Cet article explique comment configurer votre politique Always-On dans le but d'augmenter la sécurité Internet pour les utilisateurs de votre tenant.
La politique Always-On améliore la sécurité Internet en définissant des règles pour que les utilisateurs ou groupes d'utilisateurs se connectent toujours via le Cato Cloud. Cela garantit que tout le trafic passe par un PoP, et les moteurs de sécurité Cato inspectent le trafic pour s'assurer qu'il est conforme à vos politiques de sécurité.
Le réseau de la société ABC est utilisé par ses propres employés, qui ont accès aux ressources de l'entreprise, et par des sous-traitants, qui ne peuvent pas accéder aux ressources de l'entreprise. Ils créent une règle pour activer Always-On pour leurs employés tandis que les sous-traitants peuvent accéder directement à Internet. Cela garantit que tout le trafic des employés de l'entreprise passe par le Cato Cloud et est protégé par des politiques de sécurité.
L'entreprise ABC installe le Client Cato sur tous ses appareils gérés, et permet également à ses employés d'installer le Client sur leurs appareils personnels afin qu'ils puissent accéder aux ressources de l'entreprise si nécessaire. La politique de sécurité de l'entreprise exige que les appareils gérés soient toujours connectés au réseau.
L'équipe informatique crée un profil de posture de l'appareil qui utilise une vérification de l'appareil pour vérifier qu'un certificat de signature est installé sur l'appareil.
Ensuite, ils créent des règles dans la Politique Toujours Activée pour n'exiger Toujours Activée que pour les appareils qui correspondent au profil de Posture de l'appareil pour les certificats.
La politique Always-On est une base de règles ordonnées. Les règles de votre politique sont appliquées à un utilisateur ou un groupe comme suit:
- Lorsqu'elles rencontrent une règle, le Client suit la configuration définie dans la règle
- Si elles ne répondent à aucune règle, elles peuvent se déconnecter du réseau
Cette section décrit le flux de configuration pour appliquer la Politique Toujours Activée uniquement aux appareils gérés utilisant une Vérification d'appareil pour les certificats de signature.
-
Préparer les appareils à utiliser la Vérification d'appareil pour le certificat de signature.
- Distribuer le certificat aux appareils gérés. Consultez les articles dans la section Distribution et installation des certificats de périphériques.
- Télécharger le certificat de signature vers le CMA. Consultez Gestion des certificats de signature pour l'accès à distance.
- Pour identifier les appareils gérés selon le certificat installé, configurez une Vérification d'appareil pour les certificats et attribuez-la à un Profil d'appareil. Consultez Création de profils de posture de l'appareil et vérifications de l'appareil.
-
Dans la Politique Toujours Activée, créez une nouvelle règle qui exige que les appareils gérés soient toujours connectés au réseau :
- Utilisateurs/Groupes - Assignez des groupes d'utilisateurs ou des utilisateurs aux appareils gérés.
- Profils de posture de l'appareil - Sélectionnez le Profil d'appareil que vous avez créé à l'étape 2.
- Connecté - Sélectionnez Toujours Activé.
-
Dupliquez la règle de l'étape 3, et changez le paramètre Connecté en À la demande.
- Publier la Politique Toujours Activée.
Avec la Politique Toujours Activée activée, vous pouvez toujours offrir aux utilisateurs un accès direct à l'Internet en :
- Utilisant une méthode de contournement temporaire
- Créant une règle avec un statut de connexion À la demande
- Permettant l'accès à Internet en mode récupération
Il peut y avoir certaines situations où les utilisateurs doivent temporairement contourner le Cato Cloud et accéder directement à Internet. Par exemple, pour accéder temporairement à un site web bloqué par une règle de pare-feu Internet. Pour chaque règle, vous pouvez configurer comment les utilisateurs contournent temporairement le cloud Cato.
Sur Windows v5.9 et plus, vous pouvez également configurer la durée pendant laquelle les utilisateurs peuvent contourner le Cato Cloud. Pendant cette période, le trafic Internet ne circule pas à travers le Cato Cloud et n'est pas sécurisé.
Lorsque le Client se déconnecte temporairement, des événements sont générés pour montrer les détails de l'utilisateur et la durée pendant laquelle le Client a été déconnecté. Pour consulter ces événements, sur la page Événements, appliquez un filtre pour le sous-type VPN Never-Off Bypass. Le Méthode de contournement dans l'événement affiche la méthode utilisée pour contourner le Client. Pour plus d'informations sur les événements dans votre compte, consultez Analyser les événements de votre réseau.
Les utilisateurs peuvent temporairement contourner le Cato Cloud en utilisant soit:
- Le contournement contrôlé par l'administrateur avec un code de contournement
- Le contournement contrôlé par l'utilisateur
Remarque
Note : Pris en charge sur Windows, Android, iOS Clients, et Client macOS v5.4 et supérieur
Utilisez cette option pour générer un mot de passe à usage unique (OTP) dans l'application de gestion Cato que vous pouvez donner à tout utilisateur afin de lui permettre de déconnecter temporairement le Client. Dans les versions du Client Windows inférieures à 5.9 et sur d'autres systèmes d'exploitation pris en charge, le Client peut être déconnecté (contournement) jusqu'à 15 minutes à chaque fois. Chaque code peut être valable jusqu'à 15 minutes.
De plus, vous pouvez utiliser une application d'authentification (comme Google Authenticator) pour scanner le code QR sur cet écran. Ensuite, vous pouvez toujours obtenir un OTP pour les utilisateurs à partir de l'application d'authentification. L'application d'authentification rafraîchit le code toutes les 30 secondes, donc chaque code n'est valable que 30 secondes.
Vous pouvez utiliser le même code de contournement pour plusieurs utilisateurs, tant que le code est toujours valable.
Remarque
Note: Pris en charge à partir de :
- Client Windows v5.9 et plus
- Client macOS v5.5 et plus
- Client iOS v5.6 et supérieur
Cette option permet aux utilisateurs de déconnecter temporairement le Client sur demande. Dans le Client, l'utilisateur doit fournir une raison pour la déconnexion du Client dans un champ de texte libre. et peut alors immédiatement accéder directement à l'Internet. Cette raison est incluse dans l'événement.
Le Client est autorisé à se déconnecter pour la durée configurée dans la Durée de la déconnexion.
L'équipe d'ingénierie d'une entreprise de vente au détail est responsable de garantir que leur site Web a une disponibilité de 100% pour recevoir des commandes en ligne. Cela signifie qu'ils ont toujours besoin d'accéder à une application SaaS en ligne nécessaire pour résoudre les problèmes. L'accès à l'application est requis en dehors des heures de travail et lors du travail à distance. La politique de sécurité de l'entreprise stipule que tout accès à Internet doit être sécurisé.
Pour se conformer à la politique de sécurité, l'IT active la fonction Toujours Activé. Par précaution, pour éviter une situation où le client ne peut pas se connecter au Cloud Cato lors d'une panne potentielle, l'équipe informatique fournit aux ingénieurs un moyen d'accéder immédiatement à Internet. L'équipe informatique a créé une règle dans leur politique Toujours activé pour le groupe d'utilisateurs ingénieurs, où le mode de contournement est configuré pour permettre aux utilisateurs de se déconnecter temporairement sur demande.
Si un ingénieur doit résoudre des problèmes de site Web au milieu de la nuit, l'équipe IT peut s'assurer qu'il peut accéder à l'application SaaS de dépannage même s'il y a un problème avec le Client. L'ingénieur n'a pas besoin d'attendre l'approbation de l'IT pour contourner le Cato Cloud et commencer à résoudre les problèmes du site Web.
S'il y a des utilisateurs qui ont régulièrement besoin d'un accès direct à Internet, vous pouvez les ajouter à une règle avec le statut de connexion À la demande. Cette configuration permet aux utilisateurs de connecter ou déconnecter le Client selon les besoins.
Remarque
Note: Pris en charge à partir de :
- Client Windows v5.9 et plus
- Client macOS v5.5 et plus
- Client iOS v5.6 et supérieur
Vous pouvez également choisir le comportement du Client dans un scénario où une connexion au Cato Cloud ne peut pas être établie. Le Client peut être configuré pour :
- Autoriser Internet (Configuration par défaut) : Les utilisateurs peuvent accéder à Internet. Le trafic ne circule pas à travers le Cato Cloud et n'est pas sécurisé tant qu'une connexion au Cato Cloud n'est pas établie.
- Restreindre l'accès à Internet : Les utilisateurs ne peuvent accéder à Internet qu'une fois la connexion au Cloud Cato et l'Internet sécurisé établis.
La société ABC a activé Always-On pour tous les utilisateurs. Leurs cadres de direction voyagent souvent et se connectent à Internet depuis les aéroports et les hôtels. Parfois, le Client ne détecte pas le portail captif et ne parvient pas à établir un tunnel crypté. Pour garantir que les cadres peuvent continuer à travailler lorsqu'ils voyagent, l'équipe IT configure le Mode de récupération dans la règle Toujours Activé pour le groupe des cadres afin de permettre l'accès à Internet.
Si le Client ne détecte pas un portail captif, les utilisateurs du top management peuvent continuer à travailler, car le Client permet l'accès à Internet selon la politique Always-On. Dès que le client rétablit un tunnel, le trafic passe par le Cloud Cato comme prévu.
Avant de pouvoir activer votre politique Always-On, réfléchissez à la manière dont Always-On interagit avec d'autres fonctionnalités et versions du Client dans votre environnement. Cette section fournit des recommandations sur la manière d'utiliser SSO, la connectivité Client, l'authentification des appareils, et le Client Windows avec votre politique Always-On.
Pour les comptes qui utilisent l'authentification Single Sign-On pour les utilisateurs, vous pouvez également configurer les clients pris en charge pour rester toujours connectés au Cloud Cato (Toujours Actif). Cette configuration offre aux utilisateurs la simplicité du SSO et la sécurité Toujours Actif. Le client peut accéder au fournisseur IdP et l'accès à d'autres ressources se fait conformément à votre politique de sécurité.
Remarque
Note : Pour aider les utilisateurs qui ne peuvent pas s'authentifier auprès du Client, nous recommandons d'activer une méthode de contournement du cloud Cato et de revoir les événements de contournement. Sinon, l'appareil non authentifié ne peut pas se connecter à Internet ou au Cloud Cato.
Cette section contient des meilleures pratiques et des recommandations pour la mise en œuvre de Always-On avec SSO dans votre compte.
- Commencez par activer Always-On et SSO pour un petit nombre d'utilisateurs afin de minimiser l'impact sur votre compte
- Passez en revue les événements de contournement, pour surveiller l'utilisation des codes de contournement dans votre organisation
- Étant donné que les utilisateurs non authentifiés n'ont pas de connectivité Internet, assurez-vous que les utilisateurs peuvent se connecter à l'appareil sans dépendre d'Internet
- Assurez-vous que tous les Clients sont mis à jour à la version minimale prise en charge pour le système d'exploitation pertinent. Si un Client d'une version non prise en charge est utilisé, le Client ne peut pas ré-authentifier et le trafic vers Internet est bloqué.
- Pour les déploiements qui utilisent un proxy tiers, seule l' Authentification par navigateur dans le client est prise en charge pour Toujours Actif et SSO (pour en savoir plus sur l'Authentification par navigateur, voir Configurer la politique d'authentification pour les clients Cato).
Votre Politique de connectivité Client et les paramètres d'authentification de l'appareil appliquent des postures et vérifications d'appareils effectuées sur les appareils des utilisateurs. Si l'appareil ne se conforme pas à la politique définie pour le profil, alors l'utilisateur ne peut pas se connecter au Cato Cloud. Votre politique de connectivité Client et les paramètres d'authentification des appareils prennent le pas sur votre politique Always-On.
Pour les équipes IT, livrant ou expédiant de tout nouveaux appareils aux utilisateurs du monde entier, nous pouvons fournir une sécurité Always-on prête à l'emploi.
À partir de la version 5.6 du Client Windows, vous pouvez renforcer la sécurité Internet avant même qu'un utilisateur ne s'authentifie sur Cato. La politique Always-On est prête à l'emploi, et l'accès à Internet n'est autorisé qu'après que l'utilisateur se soit authentifié sur votre compte Cato.
Pour activer cette fonctionnalité, ajoutez simplement une clé de registre sur l'appareil Windows pour activer Always-On. Une fois l'utilisateur ajouté au Client, les paramètres Always-On définis dans l'application de gestion Cato sont appliqués à cet utilisateur.
Pour les comptes qui utilisent la fonctionnalité de pré-connexion, l'appareil est uniquement autorisé à accéder aux Destinations autorisées avant que l'utilisateur ne soit ajouté au client. Tous les autres accès à Internet sont bloqués.
Nous recommandons également d'ajouter la clé de registre qui lance le client au démarrage. Pour plus d'informations, voir Installation du client Cato.
Remarque
Remarque : Avant que les utilisateurs soient ajoutés au Client, il n'est pas possible de contourner le Cato Cloud.
Cette section explique comment créer la Politique Always-on.
La politique Toujours activé vous permet de définir les utilisateurs ou les groupes d'utilisateurs pour les clients qui doivent toujours se connecter au réseau.
Pour créer la Politique Always-on :
- Dans le menu de navigation, cliquez sur Accès > Politique Always-on.
-
Cliquez sur Nouveau.
Le panneau Nouvelle Règle s'ouvre.
- Entrez un Nom et définissez l'Ordre de la Règle.
- Définissez les Utilisateurs & Groupes, Plateformes.
-
Définissez le statut Connecté et le Mode de contournement pour Toujours Actif.
- Pour le SDP Anti-altération, déterminez quelle action entreprendre lorsqu'un utilisateur tente de faire des modifications. Par défaut, les modifications sont autorisées. Pour empêcher les utilisateurs de faire des modifications, sélectionnez Activer.
Pour plus d'informations, consultez Travailler avec l'Anti-altération pour le client Cato. -
Déterminez pendant combien de temps Toujours Actif et Anti-altération sont désactivés dans Durée de déconnexion et d'altération.
Le chronomètre pour chaque contournement commence lorsqu'un code est saisi. Par exemple, la Durée est réglée sur 60 minutes. Si le code de contournement pour l'Anti-altération est saisi à 12h30, le chronomètre démarre et l'Anti-altération sera de nouveau activé à 13h30. Un code de contournement pour Toujours Actif est saisi à 13h00, et expirera à 14h00.
- Configurez le fonctionnement du Client en Mode récupération.
- Cliquez sur Appliquer.
- Répétez les étapes 2-5 pour chaque règle dans la Politique Toujours-Activé.
-
Activez la Politique Toujours-Activé puis cliquez sur Sauvegarder.
Le curseur
est vert lorsque la règle est activée, et gris lorsque la règle est désactivée.
Remarque
Remarque : Pris en charge depuis :
- Tous les Clients Windows
- Client Linux v5.2 et au-dessus
Vous pouvez fournir aux utilisateurs un statut connecté À la demande avec sécurité additionnelle en configurant le Client pour se connecter automatiquement pendant la phase de démarrage. Une fois connecté, les utilisateurs peuvent choisir de déconnecter et reconnecter le Client à tout moment. Pour les utilisateurs avec un statut connecté Always-on, le Client se connecte automatiquement, sans cette configuration.
-
Si les options Connecter au démarrage ou Lancer minimisé sont sélectionnées dans l'Application de Gestion Cato :
- Cela est imposé à tous les Clients de votre environnement
- Les utilisateurs ne peuvent pas désactiver ce paramètre depuis le Client
-
Si les options Connecter au démarrage ou Lancer minimisé ne sont pas cochées dans l'Application de Gestion Cato :
- Les utilisateurs peuvent choisir d'activer ces fonctionnalités dans l'onglet Paramètres dans le Client
Remarque : Avec Connecter au démarrage activé, si un utilisateur se déconnecte de sa session Windows, le Client se connecte au Cato Cloud. Ceci permet l'accès à un contrôleur de domaine pour permettre à l'utilisateur de se reconnecter.
Pour configurer les paramètres par défaut pour les Clients :
- Dans le menu de navigation, cliquez sur Accès > Politique always-on.
- Ouvrez l'onglet Paramètres.
-
Dans la section Connecter au démarrage, définissez les paramètres par défaut pour les Clients Windows.
- Cliquez sur Sauvegarder.
Remarque
Remarque : Pris en charge depuis :
- Client Windows v5.8 et au-dessus
- Client Linux v5.2 et au-dessus
Lorsqu'un utilisateur se connecte derrière un Socket Cato ou un site IPsec, le Client se connecte automatiquement à ce site en Office Mode. Pour plus d'informations sur le mode Office, consultez Configuration du mode Office.
Vous pouvez configurer si les utilisateurs avec Always-on activé doivent s'authentifier auprès de Cato lorsque le Client est connecté en Office Mode. Cette configuration n'a aucun impact sur les politiques de sécurité.
Un code bypass est un code à 6 chiffres qui est entré dans le Client pour permettre aux utilisateurs de se déconnecter temporairement du Cato Cloud.
Pour générer un code bypass :
- Dans le menu de navigation, cliquez sur Accès > Politique Always-on.
- Ouvrez l'onglet Paramètres.
- Développez la section Afficher le code de contournement ou Afficher le code QR pour l'application d'authentification.
- Déterminez combien de temps avant l'expiration du code de contournement.
Remarque : Pris en charge depuis le client Windows 5.18 et le client macOS 5.10.6. - Vous pouvez maintenant envoyer le code de contournement ou le code QR à un utilisateur.
Un code de contournement Anti-altération est un code à 6 chiffres qui est saisi dans le client pour permettre aux utilisateurs de modifier temporairement le client Cato ou sa capacité à fonctionner, par exemple en modifiant les entrées de registre pertinentes.
Pour générer un code de contournement :
- Dans le menu de navigation, cliquez sur Accès > Politique Always-on.
- Ouvrez l'onglet Paramètres.
- Développez la section Afficher le code de contournement anti-altération ou Afficher le code QR anti-altération pour l'application d'authentification. Chaque code est valable jusqu'à 15 minutes.
- Copiez le code de contournement Anti-altération ou le code QR et envoyez-le à l'utilisateur.
Selon le Mode Bypass configuré dans l'Application de Gestion Cato, les utilisateurs peuvent temporairement déconnecter le Client en utilisant soit un code de bypass soit en entrant une raison pour bypass.
Le code bypass est généré par les administrateurs et envoyé à un utilisateur pour qu'il le saisisse dans le Client. Après qu'un code valide est entré, le Client bypass temporairement le tunnel chiffré et l'utilisateur peut accéder à Internet. Les clients Windows en version inférieure à 5.9, macOS, iOS et Android peuvent être temporairement déconnectés pour une durée maximale de 15 minutes. Les Clients Windows v5.9 et au-dessus peuvent être déconnectés pour la durée configurée dans la Durée de Déconnexion.
Les utilisateurs qui s'authentifient avec SSO ou MFA doivent se réauthentifier auprès du Client Cato lors de la reconnexion.
Remarque
Remarque : Contourner la configuration Toujours Actif n'affecte pas la protection Anti-altération.
Pour entrer un code bypass :
- Dans le Client Windows, les utilisateurs peuvent cliquer avec le bouton droit sur l'icône du Client dans la barre de système et sélectionner Bypass Temporaire
- Dans le Client macOS, les utilisateurs peuvent cliquer avec le bouton droit sur l'icône du Client dans la barre de système et sélectionner Déconnexion Temporaire
- Dans le Client iOS, sur l'écran d'accueil du Client, sélectionnez Bypass Toujours-Activé
- Dans le Client Android, depuis le menu latéral, sélectionnez Bypass Temporaire
Remarque
Remarque : Pris en charge à partir de :
- Client Windows v5.9 et supérieur
- Client macOS v5.5 et supérieur
Les utilisateurs peuvent temporairement déconnecter le Client après avoir fourni une raison. Après que l'utilisateur a entré le motif, le client contourne temporairement le Cloud Cato et l'utilisateur peut accéder à Internet. Le Client est déconnecté pour la durée configurée dans l'Application de Gestion Cato.
Les utilisateurs qui s'authentifient avec SSO ou MFA doivent se réauthentifier auprès du Client Cato lors de la reconnexion.
Pour entrer une raison de bypass :
- Dans le Client Windows, les utilisateurs peuvent cliquer avec le bouton droit sur l'icône du Client dans la barre de système et sélectionner Bypass Temporaire.
- Fournissez une raison pour déconnecter temporairement le Client.
-
Cliquez sur Entrer.
Le Client est déconnecté.
Remarque
Remarque : Pris en charge à partir de : Client Windows v5.14 et supérieur
Les utilisateurs peuvent désactiver temporairement la protection Anti-altération pour le Client après avoir reçu un code d'un administrateur.
Remarque
Remarque : Désactiver la protection Anti-altération n'affecte pas la configuration Toujours Actif.
Pour désactiver la protection Anti-altération :
-
Dans le Client, cliquez sur Paramètres.
Par défaut, la section Contourner est masquée aux utilisateurs. Pour afficher le champ, utilisez la séquence de touches CTRL + MAJ + O
- Contactez un administrateur et saisissez le code qu'il reçoit dans le champ de libération anti-altération SDP.
-
Cliquez sur Soumettre.
La protection Anti-altération est désactivée pour la durée configurée par un administrateur.
Vous pouvez personnaliser la Politique Always-on pour un utilisateur individuel.
Pour configurer la Politique Always-on pour un utilisateur spécifique :
- Dans le menu de navigation, cliquez sur Accès > Politique Toujours Actif.
-
Cliquez sur Nouveau.
Le panneau Nouvelle Règle s'ouvre.
- Entrez un Nom et définissez l'Ordre de la Règle.
- Dans la section Utilisateurs & Groupes, sélectionnez Utilisateur SDP.
- Choisissez l'utilisateur spécifique.
- Définissez les Plateformes et le statut Connecté.
- Cliquez sur Appliquer.
-
Activez la Politique Always-on puis cliquez sur Sauvegarder.
Le curseur
0 commentaire
Vous devez vous connecter pour laisser un commentaire.