Sécurité Internet à distance avec authentification unique

Cet article explique comment utiliser les fonctionnalités de Cato pour fournir aux utilisateurs une sécurité Internet à distance avec authentification unique et accès privé sécurisé à la demande.

Vue d'ensemble

Cato peut fournir aux utilisateurs un accès Internet sécurisé à distance après une authentification unique. Cela signifie que les utilisateurs ont toujours une connexion et une protection Internet avec une interaction minimale avec le Client. L'accès à votre réseau privé (WAN) peut être fourni à la demande.

Ceci est configuré en définissant le niveau d'authentification requis par les utilisateurs pour un accès sécurisé soit à Internet, soit à votre réseau privé (WAN). Par exemple, vous pouvez toujours permettre aux utilisateurs d'avoir un accès sécurisé à Internet après leur authentification initiale, mais n'autoriser l'accès à votre réseau privé (WAN) qu'après une réauthentification de l'utilisateur.

De plus, vous pouvez contrôler l'expérience de réauthentification de l'utilisateur. Une invite peut être affichée aux utilisateurs avant ou après l'expiration du jeton d'authentification.

Configurations pour un accès sécurisé à Internet ou au réseau privé (WAN)

La Sécurité Internet à distance avec authentification unique est activée en définissant les Niveaux de confiance de l'utilisateur et le niveau d'accès (Action) dans les règles de Politique de connectivité client. Le Niveau de Confiance décrit la fiabilité de l'authentification de l'utilisateur. L'Action définit si l'utilisateur peut accéder à Internet et au réseau privé (WAN) ou uniquement à Internet.

Comprendre les niveaux de confiance

Le Niveau de Confiance décrit la fiabilité de l'authentification de l'utilisateur. Les Niveaux de Confiance sont :

Élevé : L'utilisateur est authentifié sur le Client et le jeton Cato est valide
Faible : L'utilisateur s'est authentifié sur le Client, mais le jeton Cato a expiré
N'importe lequel : L'utilisateur a authentifié sur le Client et le jeton Cato est soit valide, soit expiré

Les niveaux de confiance sont appliqués aux utilisateurs après authentification avec n'importe quelle méthode d'authentification. Le jeton Cato n'expire jamais pour les utilisateurs qui s'authentifient avec un nom d'utilisateur et un mot de passe ou des codes d'enregistrement. Ces utilisateurs ont toujours un niveau de confiance Élevé.

Comprendre les actions

L'Action définit le niveau d'accès fourni à l'utilisateur. Les Actions sont :

Autoriser le WAN et Internet : L'utilisateur a un accès Internet sécurisé et peut accéder au réseau privé (WAN)

Note : Cette option donne l'autorisation à un utilisateur d'accéder au réseau privé (WAN). L'accès d'un utilisateur au réseau privé (WAN) dépend des règles dans le Pare-feu WAN.
Autoriser uniquement Internet : L'utilisateur n'a accès qu'à Internet de manière sécurisée et ne peut pas accéder au réseau privé (WAN)

Les versions de système d'exploitation client non prises en charge qui déclenchent cette action seront bloquées.

Note : Cette option donne l'autorisation à un utilisateur d'accéder à Internet. L'accès d'un utilisateur à Internet dépend des règles dans le Pare-feu Internet.

Cette action inclut également l'option de mettre fin aux sessions WAN actives. Cette option s'applique lorsqu'un utilisateur avait auparavant un accès WAN autorisé sous une règle, mais que ses circonstances changent et qu'il ne correspond plus qu'à une règle autorisant l'accès Internet. Dans ce cas, vous pouvez choisir de terminer les sessions WAN existantes de l'utilisateur.

Par exemple, un utilisateur est autorisé à accéder au WAN en fonction de son niveau de confiance. Si cette condition change, par exemple lorsque le jeton expire, l'utilisateur n'est plus autorisé à accéder au WAN. Ce paramètre détermine si leurs sessions WAN actuelles sont déconnectées.
Bloquer le WAN et Internet : L'utilisateur est bloqué pour accéder à l'Internet et au WAN

Les sessions WAN existantes sont toujours terminées une fois qu'un utilisateur respecte une règle avec cette action.

Prérequis

Client Windows v5.9 et supérieur, ou client macOS v5.10 (et supérieur)
Les utilisateurs doivent disposer d'une licence SDP pour avoir un accès Internet sécurisé
Les utilisateurs doivent s'authentifier et avoir un jeton valide au moins une fois pour que les niveaux de confiance soient appliqués

Cas d'utilisation

Cas d'utilisation - Accès Internet Sécurisé Après Une Authentification Unique

Une maison d'édition a des représentants commerciaux qui travaillent à distance et qui ont rarement besoin d'accéder au WAN de l'entreprise.

L'entreprise crée ces règles pour le groupe utilisateur représentant commercial :

Dans leur politique Always-On, ils assurent que le Client se connecte avec toute personne travaillant à distance
Dans la Politique de Connectivité Client, ils permettent aux utilisateurs ayant un niveau de confiance faible d'accéder à l'Internet

Lorsque les représentants commerciaux arrivent chez un prospect, ils sont connectés de manière sécurisée à Internet sans aucune interaction avec le Client Cato.

Cas d'utilisation - Authentification Toujours Requise

Une banque a des exigences strictes en matière de sécurité Internet et doit toujours s'assurer que les utilisateurs qui accèdent à distance à l'Internet et au réseau privé (WAN) sont authentifiés.

L'entreprise crée ces règles pour tous les utilisateurs distants :

Dans leur politique Always-On pour s'assurer que le Client se connecte toujours
Dans la Politique de Connectivité du Client, ils fournissent un accès à Internet et au réseau privé (WAN) aux utilisateurs avec un niveau de confiance Élevé.

Lorsqu'un utilisateur se connecte à distance, il doit s'authentifier avant de pouvoir accéder à Internet ou au réseau privé (WAN).

Configuration de la sécurité Internet à distance avec authentification unique

Suivez ces étapes pour activer la sécurité Internet à distance avec authentification unique :

Définissez une règle dans votre politique Always-On pour que le Client se connecte toujours au Cato Cloud protégeant les utilisateurs et les appareils.
Définissez une règle dans votre politique de Connectivité du Client qui définit le niveau d'accès basé sur le Niveau de Confiance de l'utilisateur.
Configurez comment les utilisateurs sont invités à se réauthentifier pour offrir la meilleure expérience à vos utilisateurs.

Étape 1 : Appliquer la Politique Toujours Activée pour Toujours Protéger les Utilisateurs Distants

La Politique Always-On améliore la sécurité Internet en définissant des règles pour quand les utilisateurs ou groupes d'utilisateurs se connectent toujours au Cato Cloud. Cela garantit que tout le trafic passe par un PoP et que les moteurs de sécurité Cato inspectent le trafic pour s'assurer qu'il est conforme à vos politiques de sécurité.

Pour plus d'informations sur la création d'une règle dans votre politique Always-On, consultez Protéger les utilisateurs avec une sécurité Always-On.

Si vous avez déjà une règle pour les groupes d'utilisateurs pertinents dans votre politique Always-On, cette étape n'est pas requise.

Étape 2 : Configurer la Politique de Connectivité Client pour Fournir l'Accès Basé sur le Niveau de Confiance

La politique de Connectivité du Client sécurise votre réseau en garantissant que les appareils ou utilisateurs ne se connectent que lorsqu'ils sont conformes aux exigences de sécurité de l'organisation.

Inclure le Niveau de Confiance et les Actions dans une règle de Politique de Connectivité du Client vous permet de définir l'accès disponible pour les utilisateurs et groupes d'utilisateurs en fonction de la fiabilité de leur authentification.

Pour plus d'informations sur la gestion de l'accès réseau dans votre Politique de Connectivité du Client, consultez Configuration de la Politique de Connectivité du Client.

Les règles de la Politique de Connectivité du Client ne peuvent être appliquées qu'aux utilisateurs avec une licence SDP.

Pour configurer l'accès basé sur le Niveau de Confiance :

Depuis le menu de navigation, cliquez sur Accès > Politique de Connectivité du Client.
Cliquez sur Nouveau. Le panneau Nouvelle Règle s'ouvre.
Configurez la portée de la règle :
1. Définissez le Niveau de Confiance
2. Définissez l'Action
Cliquez sur Appliquer puis cliquez sur Enregistrer.

Remarque

Remarque : Comme bonne pratique, créez une règle finale pour tout utilisateur ou groupe avec un niveau de confiance de Tout et l'action Autoriser Internet. Cela permet à tout utilisateur qui n'a pas correspondu à une règle de priorité supérieure d'accéder de manière sécurisée à Internet.

Étape 3 : Définir l'Expérience Utilisateur pour la Ré-authentification

Vous pouvez choisir quand le client invite les utilisateurs à se réauthentifier. Par exemple :

Si un utilisateur a seulement besoin d'un accès sécurisé à Internet et n'a pas besoin d'un accès régulier à votre réseau privé (WAN), il ne doit pas être dérangé par des invites de réauthentification.
Si un utilisateur a toujours besoin d'accéder à votre réseau privé (WAN), il peut recevoir des invitations à se réauthentifier avant et après l'expiration du jeton d'authentification pour que son accès ne soit pas bloqué.

Si vous configurez un niveau de confiance Tout ou Faible avec l'action Autoriser WAN et Internet, l'utilisateur n'est pas invité à se réauthentifier après l'expiration du jeton, et un accès complet est accordé avec un jeton expiré. Pour plus d'informations sur les méthodes d'authentification disponibles, consultez Configuration de la politique d'authentification pour les clients Cato.

Pour définir quand les utilisateurs sont invités à se réauthentifier :

Dans le menu de navigation, cliquez sur Accès > Authentification Utilisateur.
Cliquez sur l'onglet Paramètres supplémentaires.
Choisissez quand les utilisateurs sont invités à se réauthentifier.

Remarque : Vous pouvez choisir une, les deux, ou aucune des options. Si vous laissez les deux options décochées, l'utilisateur ne reçoit aucune invitation à se réauthentifier.
Cliquez sur Nouveau.

Surveillance du Niveau de Confiance des Utilisateurs et Accès Réseau

Vous pouvez surveiller le niveau de confiance des utilisateurs à tout moment depuis la page Accès > Utilisateurs. Le niveau de confiance actuel d'un utilisateur est affiché dans l'onglet Activité des utilisateurs SDPO (la colonne peut être masquée).

Un événement est également créé chaque fois que la Politique de Connectivité Client permet à un utilisateur de se connecter. Pour plus d'informations, consultez Configuration de la politique de connectivité client.

Comprendre l'Expérience Utilisateur

Le client affiche le niveau d'accès permis à l'utilisateur en fonction de la fiabilité de son authentification. Selon le niveau d'accès permis, l'accès privé sécurisé et l'accès Internet sécurisé sont listés avec une coche ou un point d'exclamation.


Si le client a accès à la fois au réseau privé (WAN) et à Internet	Si le client a uniquement accès à Internet :

Configurations avancées

Activer la sécurité Internet à distance avec une authentification unique a un impact sur d'autres fonctionnalités.

Configuration DNS

Le DNS Interne de votre compte est ignoré pour les utilisateurs ayant accès uniquement à Internet.

Si un utilisateur n'a qu'un accès Internet, le DNS Internet Cato (10.254.254.1) est utilisé comme son DNS principal et son DNS secondaire est 8.8.8.8.

Note : Les règles de transmission DNS sont toujours appliquées par défaut. Ce comportement peut être modifié par utilisateur ou par compte. Pour plus d'informations, veuillez contacter Support.

Mode Bureau

Vous pouvez configurer les utilisateurs avec Always-On activé pour exiger une authentification à Cato lorsque le client est connecté en mode bureau. Pour plus d'informations, consultez Protéger les utilisateurs avec une sécurité Always-On.

Un utilisateur configuré dans une règle de politique de connectivité client permettant l'accès à Internet avec un faible niveau de confiance (jeton d'authentification Cato expiré) n'a pas besoin de s'authentifier en mode bureau. La configuration de la politique de connectivité client remplace la configuration Always-On en mode bureau.

Pré-connexion

Les configurations de pré-connexion ne sont pas impactées par les configurations pour la sécurité Internet à distance avec authentification unique. Avant que les utilisateurs ne s'authentifient, le trafic est routé de la manière suivante :

Les clients avec Always-On activé ne sont autorisés à se connecter qu'aux ressources définies dans les destinations autorisées, le trafic Internet est bloqué.
Les clients sans Always-On activé peuvent se connecter aux ressources définies dans les destinations autorisées et accéder à Internet non sécurisé.

Pour plus d'informations sur la pré-connexion, consultez Utilisation de Windows Pre Login et du client SDP.

Détails techniques

La sécurité Internet à distance avec authentification unique est activée en utilisant les configurations dans la politique Always-On et la politique de connectivité client,

Après que les utilisateurs se soient authentifiés et que le jeton d'authentification soit valide, tout le trafic passe par le PoP de Cato et est inspecté par les moteurs de sécurité de Cato conformément à vos politiques de sécurité.

Après l'expiration du jeton d'authentification, vous pouvez autoriser le trafic Internet à continuer de passer par le PoP de Cato. Cela offre un accès continu et sécurisé à Internet même si l'utilisateur n'est pas authentifié. Pour un accès privé sécurisé, les utilisateurs doivent toujours se réauthentifier pour obtenir l'accès conformément à votre politique de pare-feu WAN.