Cet article explique comment vous pouvez utiliser la politique de connectivité du client pour garantir que les appareils ne peuvent se connecter à votre réseau que lorsqu'ils respectent les exigences de sécurité de l'organisation.
Dans le cadre de la mise en œuvre de votre politique de sécurité d'accès réseau Zero Trust (ZTNA) et de la réduction de la surface d'attaque, vous devez vérifier la posture des appareils avant qu'ils ne se connectent au réseau. La politique de connectivité du client vous permet de créer les règles qui définissent les exigences sur l'appareil. Après qu'un utilisateur SDP s'est authentifié avec succès, le client Cato effectue des vérifications pour valider les conditions pertinentes sur l'appareil. Par exemple, le client vérifie que le logiciel anti-malware est à jour, sinon il ne se connecte pas à votre réseau.
Le client peut identifier les conditions des appareils en fonction des éléments suivants :
-
Profil de posture de l'appareil : Cela vérifie la posture de sécurité de l'appareil pour les vérifications d'appareils prises en charge, voir ci-dessous Définir les exigences de posture de l'appareil.
-
Plateforme : Cela identifie le système d'exploitation de l'appareil. Par exemple, vous pouvez exiger que seuls les appareils Windows soient autorisés à se connecter.
-
Pays : Cela identifie l'emplacement physique de l'appareil. Par exemple, définissez une liste de pays vers lesquels le client ne se connecte pas au réseau si l'appareil est situé dans ce pays (basé sur la géolocalisation IP).
-
Niveau de confiance : Cela décrit la fiabilité de l'authentification de l'utilisateur. Pour plus d'informations, voir Sécurité Internet à distance avec authentification unique.
La Politique de connectivité client contrôle l'accès pour les utilisateurs distants, pour plus d'informations sur le contrôle de l'accès pour les utilisateurs derrière un site, voir Ajouter des conditions d'appareil aux règles de pare-feu.
La société ABC est basée au Royaume-Uni et a un mélange d'employés d'entreprise et de sous-traitants tiers. Les employés d'entreprise utilisent des appareils Windows, mais les sous-traitants tiers utilisent leurs propres appareils. Pour protéger le réseau, l'entreprise veut s'assurer que seuls les appareils ayant les conditions suivantes peuvent se connecter :
-
L'appareil est situé au Royaume-Uni
-
Les appareils utilisés par les employés d'entreprise ont le certificat de l'appareil requis
-
Les appareils utilisés par les sous-traitants tiers ont un logiciel anti-malware, un chiffrement de disque et un logiciel de gestion des correctifs installés sur l'appareil
Pour s'assurer que les appareils se connectant à son réseau respectent ses exigences de sécurité, l'entreprise crée les règles suivantes de politique de connectivité du client permettre :
-
Règle 1 - Employés d'entreprise : Sur un appareil utilisé par un employé d'entreprise, le client vérifie que l'appareil :
-
Est un appareil Windows
-
Possède un jeton d'authentification valide
-
A le certificat requis installé
-
Est situé au Royaume-Uni
-
-
Règle 2 - Sous-traitants tiers : Sur un appareil utilisé par un sous-traitant tiers, le client vérifie que l'appareil :
-
A un logiciel anti-malware, un chiffrement de disque et un logiciel de gestion des correctifs installés
-
Possède un jeton d'authentification valide
-
Est situé au Royaume-Uni
-
Le client ne se connecte au réseau que s'il identifie que l'appareil respecte les conditions appropriées pour l'employé d'entreprise ou le sous-traitant tiers.
La politique de connectivité du client est une base de règles ordonnées qui vérifie séquentiellement si les conditions des appareils correspondent aux conditions requises pour l'utilisateur SDP. Une fois qu'un appareil correspond à une règle, il peut se connecter à votre réseau. Les règles qui se trouvent après la règle correspondante ne sont pas appliquées à l'appareil. Si un appareil ne correspond à aucune règle, il est bloqué par la règle implicite finale de la politique (blocage ANY ANY).
Pour plus d'informations sur la définition des règles pour la Politique de connectivité client, voir Configuration de la Politique de connectivité client.
Pour appliquer les exigences de conformité pour les utilisateurs SDP, décidez d'abord des exigences de posture de l'appareil pour les segments d'utilisateurs dans votre organisation. Vous pouvez ensuite utiliser la politique de connectivité du client pour mettre en œuvre ces exigences.
Chaque règle de politique de connectivité du client peut contenir un profil de posture de l'appareil. Cela vous permet de définir des exigences détaillées de posture de l'appareil (Vérifications des appareils) pour les appareils de votre organisation. Lorsque vous incluez plusieurs vérifications dans un seul profil, elles ont une relation ET. Par exemple, vous pouvez créer un profil de posture de l'appareil qui contient des vérifications d'anti-malware, de pare-feu et de chiffrement de disque.
Vous pouvez créer différentes vérifications par système d'exploitation et rechercher la présence de fournisseurs et de versions spécifiques installés sur un appareil. Cela permet au client d'effectuer des vérifications granulaires des appareils pour valider la posture.
Les vérifications des appareils sont prises en charge pour les clients Windows et macOS. Pour plus d'informations sur les exigences pour chaque vérification, voir Création de profils de posture d'appareil et vérifications d'appareil.
Vous pouvez empêcher le client de se connecter à votre réseau en fonction du système d'exploitation de l'appareil et/ou de l'emplacement de l'appareil. Chaque règle de politique de connectivité du client contient des options pour inclure des plateformes et des pays. Si le client identifie que l'appareil exécute un système d'exploitation non conforme ou est situé dans un emplacement non conforme, il ne se connecte pas à votre réseau.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.