Conscience utilisateur pour les hôtes partagés

Ce sujet fournit des informations sur la configuration de la conscience utilisateur pour les hôtes partagés.

Aperçu

ZTNA universel (UZTNA) offre un accès à privilège minimal basé sur l'identité aux applications privées, SaaS et ressources Internet via sa plateforme SASE globale. Il applique une segmentation utilisateur-application cohérente, une prévention des menaces en temps réel et des vérifications de posture des appareils, permettant un accès sécurisé pour les utilisateurs à travers les environnements mobiles, de succursales et cloud.

User_Awareness_-__Shared_Hosts.png

Avec la conscience utilisateur pour les hôtes partagés, Cato vous permet d'identifier et de suivre plusieurs utilisateurs se connectant à partir d'un seul appareil, tel qu'un serveurn Windows Terminal, un environnement Citrix ou un bureau virtuel Azure (AVD). Les utilisateurs se connectent au périphérique partagé depuis leurs appareils et peuvent ensuite accéder aux ressources via le périphérique partagé selon la politique de votre organisation.

La conscience utilisateur fournit une visibilité critique sur les activités des utilisateurs, permettant une application plus granulaire des politiques, améliorant l'audit de sécurité et renforçant la détection des menaces. Elle garantit que les contrôles d'accès et la surveillance restent efficaces, même dans des environnements où plusieurs utilisateurs partagent le même hôte.

Note

Note :

  • Cato recommande l'installation du Client Cato pour tous vos utilisateurs afin de bénéficier des capacités de sensibilisation de l'Utilisateur, de Posture de l'appareil, et de Surveillance de l'Expérience.
  • Cette fonction nécessite le Client Windows v5.15 ou une version ultérieure.

Flux d'information

Les utilisateurs se connectent depuis leur appareil à l'hôte partagé situé derrière un site (Socket, vSocket, etc.), par exemple, via une session RDP. Chaque connexion utilisateur à l'hôte partagé est marquée avec une clé spécifique à cet utilisateur. Lorsque le trafic est envoyé de l'hôte partagé vers le cloud Cato via le tunnel GRE, la clé est associée à l'identité de l'utilisateur, et le trafic est inspecté et surveillé en fonction des politiques appliquées à cet utilisateur ou groupe d'utilisateurs. Par exemple, les utilisateurs de R&D peuvent se voir accorder l'accès à un référentiel, mais pas à Salesforce, tandis que les ingénieurs commerciaux se verront accorder l'accès à Salesforce, mais pas au référentiel.

Par défaut, le trafic est envoyé en utilisant le protocole IP GRE par défaut 47. Pour les réseaux où l'envoi de trafic GRE n'est pas possible (par exemple, Microsoft Azure) ou non souhaitable en raison de restrictions de sécurité ou autres, il est possible d'encapsuler le trafic GRE dans UDP. Cela peut être activé à l'aide de la clé de registre, comme décrit ci-dessous. Une fois activée, tout le trafic est encapsulé dans UDP et envoyé via le port 4754.

Note

Note : Le trafic est envoyé à la plage système Cato depuis les clients, qui par défaut est 10.254.254.0/24, pour terminer le tunnel GRE. Par conséquent, cette destination doit être routée vers un Socket au sein du réseau qui héberge les clients.

Pour le trafic que vous ne souhaitez pas envoyer au cloud Cato, par exemple, vers un serveur DNS, vous pouvez configurer des exceptions pour qu'il ne passe pas par le tunnel GRE. Cela vous permet de garder le trafic local dans le réseau local afin qu'il n'ait pas besoin de sortir vers le PoP.

Configuration de la conscience utilisateur pour les hôtes partagés

Pour activer la conscience utilisateur pour les hôtes partagés, vous devez effectuer les actions suivantes :

  1. Configurer quel trafic est envoyé via l'hôte partagé et lequel ne l'est pas.
  2. Installer le Client Cato sur les hôtes partagés.

Configuration du trafic vers les hôtes partagés

Vous pouvez configurer quels hôtes partagés peuvent communiquer avec le cloud Cato via le tunnel GRE, et le trafic à exclure. Par exemple, le trafic Internet doit être envoyé via le tunnel GRE, mais le trafic DNS doit être exclu.

shared-host-newRule.png

Configurer le trafic vers les hôtes partagés.

  1. Naviguer vers Accès au cloud > Sensibilisation de l'Utilisateur et cliquez sur l'onglet Hôtes Partagés .
  2. Cliquez sur Nouveau > Nouvelle règle.

    1. Dans le champ Adresse IP, sélectionnez l'hôte ou CIDR auquel appliquer la règle.

      Les plages IP ne sont pas prises en charge, par exemple 10.10.10.5-10.10.10.10.

    2. Définir les exceptions de routage pour le trafic qui ne doit pas être envoyé via le tunnel GRE, par exemple, vers un serveur DNS ou Active Directory.
  3. Cliquez sur Enregistrer et Publier pour propager les modifications.

Installer le client Cato sur les hôtes partagés

Vous devez installer le client Cato sur les hôtes partagés pour activer le tunnel GRE.

shared-hosts.png

Les systèmes d'exploitation suivants sont pris en charge :

  • Serveur Windows 2019 et supérieur.
  • Pour Azure Virtual Desktop, Windows 10 ou Windows 11.

Vers installer le Client Cato

  1. Suivez les instructions pour installer le Client Cato.

  2. Installer via la ligne de commande et exécuter :

    .\<setup_file.exe>/props="CATO_INSTALL_UATS=1"

  3. Pour Azure Virtual Desktop Windows 10 ou Windows 11, après que l'installation soit terminée :

    1. Dans le Registre Windows, naviguez vers HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.
    2. Créez le DWORD GREOverUDP et définissez la valeur sur 1.
  4. Dans le même emplacement du Registre Windows, pour vérifier que l'installation a réussi, assurez-vous que le registre GREMode a été créé et que la valeur est définie sur 1.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 6 sur 7

0 commentaire