Cet article explique comment vous pouvez utiliser la Politique de Connectivité Client pour garantir que les appareils ne se connectent à votre réseau que lorsqu'ils respectent les exigences de sécurité organisationnelles.
Dans le cadre de la mise en œuvre de votre politique de sécurité d'accès réseau Zero Trust (ZTNA) et de la réduction de la surface d'attaque, il est nécessaire de vérifier la posture des appareils avant qu'ils ne se connectent au réseau. La Politique de Connectivité Client vous permet de créer les règles qui définissent les exigences de l'appareil. Après qu'un utilisateur SDP s'est authentifié avec succès, le Client Cato exécute des vérifications pour vérifier les conditions pertinentes sur l'appareil. Par exemple, le Client vérifie que le logiciel anti-malware est à jour, sinon il ne se connecte pas à votre réseau.
Le Client peut identifier les conditions des appareils, par exemple :
- Profil de posture de l'appareil : Cela vérifie la posture de sécurité de l'appareil pour les vérifications des appareils pris en charge, voir ci-dessous Définir les exigences de posture de l'appareil.
- Paramètres DNS : Cela identifie le système d'exploitation de l'appareil. Par exemple, vous pouvez exiger que seuls les appareils Windows puissent se connecter.
- Pays : Cela identifie l'emplacement physique de l'appareil. Par exemple, définissez une liste de pays que le Client ne connecte pas au réseau si l'appareil est situé dans ce pays (basé sur la géolocalisation IP).
- Niveau de confiance : Cela décrit la fiabilité de l'authentification de l'utilisateur. Pour plus d'informations, voir Sécurité Internet à distance avec authentification unique.
La Politique de Connectivité Client aide également les administrateurs à maintenir le niveau d’accès approprié lorsque le contexte de l'utilisateur ou de l'appareil change au cours d'une session. Si le Client ne correspond plus aux exigences pour un accès réseau complet, la politique peut limiter la session à un accès Internet sécurisé ou bloquer la connexion, selon la règle configurée. Cela aide à réduire l'exposition des appareils qui deviennent non conformes tout en maintenant l'accès disponible lorsque la connexion respecte toujours les exigences de sécurité de l'organisation.
La Politique de Connectivité Client contrôle l'accès pour les utilisateurs à distance, pour plus d'informations sur le contrôle de l'accès pour les utilisateurs derrière un site, voir Ajout de conditions d'appareil aux règles de pare-feu.
La société ABC est basée au Royaume-Uni et a un mélange d'employés d'entreprise et de sous-traitants tiers. Les employés d'entreprise utilisent des appareils Windows, mais les sous-traitants tiers utilisent leurs propres appareils. Pour protéger le réseau, la société souhaite s'assurer que seuls les appareils avec les conditions suivantes sont capables de se connecter :
- L'appareil est situé au Royaume-Uni.
- Les appareils utilisés par les employés de l'entreprise ont le certificat d'appareil requis.
- Les appareils utilisés par les sous-traitants tiers ont le logiciel anti-malware, le chiffrement de disque et le logiciel de gestion des correctifs installés sur l'appareil.
Pour s'assurer que les appareils se connectant à son réseau respectent ses exigences de sécurité, la société crée les règles de Permission de Politique de Connectivité Client suivantes :
-
Règle 1 - Employés d'entreprise : Sur un appareil utilisé par un employé d'entreprise, le Client vérifie que l'appareil :
- Est un appareil Windows.
- A un token d'authentification valide.
- A le certificat requis installé.
- Est situé au Royaume-Uni.
-
Règle 2 - Sous-traitants tiers : Sur un appareil utilisé par un sous-traitant tiers, le Client vérifie que l'appareil :
- A le logiciel Anti-Malware, le chiffrement de disque et le logiciel de gestion des correctifs installés.
- A un token d'authentification valide.
- Est situé au Royaume-Uni.
Le Client ne se connecte au réseau que s'il identifie que l'appareil respecte les conditions appropriées pour l'employé d'entreprise ou le sous-traitant tiers.
La Politique de Connectivité Client est une base de règles ordonnée qui vérifie séquentiellement si les conditions de l'appareil correspondent aux conditions requises pour l'utilisateur SDP. Une fois qu'un appareil correspond à une règle, il peut se connecter à votre réseau. Les règles qui sont listées après la règle correspondante ne sont pas appliquées à l'appareil. Si un appareil ne correspond à aucune règle, il est bloqué par la règle implicite finale de la politique (BLOQUER TOUT POUR TOUT).
Pour plus d'informations sur la définition des règles dans la politique de connectivité du Client, voir Configurer la politique de connectivité du client.
Pour appliquer les exigences de conformité pour les utilisateurs SDP, décidez d'abord des exigences de posture de l'appareil pour les segments d'utilisateurs de votre organisation. Vous pouvez ensuite utiliser la Politique de Connectivité Client pour appliquer ces exigences.
Chaque règle de la Politique de Connectivité Client peut contenir un Profil de posture de l'appareil. Cela vous permet de définir des exigences détaillées de posture de l'appareil (Vérifications de l'appareil) pour les appareils de votre organisation. Lorsque vous incluez plusieurs vérifications dans un profil unique, elles ont une relation ET. Par exemple, vous pouvez créer un Profil de posture de l'appareil qui contient des vérifications de logiciel anti-malware, pare-feu et chiffrement de disque.
Vous pouvez créer différentes vérifications par système d'exploitation et vérifier la présence de vendeurs et de versions spécifiques installés sur un appareil. Cela permet au Client d'effectuer des vérifications granulaires des appareils pour valider la posture.
Les vérifications de l'appareil sont prises en charge pour les Clients Windows et macOS. Pour plus d'informations sur les exigences pour chaque vérification, voir Créer des profils de posture d'appareil et des vérifications d'appareil.
Vous pouvez empêcher le Client de se connecter à votre réseau en fonction du système d'exploitation de l'appareil et/ou de l'emplacement de l'appareil. Chaque règle de la Politique de Connectivité Client contient des options pour inclure des Plateformes et des Pays. Si le Client identifie que l'appareil exécute un système d'exploitation non conforme ou est situé dans un emplacement non conforme, il ne se connecte pas à votre réseau.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.