Este artículo discute cómo agregar condiciones para criterios de dispositivos a las bases de reglas de firewall de WAN e Internet para una mayor seguridad y protección.
La configuración de Dispositivo para las reglas de firewall de WAN e Internet le permite expandir el alcance de su política de seguridad de firewall para incluir acceso condicional basado en atributos del dispositivo real de un usuario final u otros dispositivos que se comunican en su red, como IoT/OT. Puede especificar los requisitos de acceso para dispositivos en la red. Por ejemplo:
-
Firewall de WAN -
- Especifica la fuente de la regla para que solo se aplique a los dispositivos que cumplen con la postura predefinida o basada en la geolocalización.
- Permitir acceso a un dispositivo OT crítico para los negocios solo para usuarios específicos.
-
Firewall de Internet -
- Definir reglas para una aplicación SaaS que limiten el acceso basado en la configuración del dispositivo y la ubicación.
- Bloquear el acceso a Internet para cámaras IP en la red.
Por Predeterminado, la Configuración del Dispositivo no impacta al Tráfico porque están establecidas a Cualquiera Cualquiera y coinciden Automáticamente con Todo el Tráfico.
Para más información sobre el firewall de WAN e Internet de Cato, consulte los artículos de la Base de Conocimientos en Cato Firewalls.
- Antes de poder agregar un perfil de dispositivo a la configuración de Dispositivo para una regla, debe crear y configurar el Perfil de Dispositivo.
- Para ver qué verificaciones de dispositivo son compatibles con el sistema operativo del cliente y su versión, consulte Creación de perfiles de postura de dispositivo y verificaciones de dispositivo.
-
Las reglas que utilizan Perfiles de Dispositivos se aplican solo cuando el Cliente Cato está instalado en el dispositivo y se utiliza como un agente de identidad, tanto de forma remota como cuando está ubicado detrás de un Socket.
Para más información, consulte Uso de Agentes de Identidad de Cato para Conocimiento del Usuario.
Nota: Los Clientes Licenciados Automáticamente se usan como agentes de Identidad.
Estas son las configuraciones de Dispositivo que puede agregar a una regla de firewall:
- Atributos de Dispositivo - Atributos de dispositivos según lo identificado por el motor de detección de Inventario de Dispositivo.
- Plataformas - Sistema operativo del dispositivo (SO).
- Países - País de origen para la conexión basado en la ubicación física del dispositivo (según la dirección IP de geolocalización).
- Perfiles de Postura de Dispositivo - Perfiles de Dispositivo (configurados en Acceso > Postura de Dispositivo).
- Origen de la Conexión - La geolocalización del dispositivo. Puede configurar la regla basada en si el dispositivo está conectado detrás de un Side o remotamente a través del Cliente, Extensión de Navegador, o Navegador Empresarial (cada opción de conexión remota puede seleccionarse por separado).
- Atributos de Usuario: El Nivel de Riesgo y Nivel de Confianza del usuario que inició sesión en el dispositivo.
Cuando configura múltiples condiciones para una regla, tienen una relación AND, la regla se cumple solo si el tráfico coincide con los criterios definidos en todos los elementos.
Dentro de una condición (una sola celda), los elementos tienen una relación OR. Por ejemplo, una regla que tiene la condición de Plataformas de Windows, y macOS, coincide con todos los dispositivos Windows o macOS.
Este es un ejemplo de una regla en la que el tráfico debe cumplir todas estas condiciones de Dispositivo: dispositivos Windows, ubicados en India, que cumplen con los requisitos del Perfil de Postura del Dispositivo 1.
Use la condición de Atributos de Dispositivo para definir reglas para dispositivos que fueron detectados en la red por el motor de Inventario de Dispositivo. Puede usar los siguientes atributos en una regla de firewall: Categoría, Tipo, Modelo, OS, Fabricante, Versión del OS.
Seleccione un Tipo de Atributo de Dispositivo, luego seleccione los valores de la lista desplegable. La lista se rellena automáticamente con valores de dispositivos detectados en la red. Puede seleccionar múltiples Tipos de Atributos de Dispositivo en una regla, y los atributos tienen una relación AND entre ellos. Por ejemplo, si selecciona OS como Windows y Fabricante como Dell, la condición se aplica solo a dispositivos Dell con un sistema operativo Windows.
Sin embargo, cuando selecciona múltiples valores dentro de un Tipo de Atributo de Dispositivo, hay una relación OR entre ellos. Por ejemplo, si selecciona Fabricante con los valores de Dell y HP, la condición coincidirá para dispositivos Dell o HP.
Se requiere una licencia de Inventario de Dispositivo separada para las páginas y características de Inventario de Dispositivo. Para más sobre la compra de una licencia, por favor contacte a su representante de Cato.
La condición de Plataformas para una regla de firewall le permite definir los sistemas operativos del dispositivo que coinciden con la regla. Por ejemplo, para un segmento de red específico, solo permita acceso a dispositivos Windows, macOS o Linux.
La condición de Países le permite definir la fuente del tráfico que coincide con la regla basado en la geolocalización IP del dispositivo. Por ejemplo, restrinja el acceso a un sitio para una oficina de sucursal, de modo que solo se permita conectarse a dispositivos que estén ubicados en el mismo país que la oficina.
La condición de Perfiles le permite restringir la regla para que solo coincida con dispositivos que cumplan con los requisitos del Perfil de Dispositivo. Esta condición se basa en la característica de Postura de Dispositivo, que verifica si el dispositivo cumple con los requisitos de postura. Por ejemplo, solo los dispositivos que tienen la versión más nueva de software Anti-Malware cumplen con los requisitos de postura.
Los perfiles de dispositivo actualmente no son compatibles en todas las versiones de cliente, para más información consulte Creación de Perfiles de Postura de Dispositivo y Verificaciones de Dispositivo.
El firewall solo puede determinar si un cliente coincide con la verificación de dispositivo para clientes soportados. Para cada verificación de dispositivo, puede definir el comportamiento para clientes no soportados que coincidan con otras reglas de firewall (Fuente, App/Categoría, etc.):
- Omitir la verificación de dispositivo y aplicar la acción de firewall a los clientes no soportados
- Aplicar la verificación de dispositivo, y el cliente no coincide con la regla de firewall y la acción no se aplica
La siguiente tabla explica el comportamiento para clientes no soportados cuando la conexión coincide con todas las otras configuraciones de la regla de firewall. El comportamiento depende de si la opción Omitir esta verificación para la versión no soportada del cliente SDP está habilitada o deshabilitada (desactivada) en la verificación de dispositivo.
| Clientes No Soportados | Acción de la Regla de Firewall | Comportamiento del Cliente |
|---|---|---|
| Omitir verificación (Habilitado) | Bloquear | Los clientes no soportados omiten automáticamente la verificación de dispositivo y son bloqueados (no pueden conectarse) |
| Permitir | Los clientes no soportados omiten automáticamente la verificación de dispositivo y se les permite (pueden conectar) | |
| Aplicar Verificación (Deshabilitado) | Bloquear | Los clientes no soportados no coinciden con la verificación de dispositivo, el firewall omite esta regla (no aplica la acción de bloqueo a la conexión) |
| Permitir | Los clientes no soportados no coinciden con la verificación de dispositivo, el firewall omite esta regla (no aplica la acción de permitir a la conexión) |
La condición de Origen de la Conexión le permite definir la geolocalización del dispositivo que coincide con la regla. Por ejemplo, permitir acceso a información sensible detrás de un sitio, pero no cuando se trabaja de forma remota.
La condición de Atributo de Usuario permite definir Criterios basado en la Puntuación de Riesgo del usuario o el Nivel de Confianza. Por ejemplo, permitir Acceso a la nube a Salesforce sólo cuando el Nivel de Confianza del Usuario es Alto.
Usar el atributo Nivel de Confianza permite aplicar un requisito para un nivel más alto de Autenticación (Autenticación A) al acceder a Recursos sensibles. Al bloquear el acceso, puede aplicar una plantilla personalizada informando al usuario por qué fueron bloqueados y qué necesitan hacer para obtener acceso.
Puede configurar las configuraciones de criterios de dispositivo en una regla de firewall nueva o existente.
Para configurar las condiciones del dispositivo para una regla de firewall:
- Desde la sección de Seguridad en el panel de navegación, seleccione Firewall de Internet o Firewall de WAN.
- Haga clic en Nuevo para crear una nueva regla, o haga clic en el icono de Editar
en la columna de Criterios para una regla existente.
- In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
-
Haga clic en Aplicar.
Las condiciones de Criterios están configuradas para la regla.
Este es un ejemplo de una regla de firewall de WAN que permite el tráfico en ambas direcciones para todos los usuarios SDP que cumplan todas las siguientes condiciones de dispositivo: usando un dispositivo con SO Windows, ubicado físicamente en Corea del Sur y que cumple con los requisitos del Perfil de Dispositivo Política de prueba.
Este es un ejemplo de una regla de firewall de Internet que es una excepción a la regla que bloquea la categoría Social. La excepción permite el tráfico que cumple con las siguientes condiciones de dispositivo: usando un dispositivo con Windows o macOS y ubicado físicamente en los Estados Unidos.
Este es un ejemplo de una regla de cortafuegos de Internet que bloquea el tráfico a Salesforce para todos los usuarios con un nivel de confianza bajo.
Cuando un usuario es bloqueado, se le presenta una página de bloqueo dedicada informándole qué necesita hacer para obtener acceso a Salesforce.
- Añadir Perfiles de Postura de Dispositivo a reglas con la acción de permitir
- Defina el Perfil de Dispositivo con los requisitos mínimos para permitir que los dispositivos se conecten (los dispositivos que no cumplen con estos requisitos son bloqueados)
0 comentarios
Inicie sesión para dejar un comentario.