Cet article explique comment ajouter des conditions pour les appareils à la politique d'inspection TLS pour une inspection granulée basée sur l'état actuel de l'appareil.
Le paramètre Appareil pour la politique d'inspection TLS vous permet d'étendre la portée pour inspecter le trafic basé sur l'appareil réel de l'utilisateur SDP. Vous pouvez spécifier les exigences pour les appareils auxquels les règles d'inspection TLS s'appliquent. Par exemple :
-
Inspecter uniquement le trafic pour les appareils basés sur la géolocalisation
-
Autoriser uniquement les appareils à contourner l'inspection TLS en fonction du système d'exploitation spécifique
Par défaut, les paramètres Appareil n'impactent pas la politique d'inspection TLS, car ils sont réglés sur Any Any et correspondent automatiquement à tout le trafic.
-
Les vérifications d'appareil sont supportées pour les clients Windows et macOS. Pour plus d'informations sur les exigences pour chaque vérification, voir Créer des profils de posture d'appareil et des vérifications d'appareil.
-
Avant de pouvoir ajouter un profil d'appareil aux paramètres Appareil pour une règle :
-
Vous devez créer et configurer le profil d'appareil
-
-
Limitation connue - Les règles qui utilisent des profils d'appareil ne s'appliquent que lorsque l'utilisateur est connecté avec le Client Cato (même s'il se trouve derrière un Socket)
Voici les conditions de paramètres Appareil que vous pouvez ajouter à une règle d'inspection TLS :
-
Plates-formes - Système d'exploitation (OS) de l'appareil
-
Pays - Pays source pour la connexion basé sur la localisation physique de l'appareil (selon la géolocalisation de l'adresse IP)
-
Profils - Profils d'appareil (configuré dans Ressources > Posture d'appareil)
-
Origine de la connexion - La géolocalisation de l'appareil (à distance ou derrière un site)
Lorsque vous configurez plusieurs conditions pour une règle, elles ont une relation ET, la règle est correspondue uniquement si le trafic répond aux critères définis dans tous les éléments.
Dans une condition (une seule cellule), les éléments ont une relation OU. Par exemple, une règle qui a la condition Plates-formes de Windows, et macOS, correspond à tous les appareils Windows ou macOS.
Ceci est un exemple d'une règle où le trafic doit répondre à toutes ces conditions Appareil : appareils Windows, situés en Inde, qui répondent aux exigences du Profil d'appareil d'exemple.
La condition Plates-formes pour une règle d'inspection TLS vous permet de définir le système d'exploitation de l'appareil qui correspond à la règle. Par exemple, pour un segment de réseau spécifique, autoriser uniquement l'inspection du trafic pour les appareils Windows, macOS ou Linux.
La condition Pays vous permet de définir la source du trafic qui correspond à la règle basée sur la géolocalisation IP de l'appareil. Par exemple, pour un site qui est une branche, permettre aux appareils mobiles iOS et Android de contourner l'inspection TLS.
La condition Profils vous permet de restreindre la règle pour correspondre uniquement aux appareils qui répondent aux exigences du profil d'appareil. Cette condition est basée sur la fonctionnalité de posture d'appareil, qui vérifie si l'appareil répond aux exigences de posture.
Remarque
Remarque : Pour les appareils qui sont connectés en utilisant le mode Bureau (ou tunnel dans tunnel), le moteur d'inspection TLS n'applique pas les profils de posture d'appareil aux appareils. Cela signifie que pour une règle d'inspection, les appareils utilisant le mode Bureau ne sont pas inspectés, même s'ils ne répondent pas aux exigences du profil de posture d'appareil.
Le moteur d'inspection TLS peut uniquement déterminer si un client correspond au profil d'appareil pour les clients supportés. Pour chaque vérification d'appareil, vous pouvez définir le comportement pour les clients non supportés qui répondent aux autres exigences dans la règle :
-
Sauter la vérification d'appareil - appliquer l'action d'inspection TLS aux clients non supportés
-
Appliquer la vérification d'appareil - l'action n'est appliquée que lorsque le client correspond à la règle
Le tableau suivant explique le comportement pour les clients non supportés lorsque la connexion correspond à tous les autres paramètres de la règle. Le comportement dépend de si l'option Sauter cette vérification pour la version client SDP non supportée est activée ou désactivée (désactivée) dans la vérification d'appareil
|
Clients non supportés |
Action de règle d'inspection TLS |
Comportement du client |
|---|---|---|
|
Sauter la vérification (Activée) |
Inspecter |
Les clients non supportés sautent automatiquement la vérification d'appareil et le trafic est inspecté |
|
Contourner |
Les clients non supportés sautent automatiquement la vérification d'appareil et contournent l'inspection TLS |
|
|
Appliquer la vérification (Désactivée) |
Inspecter |
Les clients non supportés échouent à correspondre à la vérification d'appareil, le moteur d'inspection TLS saute cette règle (n'inspecte pas le trafic) |
|
Contourner |
Les clients non supportés échouent à correspondre à la vérification d'appareil, le moteur d'inspection TLS saute cette règle (ne contourne pas l'inspection) |
La condition Origine de connexion vous permet de définir l'appareil de géolocalisation qui correspond à la règle. Par exemple, autorisez l'accès aux informations sensibles derrière un site, mais pas lorsqu'on travaille à distance.
Vous pouvez configurer les paramètres Appareil dans une nouvelle règle d'inspection TLS ou existante.
Pour configurer les conditions d'appareil pour une règle :
-
Dans le menu de navigation, cliquez sur Sécurité > Inspection TLS.
-
Cliquez sur Nouveau pour créer une nouvelle règle, ou cliquez sur l'icône de modification
dans la colonne Appareil pour une règle existante.
-
Dans la section Appareil, configurez les Plates-formes, Pays, Profils de posture d'appareil, et Origine de connexion nécessaires pour correspondre à cette règle.
-
Cliquez sur Appliquer.
Les conditions Appareil sont configurées pour la règle.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.