Ajout de conditions de dispositif aux règles de pare-feu

Cet article explique comment ajouter des conditions pour les critères de dispositif aux bases de règles de pare-feu WAN et Internet pour améliorer la sécurité et la protection.

Vue d'ensemble

Le paramètre Appareil pour les règles de pare-feu WAN et Internet vous permet d'étendre la portée de votre politique de sécurité de pare-feu pour inclure l'accès conditionnel basé sur les attributs de l'appareil réel d'un utilisateur final ou d'autres appareils communicant sur votre réseau, tels que IoT/OT. Vous pouvez spécifier les exigences d'accès pour les dispositifs sur le réseau. Par exemple :

Pare-feu WAN -
- Spécifiez la source de la règle pour ne s'appliquer qu'aux appareils qui répondent à la posture prédéfinie ou basés sur la géolocalisation
- Autoriser l'accès à un appareil OT critique pour l'entreprise uniquement pour des utilisateurs spécifiques
Pare-feu Internet -
- Définir des règles pour une application SaaS qui limitent l'accès en fonction des paramètres de l'appareil et de l'emplacement
- Bloquer l'accès Internet pour les caméras IP sur le réseau

Par défaut, les Paramètres de l'Appareil n'impactent pas le Trafic car ils sont définis sur N'importe lequel N'importe lequel et correspondent automatiquement à tout le Trafic.

Pour plus d'informations sur le pare-feu WAN et Internet de Cato, consultez les articles de la base de connaissances sur Cato Firewalls.

Prérequis

Avant de pouvoir ajouter un profil d'appareil aux paramètres de l'Appareil pour une règle, vous devez créer et configurer le Profil de l'Appareil
Pour savoir quelles vérifications d'appareil sont prises en charge pour l'OS du client et sa version, consultez Création de Profils de Posture de Dispositifs et Vérifications de Dispositif
Les règles qui utilisent les profils de périphériques sont appliquées uniquement lorsque le client Cato est installé sur le périphérique et utilisé comme agent d'identité, à la fois à distance et lorsque situé derrière un Socket.

Pour plus d'informations, consultez Utilisation des agents d'identité Cato pour la sensibilisation des utilisateurs (Authentification EA sans licence ZTNA).

Note : Les Clients sous licence sont automatiquement utilisés comme agents d'identité.

Configuration des paramètres de l'appareil

Voici les paramètres Appareil que vous pouvez ajouter à une règle de pare-feu :

Attributs de l'Appareil - Attributs des appareils tels qu'identifiés par le moteur de détection de l'Inventaire des Appareils
Plateformes - Système d'exploitation de l'appareil (OS)
Pays - Pays source de la connexion basé sur l'emplacement physique de l'appareil (selon la géolocalisation de l'adresse IP)
Profils de posture d'Appareil - Profils d'Appareil (configurés dans Accès > Posture de l'Appareil)
Origine de la connexion - La géolocalisation de l'appareil. Vous pouvez configurer la règle en fonction de si l'appareil se connecte derrière un côté ou à distance via le client, l'extension de navigateur ou le navigateur d'entreprise (chaque option de connexion à distance peut être sélectionnée séparément).
Attributs Utilisateur: Le Niveau de Risque et le Niveau de Confiance de l'utilisateur connectés à l'appareil.

Lorsque vous configurez plusieurs conditions pour une règle, elles ont une relation AND, la règle est satisfaite uniquement si le trafic correspond aux critères définis dans tous les éléments.

À l'intérieur d'une condition (une seule cellule), les éléments ont une relation OR. Par exemple, une règle qui a la condition de Plateformes de Windows, et macOS, correspond à tous les dispositifs Windows ou macOS.

Ceci est un exemple de règle où le trafic doit répondre à toutes ces conditions d'Appareil : appareils Windows, situés en Inde, qui répondent aux exigences du Profil de Posture de l'Appareil 1.

Ajout des exigences de l'attribut de l'appareil

Utilisez la condition Attributs de Dispositif pour définir des règles pour les dispositifs qui ont été détectés sur le réseau par le moteur de l'Inventaire des Dispositifs. Vous pouvez utiliser les attributs suivants dans une règle de pare-feu : Catégorie, Type, Modèle, OS, Fabricant, Version de l'OS.

Sélectionnez un Type d'Attribut de Dispositif, puis sélectionnez les valeurs dans la liste déroulante. La liste est automatiquement peuplée avec les valeurs des dispositifs détectés sur le réseau. Vous pouvez sélectionner plusieurs Types d'Attributs de Dispositif dans une règle, et les attributs ont une relation AND entre eux. Par exemple, si vous sélectionnez OS comme Windows et Fabricant comme Dell, la condition ne s'applique qu'aux dispositifs Dell avec un système d'exploitation Windows.

Cependant, lorsque vous sélectionnez plusieurs valeurs dans un Type d'Attribut de Dispositif, il existe une relation OR entre elles. Par exemple, si vous sélectionnez Fabricant avec les valeurs de Dell et HP, la condition sera satisfaite soit pour les dispositifs Dell, soit HP.

Une licence d'Inventaire des Dispositifs séparée est requise pour les pages et fonctionnalités d'Inventaire des Dispositifs. Pour plus d'informations sur l'achat d'une licence, veuillez contacter votre représentant Cato.

Ajout des exigences de la plateforme

La condition Plateformes pour une règle de pare-feu vous permet de définir les systèmes d'exploitation des dispositifs qui correspondent à la règle. Par exemple, pour un segment de réseau spécifique, n'autoriser l'accès qu'aux dispositifs Windows, macOS ou Linux.

Ajout des exigences de pays

La condition Pays vous permet de définir la source du trafic qui correspond à la règle basée sur la géolocalisation IP du dispositif. Par exemple, restreindre l'accès à un site pour une succursale, de sorte que seuls les dispositifs situés dans le même pays que le bureau soient autorisés à se connecter.

Ajout des exigences de profil de l'appareil

La condition Profils vous permet de restreindre la règle pour ne correspondre qu'aux dispositifs qui répondent aux exigences du Profil de Dispositif. Cette condition est basée sur la fonctionnalité de Posture de Dispositif, qui vérifie si le dispositif répond aux exigences de posture. Par exemple, seuls les dispositifs qui ont la version la plus récente du logiciel Anti-Malware répondent aux exigences de posture.

Les profils d'appareil ne sont actuellement pas pris en charge sur toutes les versions de client, pour plus d'informations voir Création de Profils de Posture de Dispositif et Vérifications de Dispositif.

Travailler avec des clients Cato non pris en charge

Le pare-feu ne peut déterminer si un Client correspond à la Vérification de Dispositif que pour les Clients pris en charge. Pour chaque Vérification de Dispositif, vous pouvez définir le comportement pour les Clients non pris en charge qui correspondent à la règle de pare-feu (Source, App/Catégorie, etc.) :

Ignorer la Vérification de Dispositif, et appliquer l'action de pare-feu aux Clients non pris en charge
Appliquer la Vérification de Dispositif, et le Client ne correspond pas à la règle de pare-feu et l'action n'est pas appliquée

Le tableau suivant explique le comportement pour les Clients non pris en charge lorsque la connexion correspond à tous les autres paramètres de la règle de pare-feu. Le comportement dépend de si l'option Ignorer cette vérification pour la version Client SDP non prise en charge est activée ou désactivée (désactivée) dans la Vérification de Dispositif.

Clients non pris en charge	Action de la règle de pare-feu	Comportement du Client
Ignorer la vérification (Activé)	Bloquer	Les Clients non pris en charge ignorent automatiquement la Vérification de Dispositif et sont bloqués (ils ne peuvent pas se connecter)
Ignorer la vérification (Activé)	Autoriser	Les Clients non pris en charge ignorent automatiquement la Vérification de Dispositif et sont autorisés (ils peuvent se connecter)
Appliquer la vérification (Désactivé)	Bloquer	Les Clients non pris en charge ne correspondent pas à la Vérification de Dispositif, le pare-feu ignore cette règle (n'applique pas l'action de blocage à la connexion)
Appliquer la vérification (Désactivé)	Autoriser	Les Clients non pris en charge ne correspondent pas à la Vérification de Dispositif, le pare-feu ignore cette règle (n'applique pas l'action d'autorisation à la connexion)

Ajout des exigences d'origine de l'appareil

La condition Origine de la Connexion vous permet de définir la géolocalisation de l'appareil qui correspond à la règle. Par exemple, autorisez l'accès à des informations sensibles derrière un site, mais pas lors du travail à distance.

Ajout des exigences de l'attribut de l'utilisateur

La condition Attribut d'Utilisateur vous permet de définir un Critère basé sur le Score de Risque ou le Niveau de confiance de l'utilisateur. Par exemple, autoriser l'Accès au cloud à Salesforce uniquement lorsque le Niveau de confiance de l'Utilisateur est Authentifié.

L'utilisation de l'attribut de Niveau de Confiance vous permet d'appliquer une exigence pour un niveau d'Authentification plus élevé (authentification renforcée) lors de l'accès aux ressources sensibles. Lorsqu'un accès est bloqué, vous pouvez appliquer un modèle personnalisé informant l'utilisateur pourquoi il a été bloqué et ce qu'il doit faire pour obtenir l'accès.

Configuration des conditions de l'appareil dans une règle

Vous pouvez configurer les paramètres de critères de l'appareil dans une nouvelle règle de pare-feu ou une règle existante.

Pour configurer les conditions de l'appareil pour une règle de pare-feu :

Dans la section Sécurité du volet de navigation, sélectionnez Pare-feu Internet ou Pare-feu WAN.
Cliquez sur Nouveau pour créer une nouvelle règle, ou cliquez sur l'icône Modifier dans la colonne Critère pour une règle existante.
In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
Cliquez sur Appliquer.

Les conditions de critères sont configurées pour la règle.

Exemple de règles de pare-feu avec conditions d'appareil

Voici un exemple de règle de pare-feu WAN qui autorise le trafic dans les deux directions pour tous les utilisateurs SDP qui répondent à toutes les conditions de dispositif suivantes : utilisant un appareil Windows, physiquement situé en Corée du Sud, et qui répond aux exigences du Profil de l'Appareil Test Policy.

Ceci est un exemple de règle de pare-feu Internet qui est une exception à la règle qui bloque la catégorie Sociale. L'exception autorise le trafic qui répond aux conditions de dispositif suivantes : utilisant un appareil Windows ou macOS et physiquement situé aux États-Unis.

Exemple de règles de pare-feu avec attributs d'utilisateur

Ceci est un exemple de règle de pare-feu Internet qui bloque le trafic vers Salesforce pour tous les utilisateurs avec un Niveau de confiance faible.

Lorsqu'un utilisateur est bloqué, il est présenté avec une page de blocage dédiée lui indiquant ce qu'il doit faire pour obtenir l'accès à SalesForce.

Bonnes pratiques pour implémenter les conditions de l'appareil du pare-feu

Ajoutez des Profils de Posture d'Appareil aux règles avec l'action autoriser
Définissez le Profil de l'Appareil avec les exigences minimales pour permettre la connexion des appareils (les appareils qui ne répondent pas à ces exigences sont bloqués)