Este artículo discute cómo añadir condiciones para dispositivos a la política de Inspección TLS para inspección granular basada en el estado actual del dispositivo.
La configuración de Dispositivo para la política de Inspección TLS te da la capacidad de expandir el alcance para inspeccionar el tráfico basado en el dispositivo real del usuario SDP. Puedes especificar los requisitos para dispositivos a los que se aplican las reglas de Inspección TLS. Por ejemplo:
-
Solo inspeccionar tráfico para dispositivos basados en geolocalización
-
Solo permitir que dispositivos eviten Inspección TLS basados en el sistema operativo específico
Por defecto, las configuraciones de Dispositivo no impactan la política de Inspección TLS, porque están establecidas en Any Any y coinciden automáticamente con todo el tráfico.
-
Los Chequeos de Dispositivo son compatibles con Clientes Windows y macOS. Para más información sobre los requisitos para cada chequeo, consulta Creación de Perfiles de Postura de Dispositivo y Chequeos de Dispositivo.
-
Antes de que puedas añadir un Perfil de Dispositivo a las configuraciones de Dispositivo para una regla:
-
Debes crear y configurar el Perfil de Dispositivo
-
-
Limitación conocida - Las reglas que utilizan Perfiles de Dispositivo solo se aplican cuando el usuario está conectado con el Cliente Cato (incluso si se encuentran detrás de un Socket)
Estas son las condiciones de configuraciones de Dispositivo que puedes añadir a una regla de Inspección TLS:
-
Plataformas - Sistema Operativo (OS) del Dispositivo
-
Países - País de origen para la conexión basado en la ubicación física del dispositivo (según la geolocalización de la dirección IP)
-
Perfiles - Perfiles de Dispositivo (configurados en Recursos > Postura de Dispositivo)
-
Origen de Conexión - La geolocalización del dispositivo (Remoto o detrás de un sitio)
Cuando configuras múltiples condiciones para una regla, tienen una relación Y, la regla se cumple solo si el tráfico coincide con los criterios definidos en todos los elementos.
Dentro de una condición (una sola celda), los elementos tienen una relación O. Por ejemplo, una regla que tiene la condición de Plataformas de Windows, y macOS, coincide con todos los dispositivos Windows o macOS.
Este es un ejemplo de una regla donde el tráfico debe cumplir con todas estas condiciones de Dispositivo: dispositivos Windows, ubicados en India, que cumplen con los requisitos del Perfil de Dispositivo de Ejemplo.
La condición de Plataformas para una regla de Inspección TLS te permite definir el sistema operativo del dispositivo que coincide con la regla. Por ejemplo, para un segmento de red específico, solo permitir inspeccionar tráfico para dispositivos Windows, macOS o Linux.
La condición de Países te permite definir la fuente del tráfico que coincide con la regla basada en la geolocalización IP del dispositivo. Por ejemplo, para un sitio que es una oficina de sucursal, permite que dispositivos móviles iOS y Android eviten Inspección TLS.
La condición de Perfiles te permite restringir la regla para que solo coincida con dispositivos que cumplan los requisitos del Perfil de Dispositivo. Esta condición está basada en la función de Postura de Dispositivo, que verifica si el dispositivo cumple con los requisitos de postura.
Nota
Nota: Para dispositivos que están conectados usando el Modo Oficina (o túnel en túnel), el motor de Inspección TLS no aplica perfiles de Postura de Dispositivo a los dispositivos. Esto significa que para una regla de Inspección, los dispositivos usando el Modo Oficina no son inspeccionados, incluso si no cumplen con los requisitos del perfil de Postura de Dispositivo.
El motor de Inspección TLS solo puede determinar si un Cliente coincide con el Perfil de Dispositivo para Clientes soportados. Para cada Chequeo de Dispositivo, puedes definir el comportamiento para Clientes no soportados que coinciden con otros requisitos en la regla:
-
Omitir el Chequeo de Dispositivo - aplicar la acción de Inspección TLS a los Clientes no soportados
-
Aplicar el Chequeo de Dispositivo - la acción solo se aplica cuando el Cliente coincide con la regla
La siguiente tabla explica el comportamiento para Clientes no soportados cuando la conexión coincide con todas las demás configuraciones de la regla. El comportamiento depende de si la opción Omitir este chequeo para la versión de Cliente SDP no soportada está activada o desactivada (deshabilitada) en el Chequeo de Dispositivo.
|
Clientes No Soportados |
Acción de Regla de Inspección TLS |
Comportamiento del Cliente |
|---|---|---|
|
Omitir chequeo (Activado) |
Inspeccionar |
Los Clientes no soportados omiten automáticamente el Chequeo de Dispositivo y el tráfico es inspeccionado |
|
Omitir |
Los Clientes no soportados omiten automáticamente el Chequeo de Dispositivo y evitan la Inspección TLS |
|
|
Aplicar Chequeo (Desactivado) |
Inspeccionar |
Los Clientes no soportados fallan en coincidir con el Chequeo de Dispositivo, el motor de Inspección TLS omite esta regla (no inspecciona el tráfico) |
|
Evitar |
Los Clientes no soportados fallan en coincidir con el Chequeo de Dispositivo, el motor de Inspección TLS omite esta regla (no evita la inspección) |
La condición de Origen de Conexión te permite definir la geolocalización del dispositivo que coincide con la regla. Por ejemplo, permitir el acceso a información sensible detrás de un sitio, pero no cuando se trabaja de forma remota.
Puedes configurar las configuraciones de Dispositivo en una regla nueva o existente de Inspección TLS.
Para configurar las condiciones de Dispositivo para una regla:
-
Desde el menú de navegación, haz clic en Seguridad > Inspección TLS.
-
Haz clic en Nuevo para crear una regla nueva, o haz clic en el ícono de Editar
en la columna de Dispositivo para una regla existente.
-
En la sección de Dispositivo, configura las Plataformas, Países, Perfiles de Postura de Dispositivo, y Origen de Conexión necesarios para coincidir con esta regla.
-
Haz clic en Aplicar.
Las condiciones de Dispositivo están configuradas para la regla.
0 comentarios
Inicie sesión para dejar un comentario.