Cet article explique comment configurer les règles de la politique de connectivité client dans le cadre de l'implémentation et de l'application d'un accès réseau de confiance zéro (ZTNA) dans votre compte Cato.
Pour plus d'informations, consultez Politique de Connectivité Client ?.
Utilisez la politique de connectivité du client pour appliquer les exigences de votre politique ZTNA que le client Cato effectue sur les appareils des utilisateurs, comme : les postures et vérifications des appareils, le niveau de confiance, le système d'exploitation de l'appareil, et plus. Si l'appareil ne respecte pas la politique définie pour le profil, alors l'utilisateur ne peut pas se connecter au Cloud Cato.
Par exemple, vous ne pouvez autoriser les utilisateurs distants à accéder aux ressources internes que lorsqu'ils sont conformes aux politiques de posture de l'appareil. Cela peut augmenter votre confiance dans les appareils connectés à vos ressources internes.
Vous pouvez également utiliser la politique de connectivité du client pour fournir aux utilisateurs un accès Internet sécurisé à distance après une authentification unique. Pour plus d'informations, voir Sécurité Internet à Distance avec Authentification Unique.
L'Action définit le niveau d'accès accordé à l'utilisateur. Les actions sont :
-
Autoriser WAN et Internet : L'utilisateur a un accès Internet sécurisé et peut accéder au réseau privé (WAN)
Remarque
Note : Cette option donne la permission à un utilisateur d'accéder au réseau privé (WAN). L'accès d'un utilisateur au réseau privé (WAN) dépend des règles dans le pare-feu WAN.
-
Autoriser uniquement Internet : L'utilisateur dispose uniquement d'un accès sécurisé à Internet et ne peut accéder au réseau privé (WAN)
Remarque
Note : Cette option donne la permission à un utilisateur d'accéder à Internet. L'accès d'un utilisateur à Internet dépend des règles dans le pare-feu Internet.
Cette Action inclut également l'option de Terminer les sessions WAN actives. Cette option s'applique lorsqu'un utilisateur distant avait précédemment un accès WAN autorisé sous une règle, mais que leur situation change et qu'ils ne correspondent désormais qu'à une règle qui autorise l'accès à Internet. Dans ce cas, vous pouvez choisir de terminer les sessions WAN existantes de l'utilisateur distant.
Par exemple, un utilisateur distant se voit accorder l'accès au WAN en fonction de son niveau de confiance. Si cette condition change plus tard, par exemple lorsque le jeton expire, l'utilisateur distant n'est plus autorisé à accéder au WAN. Ce paramètre détermine si leurs sessions WAN actuelles sont déconnectées. Cette option ne s'applique pas en mode Bureau.
-
Bloquer WAN et Internet : L'utilisateur est empêché d'accéder à Internet et au WAN
Les sessions WAN existantes sont toujours terminées dès qu'un utilisateur rencontre une règle avec cette action.
Les vérifications des appareils sont prises en charge pour les clients Windows et macOS. Pour plus d'informations sur les exigences pour chaque vérification, voir Créer des Profils de Posture d'Appareil et des Vérifications d'Appareil.
L'objectif de la politique est de ne faire confiance qu'aux appareils qui correspondent à la politique. Par conséquent, définissez des règles qui bloquent tous les appareils non fiables afin qu'ils ne soient PAS autorisés à se connecter au réseau.
Avant d'activer la politique de connectivité du client, assurez-vous de décider quel comportement sera adopté pour les utilisateurs avec des clients et systèmes d'exploitation non pris en charge. Voulez-vous permettre à ces utilisateurs de se connecter à votre compte ? Par exemple, les utilisateurs avec des clients Linux ou des clients Windows v4.7 et antérieurs.
- Configurer des vérifications pour divers fournisseurs d'Anti-Malware et de Pare-feu de point de terminaison, pour s'assurer que le logiciel pertinent est installé et en cours d'exécution pour permettre l'accès à distance avec le Client.
-
Nous vous recommandons de ne pas activer la connectivité permanente avec les vérifications en temps réel, car si un appareil ne répond pas aux exigences de la politique, le client peut être déconnecté du réseau de manière abrupte. Cela peut offrir une mauvaise expérience utilisateur.
Vous pouvez consulter la liste des fournisseurs et des versions compatibles pour les vérifications en temps réel ici.
- La Politique de Connectivité est une politique ordonnée, par conséquent, vous pouvez ajouter des utilisateurs à plusieurs profils ou règles. Cependant, la première règle correspondante est appliquée à l'utilisateur.
Cette section traite de l'utilisation de la politique de connectivité du client lorsque vous appliquez la politique de connectivité permanente derrière un site et exigez que les utilisateurs distants s'authentifient même lorsqu'ils sont au bureau. Le réglage de connectivité permanente Exiger l'authentification au bureau oblige le client à se conformer à la politique de connectivité du client avant que les utilisateurs soient autorisés à se connecter.
- N'oubliez pas que la Politique de Connectivité Client devra autoriser ces utilisateurs à se connecter soit au WAN, soit à Internet, même lorsque l'appareil est situé dans le bureau derrière un site.
- Si le Client entre en mode pour contourner le mode Toujours-actif, la politique de Pare-feu WAN et Internet pour le site est appliquée à l'utilisateur. Cette politique peut être différente de celle appliquée lorsque l'utilisateur se connecte à distance.
Pour plus d'informations, consultez Protéger les Utilisateurs avec une Sécurité Always-On.
Cette section explique comment créer la politique de connectivité du client et ajouter un ou plusieurs profils à chaque règle.
La politique de connectivité du client est une base de règles ordonnées, et chaque règle applique son champ aux utilisateurs auxquels la règle s'applique, y compris : la géolocalisation (Pays) et le système d'exploitation de l'appareil. Lorsque les utilisateurs ou groupes correspondent à la règle, le Cloud Cato gère les connexions comme suit :
- Lorsqu'ils répondent aux exigences du Profil de l'Appareil pour une règle, ils sont autorisés à se connecter à votre compte.
- Lorsqu'ils ne répondent pas aux exigences du Profil de l'Appareil pour une règle, le Cato Cloud continue d'inspecter la posture selon les règles de priorité inférieure de la politique.
- L'appareil de tout utilisateur ou groupe qui ne correspond à aucune règle est bloqué par la règle implicite finale de la politique (TOUT TOUT bloquer).
Pour créer les règles de la Politique de Connectivité Client :
- Dans le menu de navigation, cliquez sur Accès > Politique de Connectivité Client.
-
Cliquez sur Nouveau.
Le panneau Nouvelle règle s'ouvre.
- Configurer la portée de la règle :
- Définissez les Utilisateurs/Groupes, le Niveau de Confiance, les Plateformes, la Plage d'IP ISP Publique et les Pays pour cette règle.
-
Développez la section Profils de posture des appareils, et sélectionnez les profils pour cette règle.
Si plusieurs profils sont inclus dans une seule règle de politique, il y a un OR implicite entre eux.
Note: La sélection de Tout profil de posture des appareils signifie qu'aucun profil de posture des appareils n'est inclus dans la règle.
- Sélectionnez l'Action pour la règle. Pour plus d'informations sur les actions disponibles, consultez Sécurité Internet à distance avec authentification unique.
- Cliquez sur Appliquer.
- Répétez les étapes 2-5 pour chaque règle dans la Politique de Connectivité Client.
-
Activez la politique de connectivité du client puis cliquez sur Enregistrer.
Le curseur
est vert lorsque la règle est activée, et gris lorsque la règle est désactivée.
Cette section montre un exemple de politique de connectivité du client et comment les règles sont appliquées.
-
Le champ de la règle 1 est les groupes de R&D pour l'Afrique et l'Europe avec des appareils Windows.
-
Le champ de la règle 2 est les groupes de R&D pour l'Afrique et l'Europe avec des appareils Windows qui n'ont PAS répondu aux exigences de profil de posture de l'appareil dans la règle 1.
- Lorsque ces utilisateurs tentent de se connecter au Cato Cloud, ils correspondent au Profil de Posture de l'Appareil N'importe laquelle, et sont bloqués. Ils ne peuvent pas se connecter au Cato Cloud.
- La règle 2 ne s'applique pas aux utilisateurs qui ne sont pas membres des groupes de R&D pour l'Afrique et l'Europe, et ces utilisateurs continuent avec la règle 3.
-
Le champ de la règle 3 est tout utilisateur ou groupe d'utilisateurs avec un appareil Windows.
Lorsque les utilisateurs essaient de se connecter au Cloud Cato, ils ne sont autorisés à se connecter qu'à Internet et non au WAN s'ils répondent aux exigences du profil d'exemple.
Sinon, les utilisateurs sont bloqués par la règle implicite finale ANY ANY Block.
Lorsque les appareils correspondent aux contrôles des appareils, ils peuvent se connecter au Cloud Cato, et l'expérience utilisateur est que le client indique qu'il est Connecté. C'est la même expérience utilisateur que lorsqu'il n'y a pas de politique de posture des appareils pour le compte.
Lorsqu'un appareil ne correspond pas à un contrôle de l'appareil, le client ne se connecte pas au Cloud Cato, et un message d'erreur s'affiche pour l'utilisateur. Si un appareil échoue à une vérification périodique, après que le Client est connecté, le Client se déconnecte et le même message d'erreur est affiché.
Voici un exemple de message d'erreur :
Cliquez sur Détails pour afficher les exigences spécifiques auxquelles l'appareil ne répond pas. Un événement est également généré qui montre les mêmes détails.
Lorsque vous créez une politique de Connectivité Client pour un OS, nous vous recommandons fortement de veiller à ce que tous les Clients installés sur tous les appareils soient mis à niveau vers la version minimale prise en charge du Client. Pour les règles qui n'autorisent pas l'accès pour les versions de client antérieures (non prises en charge), voici l'expérience utilisateur final :
- Windows OS - aucun message n'est affiché à l'utilisateur, et le Client tente en continu de se connecter au tunnel chiffré.
- macOS, iOS, Android et Linux - un message est affiché aux utilisateurs indiquant que cet appareil est bloqué du réseau (par exemple, la connexion depuis cet OS est interdite).
L'application de gestion Cato génère deux types d'événements liés à la politique de connectivité du client :
- Chaque fois que des utilisateurs ou des groupes d'utilisateurs répondent aux exigences d'une règle de la Politique de Connectivité Client, et sont autorisés à se connecter au réseau.
- Chaque fois que des utilisateurs ou des groupes d'utilisateurs sont bloqués de la connexion au réseau parce qu'ils ne répondent pas aux exigences de la Politique de Connectivité Client.
Le tableau suivant explique certains des champs des événements d'une action Autoriser :
| Champ | Explication |
|---|---|
| Profil de l'Appareil de Posture | Le nom du Profil de l'Appareil de Posture que l'appareil respecte. |
| Règle | Le nom de la règle de la Politique de Connectivité Client qui a permis à l'appareil de se connecter. |
| Méthode d'Authentification | La méthode d'authentification utilisée par l'utilisateur pour s'authentifier sur le Client. |
Le tableau suivant explique les différents événements de connectivité avec l'action de blocage et la raison pour laquelle la connexion a été bloquée.
|
Sous-type d'Événement |
Raison du Blocage |
Description du Message d'Événement |
|---|---|---|
|
Politique de Connectivité Client |
L'appareil ne répond pas à la Vérification de l'Appareil. |
Montre les détails de l'Anti-Malware ou du Pare-feu installé sur l'appareil, et ce qui est requis pour la Vérification de l'Appareil. |
|
Politique de Connectivité Client |
Client non pris en charge |
L'appareil se connecte en utilisant un OS Client ou une version qui n'est pas pris en charge, et la règle correspondante n'autorise pas un Client non pris en charge à se connecter. |
|
Politique de Connectivité Client |
L'appareil ne correspond à aucune règle. |
L'appareil ne correspond pas à la portée d'aucune règle dans la Politique de Connectivité Client. Ainsi, la connexion a été bloquée par la règle implicite finale. |
0 commentaire
Vous devez vous connecter pour laisser un commentaire.