Cet article explique comment configurer les règles pour la politique de Connectivité Client dans le cadre de l'implémentation et de l'application du Zero Trust Network Access (ZTNA) dans votre compte Cato.
Pour plus d'informations, voir Qu'est-ce que la politique de connectivité des clients ?
Utilisez la Politique de Connectivité Client pour appliquer les exigences de votre politique ZTNA que le Client Cato exécute sur les appareils pour les utilisateurs, tels que : les Postures et Vérifications des Appareils, le niveau de confiance, le système d'exploitation de l'appareil, et plus encore. Si l'appareil ne respecte pas la politique définie pour le profil, l'utilisateur ne peut pas se connecter au Cloud Cato.
Par exemple, vous pouvez uniquement autoriser les utilisateurs distants à accéder aux ressources internes lorsqu'ils sont conformes aux politiques de posture de l'appareil. Cela peut améliorer votre confiance dans les appareils connectés à vos ressources internes.
Vous pouvez également utiliser la politique de connectivité client pour fournir aux utilisateurs un accès Internet distant sécurisé après une authentification unique. Pour plus d'informations, voir Remote Internet Security with One Time Authentication.
L'action définit le niveau d'accès accordé à l'utilisateur. Les actions sont :
-
Autoriser WAN et Internet : L'utilisateur a un accès sécurisé à Internet et peut accéder au réseau privé (WAN)
Note
Note: Cette option permet à un Utilisateur d'accéder au réseau privé (WAN). L'accès d'un utilisateur au réseau privé (WAN) dépend des règles du pare-feu WAN.
-
Autoriser Internet : L'utilisateur a seulement un accès sécurisé à Internet et ne peut pas accéder au réseau privé (WAN)
Note
Note: Cette option permet à un Utilisateur d'accéder à Internet. L'accès d'un utilisateur à Internet dépend des règles du pare-feu Internet.
-
Bloquer : L'utilisateur est bloqué pour accéder à Internet et WAN
Les vérifications des appareils sont prises en charge pour les clients Windows et macOS. Pour plus d'informations sur les exigences pour chaque vérification, voir Créer des profils de posture d'appareil et des vérifications d'appareil.
L'objectif de la politique est de ne faire confiance qu'aux appareils qui correspondent à la politique. Par conséquent, définissez des règles qui bloquent tous les appareils non dignes de confiance afin qu'ils ne soient PAS autorisés à se connecter au réseau.
Avant d'activer la politique de connectivité client, assurez-vous de décider du comportement des utilisateurs avec des clients et des systèmes d'exploitation non pris en charge. Voulez-vous autoriser ces utilisateurs à se connecter à votre compte ? Par exemple, utilisateurs avec des Clients Linux ou Client Windows v4.7 et antérieures.
-
Configurer les vérifications pour divers fournisseurs d'anti-malware et de pare-feu pour endpoints, pour s'assurer que le logiciel pertinent est installé et fonctionne afin de permettre un accès à distance avec le Client.
-
Nous vous recommandons de ne pas activer la connectivité toujours active avec les vérifications en temps réel, car si un appareil ne respecte pas les exigences de la politique, le Client peut se déconnecter brusquement du réseau. Cela peut offrir une mauvaise expérience utilisateur pour l'utilisateur.
Vous pouvez consulter la liste des fournisseurs et des versions pris en charge pour les contrôles en temps réel ici.
-
La Politique de Connectivité est une politique ordonnée, par conséquent, vous pouvez ajouter des utilisateurs à plusieurs profils ou règles. Cependant, la première règle correspondante est appliquée à l'utilisateur.
Cette section explique l'utilisation de la politique de Connectivité Client lorsque vous appliquez la Politique Toujours Activée sur un site et que vous exigez que les utilisateurs distants s'authentifient même lorsqu'ils sont au bureau. Le paramètre Exiger une authentification au bureau de Toujours Activé force le Client à se conformer à la Politique de Connectivité Client avant que les utilisateurs puissent se connecter.
-
N'oubliez pas que la politique de Connectivité Client devra permettre à ces utilisateurs de se connecter soit au WAN soit à Internet, même lorsque l'appareil est situé au bureau derrière un site.
-
Si le Client passe en mode de contournement Always-On, la politique de pare-feu WAN et Internet pour le site est appliquée à l'utilisateur. Cette politique peut être différente de celle appliquée lorsque l'utilisateur se connecte à distance.
Pour plus d'informations, voir Protéger les utilisateurs avec une sécurité permanente (EA Anti-Tampering).
Cette section explique comment créer la politique de connectivité client et ajouter un ou plusieurs profils à chaque règle.
Si un appareil correspond à Utilisateur/Groupes, Plateformes, Pays, et au Profil de posture de l'appareil pour une règle, alors l'action de la règle est appliquée à l'appareil.
La Politique de Connectivité Client est une base de règles ordonnée, et chaque règle s'applique à une portée d'utilisateurs, y compris : la géolocalisation (pays) et le système d'exploitation de l'appareil. Lorsque des utilisateurs ou des groupes correspondent à la règle, le Cloud Cato gère les connexions comme suit :
-
Lorsqu'ils respectent les exigences du profil de l'appareil pour une règle, ils sont autorisés à se connecter à votre compte.
-
Lorsqu'ils ne respectent pas les exigences du profil de l'appareil pour une règle, le Cloud Cato continue d'inspecter la posture selon les règles de priorité inférieure de la politique.
-
L'appareil pour tout utilisateur ou groupe qui ne correspond à aucune règle est bloqué par la règle implicite finale de la politique (blocage ANY ANY).
Pour créer les règles pour la politique de connectivité client :
-
Depuis le menu de navigation, cliquez sur Accès > Politique de connectivité client.
-
Cliquez sur Nouveau.
Le panneau Nouvelle règle s'ouvre.
-
Configurez la portée de la règle :
-
Définissez les Utilisateurs/Groupes, Niveau de confiance, Plateformes, Plage d'IP FAI, et Pays pour cette règle.
-
-
Développez la section Profils de posture d'appareil et sélectionnez les profils pour cette règle.
Si plusieurs profils sont inclus dans une seule règle de politique, il y a un OU implicite entre eux.
Note: Selecting Any Device Posture Profile means no Device Posture Profiles are included in the rule.
-
Sélectionnez l'action pour la règle. Pour plus d'informations sur les actions disponibles, consultez Sécurité Internet à distance avec authentification unique.
-
Cliquez sur Appliquer.
-
Repeat steps 2-5 for each rule in the Client Connectivity policy.
-
Activez la politique de connectivité client puis cliquez sur Sauvegarder.
Le curseur
est vert lorsque la règle est activée, et gris lorsque la règle est désactivée.
Cette section montre un exemple de politique de connectivité client et comment les règles sont appliquées.
-
L'étendue de la règle 1 concerne les groupes R&D pour l'Afrique et l'Europe avec des appareils Windows.
-
L'étendue de la règle 2 concerne les groupes R&D pour l'Afrique et l'Europe avec des appareils Windows qui n'ont PAS satisfait aux exigences du profil de posture de l'appareil dans la règle 1.
-
Lorsque ces utilisateurs tentent de se connecter au cloud Cato, ils correspondent au profil de posture d'appareil Tout, et sont bloqués. Ils ne peuvent pas se connecter au Cloud Cato.
-
La règle 2 ne s'applique pas aux utilisateurs qui ne sont pas membres des groupes R&D pour l'Afrique et l'Europe, et ces utilisateurs continuent avec la règle 3.
-
-
La portée de la règle 3 est tout utilisateur ou groupe d'utilisateurs avec un appareil Windows.
Lorsque les utilisateurs tentent de se connecter au Cato Cloud, ils ne peuvent se connecter qu'à Internet et non au WAN s'ils remplissent les exigences du profil d'exemple.
Sinon, les utilisateurs sont bloqués par la règle finale implicite TOUT TOUT Bloquer.
Lorsque les appareils correspondent aux vérifications d'appareil, ils peuvent se connecter au cloud Cato, et l'expérience pour l'utilisateur est que le Client montre qu'il est Connecté. C'est la même expérience utilisateur que lorsqu'il n'y a pas de politique de posture de l'appareil pour le compte.
Lorsqu'un appareil échoue à correspondre à une vérification d'appareil, le Client ne se connecte pas au cloud Cato, et le Client affiche un message d'erreur à l'utilisateur. Si un appareil échoue à une vérification périodique après que le Client est connecté, le Client se déconnecte et le même message d'erreur est affiché.
Ceci est un exemple de message d'erreur :
Cliquez sur Détails pour afficher les exigences spécifiques que l'appareil ne respecte pas. Un événement est également généré montrant les mêmes détails.
Lorsque vous créez une politique de Connectivité Client pour un OS, nous recommandons fortement de vous assurer que tous les Clients installés sur tous les appareils sont mis à jour vers la version du Client supportée minimale. Pour les règles qui n'autorisent pas l'accès pour les versions antérieures (non prises en charge) du Client, voici l'expérience de l'utilisateur final :
-
Windows OS - aucun message n'est affiché à l'utilisateur, et le Client tente continuellement de se connecter au tunnel chiffré
-
macOS, iOS, Android et Linux - les utilisateurs voient un message indiquant que cet appareil est bloqué du réseau (par exemple, la connexion à partir de cet OS est interdite)
L'application de gestion Cato génère deux types d'événements liés à la politique de connectivité du client :
-
Chaque fois que des utilisateurs ou des groupes d'utilisateurs respectent les exigences d'une règle de politique de Connectivité Client, ils sont autorisés à se connecter au réseau.
-
Chaque fois que les utilisateurs ou les groupes d'utilisateurs sont empêchés de se connecter au réseau parce qu'ils ne répondent pas aux exigences de la politique de connectivité du client.
Le tableau suivant explique certains des champs de l'événement d'une action Autoriser :
|
Champ |
Explication |
|---|---|
|
Profil de posture d'appareil |
Le nom du profil de posture d'appareil avec lequel l'appareil est conforme. |
|
Règle |
Le nom de la règle de la politique de connectivité du client qui a permis à l'appareil de se connecter. |
|
Méthode d'authentification |
La méthode d'authentification utilisée par l'utilisateur pour s'authentifier avec le Client. |
Le tableau suivant explique les différents événements de connectivité avec l'action Bloquer et la raison pour laquelle la connexion a été bloquée.
|
Sous-type d'événement |
Raison du blocage |
Description du message de l'événement |
|---|---|---|
|
Politique de connectivité du client |
L'appareil échoue à répondre à la vérification de l'appareil |
Montre les détails de l'Anti-Malware ou du Firewall installés sur l'appareil, ainsi que les exigences de vérification de l'appareil. |
|
Politique de Connectivité des Clients |
Client non pris en charge |
L'appareil se connecte en utilisant un OS ou une version de Client qui n'est pas pris en charge, et la règle correspondante ne permet pas à un Client non pris en charge de se connecter. |
|
Politique de Connectivité Client |
L'appareil ne correspond à aucune règle |
L'appareil n'a pas correspondu à la portée d'aucune règle dans la politique de connectivité du client. Par conséquent, la connexion a été bloquée par la règle implicite finale. |
0 commentaire
Vous devez vous connecter pour laisser un commentaire.