Este artículo discute cómo configurar su política Siempre Activa para incrementar la seguridad en Internet para los usuarios en su cuenta.
La Política Siempre Activa mejora la seguridad en Internet al definir reglas para cuando los usuarios o grupos de usuarios siempre se conectan al Cato Cloud. Esto asegura que todo el tráfico pase por un PoP, y los motores de seguridad de Cato inspeccionen el tráfico para asegurarse de que cumpla con sus políticas de seguridad.
La red de la empresa ABC es utilizada por sus propios empleados, quienes tienen acceso a los recursos corporativos, y por contratistas externos, quienes no pueden acceder a los recursos corporativos. Crean una regla para habilitar Siempre Activa para sus empleados mientras los contratistas externos pueden acceder directamente a Internet. Esto asegura que todo el tráfico de los empleados de la empresa se transmita a través del Cato Cloud y esté protegido por políticas de seguridad.
La empresa ABC instala el Cliente de Cato en todos sus dispositivos gestionados y también permite a sus empleados instalar el Cliente en sus dispositivos personales para que puedan acceder a los recursos de la empresa si es necesario. La política de seguridad corporativa requiere que los dispositivos gestionados estén siempre conectados a la red.
El equipo de IT crea un perfil de Postura del Dispositivo que utiliza una Verificación de Dispositivo que verifica si un certificado de firma está instalado en el dispositivo.
Luego crean reglas en la política Siempre Activa para requerir Siempre Activa solo para dispositivos que coincidan con el perfil de Postura del Dispositivo para certificados.
La Política Siempre Activa es una base de reglas ordenada. Las reglas de su política se aplican a un Usuario o Grupo de la siguiente manera:
- Cuando cumplen con una regla, el Cliente sigue la configuración establecida en la regla
- Si no cumplen con ninguna regla, pueden desconectarse de la red
Esta sección describe el flujo de configuración para aplicar la política Siempre Activa solo a los dispositivos gestionados usando una Comprobación de Dispositivo para certificados de firma.
-
Preparar dispositivos para usar la Comprobación de Dispositivo para el certificado de firma.
- Distribuir el certificado a los dispositivos gestionados. Consulte los artículos en Distribución e Instalación de Certificados de Dispositivo.
- Subir el certificado de firma al CMA. Consulte Gestión de Certificados de Firma para Acceso Remoto.
- Para identificar dispositivos gestionados en función del certificado instalado, configure una Comprobación de Dispositivo para certificados y asígnelo a un Perfil de Dispositivo. Consulte Crear Perfiles de Postura de Dispositivo y Controles de Dispositivo.
-
En la política Siempre Activa, cree una nueva regla que requiera que los dispositivos gestionados siempre se conecten a la red:
- Usuario/Grupos - Asignar grupos de usuarios o usuarios a los dispositivos gestionados.
- Perfiles de Postura del Dispositivo - Seleccione el Perfil de Dispositivo que creó en el paso 2.
- Conectado - Seleccione Siempre Activo.
-
Duple cuidadosamente la regla del paso 3 y cambie la configuración de Conectado a Bajo Demanda.
- Publicar la política Siempre Activa.
Con la Política Siempre Activa habilitada, aún puede proporcionar acceso directo a Internet a los usuarios mediante:
- Usando un método de contorneo temporal
- Creando una regla con un estado de conexión A Demanda
- Permitiendo acceso a Internet en modo Recuperación
Puede haber algunas situaciones donde los usuarios necesiten temporalmente evitar el Cato Cloud y acceder directamente a Internet. Por ejemplo, para acceder temporalmente a un sitio web que está bloqueado por una regla de Cortafuegos de Internet. Para cada regla, puedes configurar cómo los usuarios omiten temporalmente la Cato Cloud.
En Windows v5.9 y superior, también puede configurar cuánto tiempo los usuarios pueden evitar el Cato Cloud. Durante este período, el tráfico de Internet no fluye a través del Cato Cloud y no es seguro.
Cuando el Cliente se desconecta temporalmente, se generan eventos que muestran los detalles del usuario y la duración por la que el Cliente estuvo desconectado. Para ver estos eventos, en la página Eventos aplique un filtro para el sub-tipo VPN Never-Off Bypass. El Método de Contorneamiento en el evento muestra el método usado para evitar el Cliente. Para más información sobre eventos en su cuenta, consulte Analizar Eventos en Su Red.
Los usuarios pueden evitar temporalmente el Cato Cloud usando ya sea:
- El contorno controlado por el Admin con un código de contorneo
- El contorno controlado por el Usuario
Nota
Nota: Soportado en Windows, Android, Clientes iOS y Cliente macOS v5.4 y superior
Use esta opción para generar una contraseña de un solo uso (OTP) en la Aplicación de Gestión de Cato que puede dar a cualquier usuario y permitirles temporalmente desconectar el Cliente. En las versiones del Cliente Windows inferiores a 5.9 y otros sistemas operativos compatibles, el Cliente es evitado hasta por 15 minutos por vez. Cada código puede ser válido hasta por 15 minutos.
Además, puede utilizar una aplicación de autenticación (como Google Authenticator) para escanear el código QR en esta pantalla. Luego, siempre puede obtener un OTP para los usuarios desde la aplicación de autenticación. La aplicación de autenticación actualiza el código cada 30 segundos, por lo que cada código solo es válido por 30 segundos.
Puede utilizar el mismo código de contorneo para múltiples usuarios, siempre que el código siga siendo válido.
Nota
Nota: Compatible a partir de:
- Cliente Windows v5.9 y superior
- Cliente macOS v5.5 y superior
- Cliente de iOS v5.6 y superior
Esta opción permite a los usuarios desconectar temporalmente el Cliente bajo demanda. En el Cliente, el usuario debe proporcionar una razón para desconectar el Cliente en un campo de texto libre. y luego puede acceder directamente a Internet de inmediato. Esta razón se incluye en el evento.
Al Cliente se le permite desconectarse por la duración que se configure en la Duración de la Desconexión.
El equipo de ingeniería de una empresa minorista es responsable de garantizar que su sitio web tenga un 100% de disponibilidad para recibir pedidos en línea. Esto significa que siempre necesitan acceso a una aplicación SaaS en línea necesaria para solucionar problemas. Se requiere acceso a la aplicación fuera del horario laboral y cuando se trabaja de forma remota. La política de seguridad de la empresa establece que todo acceso a Internet debe ser seguro.
Para cumplir con la política de seguridad, el TI habilita Siempre Activo. Como medida de precaución, para evitar una situación en la que durante un posible corte el Cliente no pueda conectarse a Cato Cloud, el equipo de TI proporciona a los ingenieros una forma de acceder inmediatamente a Internet. El equipo de TI creó una regla en su política Siempre Activa para el grupo de Usuarios de ingenieros, donde el Modo de Omisión está configurado para permitir a los usuarios desconectarse temporalmente a pedido.
Si un ingeniero necesita solucionar problemas del sitio web en medio de la noche, el equipo de IT puede asegurarse de que pueden acceder a la aplicación SaaS de solución de problemas incluso si hay un problema con el Cliente. El ingeniero no necesita esperar la aprobación de IT para evitar el Cato Cloud y comenzar a solucionar los problemas del sitio web.
Si hay usuarios que necesitan regularmente acceso directo a Internet, puedes agregarlos a una regla con el estado del conector Ignorar. Esta configuración permite a los usuarios conectar o desconectar el Cliente según sea necesario.
Nota
Nota: Compatible a partir de:
- Cliente Windows v5.9 y superior
- Cliente macOS v5.5 y superior
- Cliente de iOS v5.6 y superior
También puede elegir el comportamiento del Cliente en un escenario donde no se puede establecer una conexión con el Cato Cloud. El Cliente se puede configurar para:
- Permitir Internet (Configuración Predeterminada): Los usuarios pueden acceder a Internet. El tráfico no fluye a través del Cato Cloud y no es seguro hasta que se establezca una conexión con el Cato Cloud.
- Restringir el acceso a Internet: Los usuarios no pueden acceder a Internet hasta que se establezca una conexión con Cato Cloud e Internet seguro.
La empresa ABC ha habilitado Siempre Activa para todos los usuarios. Sus ejecutivos de nivel C a menudo viajan y se conectan a Internet desde aeropuertos y hoteles. Ocasionalmente el Cliente no detecta el portal cautivo y no puede establecer un túnel cifrado. Para asegurar que el equipo ejecutivo pueda continuar trabajando cuando está de viaje, el equipo de TI configura Modo de Recuperación en la regla Siempre Activa para el grupo de Usuario C-suite para permitir acceso a Internet.
Si el Cliente no detecta un portal cautivo, los usuarios de la C-suite pueden continuar trabajando, ya que el Cliente permite el acceso a Internet según la política Siempre-Activado. Tan pronto como el Cliente restablece un túnel, el tráfico fluye a través de Cato Cloud como se esperaba.
Antes de activar su Política Siempre-Activado, considere cómo Siempre-Activado interactúa con otras funciones y versiones del Cliente en su entorno. Esta sección ofrece recomendaciones sobre cómo usar SSO, Conectividad del Cliente, Autenticación de Dispositivos y el Cliente Windows con su Política Siempre-Activado.
Para cuentas que usan autenticación de Inicio de Sesión Único para usuarios, también puede configurar los Clientes compatibles para permanecer siempre conectados a la Nube Cato (Siempre Activo). Esta configuración proporciona a los usuarios la simplicidad del SSO y la seguridad de la Política Siempre Activa. El Cliente puede acceder al proveedor IdP y el acceso a otros recursos se efectúa de acuerdo con su política de seguridad.
Nota
Nota: Para ayudar a los usuarios que no pueden autenticarse en el Cliente, recomendamos que actives un método de omisión de la Cato Cloud y revises los eventos de omisión. De lo contrario, el dispositivo no autenticado no podrá conectar a Internet o a la Nube Cato.
Esta sección contiene mejores prácticas y recomendaciones para implementar Siempre-Activado con SSO en su cuenta.
- Comience habilitando Siempre-Activado y SSO para un pequeño número de usuarios para minimizar el impacto en su cuenta
- Revise los eventos de omisión para monitorear el uso de códigos de omisión en su organización
- Dado que los usuarios no autenticados no tienen conectividad a Internet, asegúrese de que los usuarios puedan iniciar sesión en el dispositivo sin depender de Internet
- Asegúrese de que todos los Clientes estén actualizados a la versión mínima compatible para el sistema operativo relevante. Si se utiliza un Cliente de una versión no compatible, el Cliente no puede volver a autenticarse y el tráfico a Internet está bloqueado.
- Para las implementaciones que utilizan un proxy de terceros, solo la Autenticación de Navegador en el Cliente es compatible con Siempre Activo y SSO (para más sobre la Autenticación de Navegador, vea Configurar la Política de Autenticación para Clientes Cato)
Usando la Política de Conectividad del Cliente y la Autenticación del Dispositivo con Siempre Activa
Su Política de Conectividad del Cliente y los ajustes de Autenticación de Dispositivos aplican Posturas y Verificaciones de Dispositivos realizadas en los dispositivos para los usuarios. Si el dispositivo no cumple con la política establecida para el perfil, entonces el usuario no puede conectarse a la Nube Cato. Su Política de Conectividad del Cliente y los ajustes de Autenticación de Dispositivos tienen prioridad sobre su Política Siempre-Activado.
Para equipos de IT, entregando o enviando dispositivos completamente nuevos a usuarios de todo el mundo, podemos proporcionar Seguridad Siempre-Activado lista para usar.
A partir del Cliente Windows v5.6, puede mejorar la seguridad de Internet incluso antes de que un usuario se autentique en Cato. La política Siempre-Activado está disponible lista para usar, y el acceso a Internet solo se permite después de que el usuario se autentique en su cuenta Cato.
Para habilitar esta función, simplemente agregue una clave de registro al dispositivo Windows para habilitar Siempre-Activado. Una vez que el usuario se agrega al Cliente, los ajustes de Siempre-Activado definidos en la Aplicación de Gestión Cato se aplican a ese usuario.
Para cuentas que utilizan la función de pre-inicio de sesión, el dispositivo solo puede acceder a las Destinos Permitidos antes de que el usuario se agregue al Cliente. Todo otro acceso a Internet está bloqueado.
También recomendamos agregar la clave de registro que lanza el cliente al inicio. Para más información, consulte Instalación del Cliente Cato.
Nota
Nota: Antes de que los usuarios se añadan al Cliente, no es posible omitir la Nube Cato.
Esta sección explica cómo crear la Política Siempre-Activado.
La Política Siempre Activa le permite definir los usuarios o Grupos de Usuarios para los Clientes que deben conectarse siempre a la red.
Para crear la Política Siempre-Activado:
- Desde el menú de navegación, haga clic en Acceso > Política Siempre-Activado.
-
Haga clic en Nuevo.
El panel Nueva Regla se abre.
- Ingrese un Nombre y establezca el Orden de la Regla.
- Defina los Usuarios & Grupos, Plataformas.
-
Defina el estado de Conectado y el Modo de Omisión para Siempre Activo.
- Para Antitrampa SDP, determine qué acción tomar cuando un usuario intente realizar cambios. Por defecto, los cambios están permitidos. Para evitar que los usuarios realicen cambios, seleccione Habilitar.
Para más información, vea Trabajando con Antitrampa para el Cliente Cato. -
Determine cuánto tiempo están desactivados Siempre Activo y el Antitrampa en Duración de Desconexión y Antitrampa.
El temporizador para cada omisión comienza cuando se ingresa un código. Por ejemplo, la duración está configurada a 60 minutos. Si el código de omisión para Antitrampa se ingresa a las 12:30, el temporizador comienza, y Antitrampa estará habilitado nuevamente a las 13:30. Un código de omisión para Siempre Activo se ingresa a las 13:00, el cual expirará a las 14:00.
- Configurar cómo opera el Cliente cuando está en Modo de Recuperación.
- Haga clic en Aplicar.
- Repita los pasos 2-5 para cada regla en la Política Siempre-Activado.
-
Habilite la Política Siempre-Activado y luego haga clic en Guardar.
El deslizador
es verde cuando la regla está activada y gris cuando la regla está desactivada.
Nota
Nota: Compatible desde:
- Todos los Clientes de Windows
- Cliente Linux v5.2 y superior
Puede proporcionar a los usuarios un estado conectado A demanda con seguridad adicional configurando el Cliente para que se conecte automáticamente durante la fase de inicio. Una vez conectados, los usuarios pueden elegir desconectar y reconectar el Cliente cuando lo necesiten. Para los usuarios con un estado conectado Siempre-Activado, el Cliente se conecta automáticamente, sin esta configuración.
-
Si las opciones Conectar al iniciar o Iniciar minimizado están seleccionadas en la Aplicación de Gestión Cato:
- Esto se aplica a todos los Clientes en su entorno
- Los usuarios no pueden deshabilitar este ajuste desde el Cliente
-
Si las opciones Conectar al iniciar o Iniciar minimizado no están seleccionadas en la Aplicación de Gestión Cato:
- Los usuarios pueden elegir habilitar estas funciones en la pestaña Ajustes en el Cliente
Nota: Con Conectar al iniciar habilitado, si un usuario cierra sesión en su sesión de Windows, el Cliente se conecta a la Nube Cato. Esto es para proporcionar acceso a un Controlador de Dominio para permitir que el usuario vuelva a iniciar sesión.
Para configurar los ajustes predeterminados para los Clientes:
- Desde el menú de navegación, haga clic en Acceso > Política Siempre-Activo.
- Abra la Configuración pestaña.
-
En la sección Conectar al encender, defina la configuración predeterminada para los clientes de Windows.
- Haga clic en Guardar.
Nota
Nota: Compatible desde:
- Windows Client v5.8 y superior
- Linux Client v5.2 y superior
Cuando un usuario se conecta detrás de un Socket Cato o un sitio IPsec, el Cliente se conecta automáticamente a ese sitio en Modo Oficina. Para obtener más información sobre el Modo Oficina, consulte Configurar Modo Oficina.
Puede configurar si los usuarios con siempre activado deben autenticarse ante Cato cuando el Cliente está conectado en Modo Oficina. Esta configuración no tiene impacto en las políticas de seguridad.
Un código de omisión es un código de 6 dígitos que se ingresa en el Cliente para permitir a los usuarios desconectarse temporalmente del Cato Cloud.
Para generar un código de omisión:
- Desde el menú de navegación, haga clic en Acceso > Política Siempre-Activo.
- Abra la Configuración pestaña.
- Expanda la Mostrar código de omisión o la Mostrar código QR para la app de autenticación sección.
- Determine cuánto tiempo antes de que el código de omisión venza.
Nota: Compatible desde el Cliente Windows 5.18 y el Cliente macOS 5.10.6 - Ahora puede enviar el código de omisión o el código QR a un usuario.
Un código de omisión Antitrampa es un código de 6 dígitos que se ingresa en el Cliente para permitir que los usuarios realicen cambios temporales en el Cliente Cato, o su capacidad de operación, p. ej., cambiando entradas del registro relevantes.
Para generar un código de omisión:
- Desde el menú de navegación, haga clic en Acceso > Política Siempre-Activo.
- Abra la pestaña de Configuración.
- Expanda la sección Mostrar código de omisión antitrampa o Mostrar código QR de antitrampa para aplicación de autenticación. Cada código es válido por 15 minutos.
- Copie el código de omisión Antitrampa o el código QR y envíelo al usuario.
Dependiendo del Modo de Omisión configurado en la Aplicación de Gestión Cato, los usuarios pueden desconectar temporalmente el Cliente usando un código de omisión o ingresando una razón para omitir.
El código de omisión es generado por los administradores y enviado a un usuario para ser ingresado en el Cliente. Después de ingresar un código válido, el Cliente omite temporalmente el túnel encriptado y el usuario puede acceder a Internet. Los Clientes Windows por debajo de la v5.9, macOS, iOS y Android pueden ser desconectados temporalmente por un máximo de 15 minutos. Los Clientes de Windows v5.9 y superior pueden ser desconectados por la duración configurada en la Duración de Desconexión.
Los usuarios que se autentican con SSO o MFA necesitan volver a autenticarse en el Cliente Cato al reconectar.
Nota
Nota: Omitir la configuración Siempre Activa no afecta la protección Antitrampa.
Para ingresar un código de omisión:
- En el Cliente de Windows, los usuarios pueden hacer clic derecho en el ícono del Cliente en la bandeja del sistema y seleccionar Omisión Temporal
- En el Cliente de macOS, los usuarios pueden hacer clic derecho en el ícono del Cliente en la bandeja del sistema y seleccionar Desconexión Temporal
- En el Cliente de iOS, en la pantalla de inicio del Cliente, seleccione Omisión Siempre-Activa
- En el Cliente de Android, desde el menú lateral, seleccione Omisión Temporal
Nota
Nota: Compatible desde:
- Windows Client v5.9 y superior
- macOS Client v5.5 y superior
Los usuarios son capaces de desconectar temporalmente el Cliente después de proporcionar una razón. Después de que el usuario ingrese la razón, el Cliente omite temporalmente el Cato Cloud y el usuario puede acceder a Internet. El Cliente está desconectado por el tiempo configurado en la Aplicación de Gestión Cato.
Los usuarios que se autentican con SSO o MFA necesitan volver a autenticarse en el Cliente Cato al reconectar.
Para ingresar una razón de omisión:
- En el Cliente de Windows, los usuarios pueden hacer clic derecho en el ícono del Cliente en la bandeja del sistema y seleccionar Omisión Temporal.
- Proporcione una razón para desconectar temporalmente el Cliente.
-
Haga clic en Entrar.
El Cliente está desconectado.
Nota
Nota: Soportado desde Cliente Windows v5.14 y superior
Los usuarios pueden deshabilitar temporalmente la protección Antitrampa para el Cliente después de recibir un código de un administrador.
Nota
Nota: Deshabilitar la protección Antitrampa no afecta la configuración Siempre Activa.
Para deshabilitar la protección Antitrampa:
-
En el Cliente, haga clic en Configuración.
Por defecto, la sección Omisión está oculta para los usuarios. Para mostrar el campo, use la secuencia de teclas CTRL + SHIFT + O
- Contacte a un administrador e ingrese el código que reciben en el campo de Liberación de Antitrampa SDP.
-
Haga clic en Enviar.
El Antitrampa está deshabilitado durante el tiempo configurado por un administrador.
Puede personalizar la Política Siempre-Activo para un usuario individual.
Para configurar la Política Siempre-Activo para un usuario específico:
- Desde el menú de navegación, haga clic en Acceso > Política Siempre Activa.
-
Haga clic en Nuevo.
El panel Nueva Regla se abre.
- Ingrese un Nombre y defina el Orden de la Regla.
- En la sección Usuarios & Grupos, seleccione SDP Usuario.
- Elija el usuario específico.
- Defina las Plataformas y el estado Conectado.
- Haga clic en Aplicar.
-
Active la Política Siempre-Activo y luego haga clic en Guardar.
El deslizador
0 comentarios
Inicie sesión para dejar un comentario.