceso seguro a Internet y no puede acceder a la red privada (WAN)
Nota
Nota: Esta opción proporciona permiso para que un usuario acceda a Internet. El acceso de un usuario a Internet depende de reglas en el Firewall de Internet.
Esta Acción también incluye la opción de Terminar sesiones WAN activas. Esta opción se aplica cuando un usuario remoto fue previamente permitido acceso WAN bajo una regla, pero sus circunstancias cambian y ahora coinciden sólo con una regla que permite acceso a Internet. En este caso, puedes decidir si terminar las sesiones WAN existentes del usuario remoto.
Por ejemplo, a un usuario remoto se le concede acceso WAN basado en su nivel de confianza. Si esa condición cambia después, como cuando el token expira, el usuario remoto ya no está permitido para acceder a WAN. Esta configuración determina si sus sesiones WAN actuales se desconectan. Esta opción no se aplica en Modo Oficina.
-
Bloquear WAN e Internet: El usuario está bloqueado de acceder a Internet y a la WAN
Las sesiones WAN existentes siempre se terminan una vez que un usuario cumple con una regla con esta acción.
Las Verificaciones del Dispositivo son compatibles para Clientes de Windows y macOS. Para más información sobre los requisitos para cada chequeo, consulta Creación de Perfiles de Postura de Dispositivo y Verificaciones de Dispositivo.
El objetivo de la política es solo confiar en dispositivos que coincidan con la política. Por lo tanto, defina reglas que bloqueen todos los dispositivos no confiables para que NO se les permita conectarse a la red.
Antes de habilitar la Política de Conectividad del Cliente, asegúrese de decidir cuál es el comportamiento para los usuarios con Clientes y sistemas operativos no compatibles. ¿Quiere permitir que estos usuarios se conecten a su cuenta? Por ejemplo, usuarios con Clientes de Linux o Cliente de Windows v4.7 y anteriores.
- Configurando verificaciones para una variedad de proveedores de Anti-Malware y Firewall de endpoint, para asegurarse de que el software relevante esté instalado y en curso para permitir acceso remoto con el Cliente.
-
Recomendamos que no habilite la conectividad Siempre-Encendido con Verificaciones en Tiempo Real, porque si un dispositivo no cumple con los requisitos de la política, el Cliente puede desconectarse abruptamente de la red. Esto puede proporcionar una mala experiencia al usuario.
Puedes revisar la lista de proveedores y versiones compatibles para las Comprobaciones en Tiempo Real aquí.
- La Política de Conectividad es una política ordenada, por lo tanto, puedes agregar usuarios a múltiples perfiles o reglas. Sin embargo, la primera regla coincidente se aplica al usuario.
Esta sección discute el uso de la Política de Conectividad del Cliente cuando está aplicando la política Siempre-Encendido detrás de un sitio y requiere que los usuarios remotos se autentiquen incluso cuando están en la oficina. La configuración Siempre-Encendido Requiere autenticación en la oficina obliga al Cliente a cumplir con la Política de Conectividad del Cliente antes de que se permita a los usuarios conectarse.
- Recuerda que la Política de Conectividad del Cliente necesitará permitir que estos usuarios se conecten ya sea a la WAN o Internet, incluso cuando el dispositivo esté ubicado en la oficina detrás de un sitio.
- Si el Cliente entra en el modo para omitir Siempre Activo, la política de Firewall de WAN e Internet para el sitio se aplica al usuario. Esta política puede ser diferente de lo que se aplica cuando el usuario se conecta de forma remota.
Para más información, consulte Protección de Usuarios con Seguridad Siempre Activa.
Esta sección explica cómo crear la Política de Conectividad del Cliente y agregar uno o más perfiles a cada regla.
La Política de Conectividad del Cliente es una base de reglas ordenada, y cada regla abarca a los usuarios a los que se aplica la regla, incluyendo: geolocalización (Países) y sistema operativo del dispositivo. Cuando usuarios o grupos coinciden con la regla, la Nube de Cato gestiona las conexiones como sigue:
- Cuando cumplen con los requisitos del Perfil del Dispositivo para una regla, se les permite conectarse a su cuenta.
- Cuando no cumplen con los requisitos del Perfil del Dispositivo para una regla, la Nube Cato continúa inspeccionando la postura según las reglas de menor prioridad en la política.
- El dispositivo para cualquier usuario o grupo que no coincida con ninguna regla es bloqueado por la regla implícita final de la política (CUALQUIERA CUALQUIERA bloque).
Para crear las reglas para la política de Conectividad del Cliente:
- Desde el menú de navegación, haga clic en Acceso > Política de Acceso de Cliente.
-
Haga clic en Nuevo.
El panel de Nueva Regla se abre.
- Configure el alcance de la regla:
- Defina los Usuarios/Grupos, Nivel de Confianza, Plataformas, Rango de IP del ISP Público, y Países para esta regla.
-
Expanda la sección de Perfiles de Evaluación del Dispositivo, y seleccione los perfiles para esta regla.
Si se incluyen múltiples Perfiles en una única regla de Política, hay un OR implícito entre ellos.
Nota: Elegir Cualquier Perfil de Evaluación del Dispositivo significa que no se incluyen Perfiles de Evaluación del Dispositivo en la regla.
- Seleccione la Acción para la regla. Para más información sobre las acciones disponibles, consulte Seguridad de Internet Remota con Autenticación de Una Sola Vez.
- Haga clic en Aplicar.
- Repita los pasos 2-5 para cada regla en la política de Acceso de Cliente.
-
Habilite la Política de Conectividad del Cliente y luego haga clic en Guardar.
El control deslizante
es verde cuando la regla está activada, y gris cuando la regla está desactivada.
Esta sección muestra un ejemplo de una Política de Conectividad del Cliente y cómo se aplican las reglas.
-
El alcance de la regla 1 son los grupos de I+D para África y Europa con dispositivos Windows.
-
El alcance de la regla 2 son los grupos de I+D para África y Europa con dispositivos Windows que NO cumplieron con los requisitos del Perfil de Evaluación de Dispositivos en la regla 1.
- Cuando estos usuarios intentan conectarse a la Nube Cato, coinciden con el Perfil de Postura del Dispositivo Cualquiera y son bloqueados. No pueden conectarse a la Nube Cato.
- La Regla 2 no se aplica a los usuarios que no son miembros de los grupos de I+D para África y Europa, y estos usuarios continúan con la regla 3.
-
El alcance de la regla 3 es cualquier usuario o grupo de usuarios con un dispositivo Windows.
Cuando los usuarios intentan conectarse a la Nube de Cato, solo se les permite conectar a Internet y no a la WAN si cumplen con los requisitos del perfil de ejemplo.
De lo contrario, los usuarios son bloqueados por la regla final implícita CUALQUIER CUALQUIER Bloquear.
Cuando los dispositivos coinciden con las Verificaciones del Dispositivo, pueden conectarse a la Nube de Cato, y la experiencia para el usuario es que el Cliente muestra que está Conectado. Esta es la misma experiencia de usuario que cuando no hay una política de Evaluación de Dispositivos para la cuenta.
Cuando un dispositivo no coincide con una Verificación del Dispositivo, el Cliente no se conecta a la Nube de Cato, y el Cliente muestra un mensaje de error al usuario. Si un dispositivo falla una verificación periódica después de que el Cliente está conectado, el Cliente se desconecta y se muestra el mismo mensaje de error.
Este es un ejemplo del mensaje de error:
Haga clic en Detalles para mostrar los requisitos específicos que el dispositivo no cumple. También se genera un evento que muestra los mismos detalles.
Cuando crea una política de conectividad de Cliente para un SO, recomendamos encarecidamente que se asegure de que todos los Clientes instalados en todos los dispositivos estén actualizados a la versión mínima soportada del Cliente. Para reglas que no permiten el acceso para versiones de Cliente anteriores (no soportadas), esta es la experiencia del usuario final:
- Windows OS - no se muestra mensaje al usuario, y el Cliente intenta continuamente conectarse al túnel cifrado.
- macOS, iOS, Android y Linux: se muestra a los usuarios un mensaje que indica que este dispositivo está bloqueado de la red (por ejemplo, conectarse desde este SO está prohibido).
La Aplicación de Gestión de Cato genera dos tipos de eventos relacionados con la Política de Conectividad del Cliente:
- Siempre que los usuarios o grupos de usuarios cumplan con los requisitos de una regla de Política de Acceso de Cliente, y se les permita conectarse a la red.
- Siempre que los usuarios o grupos de usuarios sean bloqueados de conectarse a la red porque no cumplen con los requisitos de la Política de Acceso de Cliente.
La siguiente tabla explica algunos de los campos de evento de un evento de acción Permitir:
| Campo | Explicación |
|---|---|
| Perfil de Postura del Dispositivo | El nombre del Perfil de Postura del Dispositivo con el que cumple el dispositivo. |
| Regla | El nombre de la regla de la Política de Acceso de Cliente que permitió al dispositivo conectarse. |
| Método de Autenticación | El método de autenticación que el usuario usó para autenticar al Cliente. |
La siguiente tabla explica los diferentes eventos de Conectividad con la acción de Bloqueo y la razón por la que se bloqueó la conexión.
|
Subtipo de Evento |
Razón para el Bloqueo |
Descripción del Mensaje del Evento |
|---|---|---|
|
Política de Conectividad del Cliente |
El dispositivo no cumple con la Verificación del Dispositivo |
Muestra los detalles del Anti-Malware o Firewall instalado en el dispositivo, y qué se requiere para la Verificación del Dispositivo. |
|
Política de Conectividad del Cliente |
Cliente no soportado |
El dispositivo se está conectando usando un SO de Cliente o versión que no es soportada, y la regla coincidente no permite que un Cliente no soportado se conecte. |
|
Política de Conectividad del Cliente |
El dispositivo no coincide con ninguna regla |
El dispositivo no coincidió con el alcance de ninguna regla en la Política de Conectividad del Cliente. Por lo tanto, la conexión fue bloqueada por la regla implícita final. |
0 comentarios
Inicie sesión para dejar un comentario.