Cet article explique les différents certificats utilisés par Cato Networks et leurs objectifs.
Cato utilise deux types différents de certificats numériques pour sécuriser l'authentification de l'appareil et inspecter le trafic chiffré. Chaque certificat sert un but distinct et est distribué indépendamment :
-
Certificat d'inspection TLS Cato – Déployé sur les navigateurs et les points d'extrémité pour permettre à Cato de déchiffrer et d'inspecter le trafic HTTPS pour le DLP, l'Anti-Malware et le contrôle des applications
-
Certificat d'appareil Client Cato – Généré automatiquement lors de l'installation du Client pour authentifier l'appareil et appliquer les politiques d'accès Zero Trust
Ces certificats ne sont pas interchangeables. Le certificat d'inspection TLS permet une inspection sécurisée des flux de trafic, tandis que le certificat d'appareil Client valide et identifie le point d'extrémité lui-même. Ensemble, ils soutiennent l'accès Zero Trust et fournissent une visibilité approfondie sur le trafic chiffré à travers le réseau.
Le certificat d'inspection TLS permet à Cato d'agir en tant qu'intermédiaire de confiance pour le trafic HTTPS chiffré. Le CA Racine par défaut de Cato est installé automatiquement lorsque vous téléchargez et installez le Client Cato, ou vous pouvez télécharger votre propre certificat CA racine vers l'application de gestion Cato (CMA). Le certificat doit être installé sur les appareils utilisateur pour éviter les avertissements de navigateur lorsque les sessions TLS sont inspectées et re-signées par Cato. [KM1]I'd swap these predicates around so that the default Cato Root CA is mentioned first (since it's by far the most common use case), then mention the custom/"private" root CA usage as more of an afterthought [YL2]@Kiki Mitchell Is this better?
La société ABC applique des politiques de sécurité strictes pour le trafic web, y compris l'inspection TLS pour le DLP et le balayage Anti-Malware. Pour éviter les erreurs de navigateur sur les appareils utilisateur, l'administrateur téléverse un certificat CA racine personnalisé au CMA et le distribue à tous les appareils de l'entreprise en utilisant la MDM. Lorsque les utilisateurs naviguent sur des sites web HTTPS, les sessions TLS sont déchiffrées, inspectées et re-chiffrées par Cato sans déclencher d'avertissements de certificat.
Le certificat d'appareil Client est utilisé pour l'authentification basée sur le certificat et doit être installé sur chaque point d'extrémité. Dans l'application de gestion Cato (CMA), vous téléversez un certificat de signature que Cato utilise pour vérifier les certificats des appareils dans votre organisation. Les certificats d'appareil doivent être générés par une autorité de confiance et déployés aux points d'extrémité en utilisant des outils tels que la MDM ou des scripts d'automatisation. Une fois installés, ils permettent à Cato d'authentifier l'appareil, d'appliquer des vérifications de posture, d'appliquer les politiques de connectivité Client et de restreindre l'accès uniquement aux points d'extrémité de confiance.
La société ABC veut s'assurer que seuls les ordinateurs portables délivrés par l'entreprise peuvent se connecter au réseau en utilisant le Client Cato. Lorsqu'un utilisateur installe le Client, il génère automatiquement un certificat d'appareil lié à ce point d'extrémité et à ce compte. L'administrateur active la validation du certificat d'appareil dans la Politique de Connectivité Client. Si un utilisateur copie le Client sur un appareil personnel, le certificat est manquant, et l'appareil est bloqué pour la connexion – même si l'utilisateur possède des identifiants valides.
0 commentaire
Cet article n'accepte pas de commentaires.