Sécurité des appareils Zero Trust avec Cato

Qu'est-ce que l'Authentification de l'Appareil ?

L'authentification des appareils est le processus de vérification de l'identité et de la posture de sécurité d'un appareil avant de lui permettre d'accéder aux ressources réseau. L'authentification des appareils est mise en œuvre à l'aide de certificats numériques dans Cato. Elle fait partie du cadre de sécurité Zero Trust pour s'assurer que seuls les appareils de confiance sont autorisés à accéder au réseau et à des ressources réseau spécifiques.

Pourquoi le besoin d'Authentification de l'Appareil et pourquoi est-ce important ?

Le principe de base de la sécurité Zero Trust est qu'aucun appareil ou utilisateur ne doit être automatiquement de confiance. La Zero Trust assume que chaque demande d'accès, qu'elle provienne de l'intérieur ou de l'extérieur du réseau, provient potentiellement d'un acteur malveillant ou d'un appareil compromis.

L'authentification des appareils garantit que seuls les appareils autorisés sont autorisés à accéder aux ressources du réseau. En vérifiant l'identité et la posture de sécurité de chaque appareil avant d'accorder l'accès, la Zero Trust limite le risque de violation potentielle causée par un appareil compromis ou non autorisé.

Comment Cato met-il en œuvre l'authentification des appareils ?

Cato met en œuvre l'authentification des appareils en utilisant la politique Client Connectivity pour imposer la validation basée sur les certificats. Cela garantit que seuls les appareils avec un certificat valide et de confiance peuvent accéder au réseau.

Lorsqu'un appareil tente de se connecter au réseau (via un PoP Cato) et que le contrôle des certificats des appareils est configuré dans une règle Client Connectivity, le client Cato vérifie qu'un certificat valide est installé sur l'appareil. Sinon, le client bloque l'appareil de la connexion au réseau.

Voici le processus de configuration pour mettre en œuvre l'authentification des appareils.

  1. Préparez les appareils à utiliser le contrôle des appareils pour le certificat de signature.

  2. Configurez un contrôle des appareils pour le certificat de signature et assignez-le à un profil d'appareil. Consultez la création de profils de posture d'appareils et de contrôles d'appareils.

  3. Créez une règle de politique Client Connectivity qui permet les connexions pour les appareils ayant le certificat de signature installé.

    La règle finale Block ANY ANY de la politique est appliquée aux appareils qui n'ont pas le certificat installé.

Comment fonctionne le contrôle des certificats d'appareils ?

Le contrôle des certificats d'appareils est basé sur le cryptage à clé asymétrique. Le chiffrement par clé asymétrique, également connu sous le nom de cryptographie à clé publique, est une technique cryptographique qui utilise une paire de clés mathématiquement liées pour sécuriser l'information. Les deux clés sont appelées la clé publique et la clé privée. Cato ne génère pas les certificats ni ne gère leur cycle de vie.

Les données chiffrées avec la clé publique ne peuvent être déchiffrées qu'avec la clé privée correspondante, et vice versa. La clé publique peut être partagée publiquement, tandis que la clé privée est gardée secrète.

Cette méthode de chiffrement est sécurisée car, même si la clé publique peut être partagée ouvertement, elle ne peut pas être utilisée pour déchiffrer les messages qui ont été chiffrés avec elle. Seule la clé privée correspondante peut déchiffrer le message.

Authentification_Appareil.png

  1. Téléchargez le certificat de signature racine sur l'application de gestion Cato (Accès > Accès client > Certificats de signature). Le certificat contient également la clé publique. La clé publique peut être partagée ouvertement.

  2. Téléchargez le certificat de l'appareil et la clé privée sur l'appareil. L'appareil doit garder la clé privée secrète. Le client Cato doit être installé sur l'appareil. Lorsque l'appareil se connecte au PoP Cato (Point de Présence), le client vérifie l'authenticité du certificat et s'assure que le certificat est valide et correspond au certificat de signature.

  3. Pour vérifier l'authenticité de l'appareil, Cato envoie un défi chiffré. Le défi chiffré est un message aléatoire généré par Cato et chiffré avec la clé publique obtenue à partir du certificat racine téléchargé sur Cato à l'étape 1.

  4. L'appareil utilise sa clé privée pour déchiffrer le défi chiffré et envoie le défi déchiffré à Cato.

  5. Si le défi décrypté correspond à l'original, l'appareil est authentifié et se voit accorder l'accès aux ressources définies.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire