クライアント接続ポリシーとは何ですか?

この記事では、クライアント接続ポリシーを使用して、デバイスが組織のセキュリティ要件を満たしている場合にのみネットワークに接続できるようにする方法を説明します。

概要

ゼロトラストネットワークアクセス (ZTNA) コーポレートセキュリティポリシーを実施し、攻撃面を減らす一環として、デバイスがネットワークに接続する前にその状態を確認することが重要です。 クライアント接続ポリシーにより、デバイスの要件を定義するルールを作成できます。 SDPユーザーが認証に成功した後、Cato Clientはデバイスの関連条件を確認するチェックを行います。 例えば、クライアントはアンチマルウェアソフトウェアが最新であることを確認します。そうでない場合、ネットワークに接続しません。

クライアントがデバイスのコンディションを特定できます。例えば、

  • デバイスポスチャプロファイル: デバイスがサポートされているデバイスのチェックのセキュリティ状態を確認します。デバイスポスチャ要件の定義を参照してください。
  • プラットフォーム: これはデバイスのOS種別を識別します。 例えば、Windowsデバイスのみが接続を許可されるように設定できます。
  • 国: これはデバイスの物理的なロケーションを識別します。 例えば、デバイスがその国に位置する場合、ネットワークに接続されないクライアントの国リストを定義します (IPジオロケーションに基づく)。
  • 信頼度レベル: これはユーザーの認証がどれほど信頼できるかを表します。 詳細については、Remote Internet Security with One Time Authenticationを参照してください。

クライアント接続ポリシーは、セッション中にユーザーまたはデバイスの状況が変更になった際に、管理者が正しいアクセスレベルを維持するのにも役立ちます。 クライアントがネットワークアクセスの完全要件に一致しない場合、ポリシーはセッションを安全なインターネットアクセスのみに制限するか、接続をブロックすることができます。どのように設定されているかによります。 これは、デバイスがコンプライアンスを満たさなくなった場合の露出を減少させるのに役立ち、組織のセキュリティ要件をまだ満たしている場合にはアクセスを維持します。

クライアント接続ポリシーはリモートユーザーのアクセスを制御します。サイトの背後にいるユーザーのアクセス制御に関する詳細は、ファイアウォールルールへのデバイス条件の追加を参照してください。

サンプルユースケース

会社ABCは英国に本社を置き、企業の従業員とサードパーティーの契約者の混在しています。 企業の従業員はWindowsデバイスを使用していますが、サードパーティーの契約者は自分のデバイスを使用しています。 ネットワークを保護するために、次の条件を満たしたデバイスのみが接続できるようにすることを会社は希望しています。

  • デバイスは英国に位置しています。
  • 企業社員が使用するデバイスには必須のデバイス証明書があります。
  • 外部契約者が使用するデバイスには、マルウェア対策ソフトウェア、ディスク暗号化、パッチ管理ソフトウェアがインストールされています。

デバイスがセキュリティ要件を満たすことを保証するために、会社は次のクライアント接続ポリシー許可ルールを作成します:

ClientConnectivity_UseCase.png

  • ルール 1 - 企業の従業員: 企業の従業員が使用するデバイスで、クライアントはデバイスを確認します:

    • 該当するデバイスはWindowsです。
    • 有効な認証トークンがあります。
    • 必須の証明書がインストールされています。
    • 該当するデバイスは英国に位置しています。

  • ルール 2 - サードパーティーの契約者: サードパーティーの契約者が使用するデバイスで、クライアントはデバイスを確認します:

    • マルウェア対策ソフトウェア、ディスク暗号化、パッチ管理ソフトウェアがインストールされています。
    • 有効な認証トークンがあります。
    • 該当するデバイスは英国に位置しています。

クライアントは、デバイスが企業の従業員またはサードパーティーの契約者に適切な条件を満たしていると確認できた場合にのみネットワークに接続します。

ネットワークへのデバイスアクセスの制御

クライアント接続ポリシーは、デバイスの条件がSDPユーザーの必要条件に一致するかどうかを順次チェックする順序ルールベースです。 デバイスがルールに一致すると、ネットワークに接続できます。 一致するルールの後にリストされているルールは、デバイスに適用されません。 デバイスがルールに一致しない場合、ポリシーの最終暗黙ルール(ANY ANY ブロック)によってブロックされます。

クライアント接続ポリシーでの定義ルールについて詳しくはクライアント接続ポリシーの設定をご覧ください。

デバイスポスチャー要件の定義

SDPユーザーのコンプライアンス要件を施行するために、まず組織内のユーザーセグメント用のデバイスポスチャー要件を決定します。 次に、クライアント接続ポリシーを使用してこれらの要件を実装できます。

各クライアント接続ポリシールールにはデバイスポスチャープロファイルを含めることができます。 これにより、組織のデバイスに対する詳細なデバイスポスチャー要件 (デバイスチェック) を定義できます。 単一のプロファイルに複数のチェックを含める場合、それらはAND関係を持ちます。 例えば、アンチマルウェア、ファイアウォール、ディスク暗号化のチェックを含むデバイスポスチャープロファイルを作成できます。

異なるオペレーティングシステムごとにチェックを作成し、デバイスにインストールされている特定のベンダーやバージョンの存在を確認することができます。 これにより、クライアントはデバイスの詳細なチェックを行い、ポスチャーを検証できます。

デバイスチェックは、WindowsおよびmacOSクライアントでサポートされています。 各チェックの要件についての詳細は、デバイスポスチャプロファイルとデバイスのチェックの作成を参照してください。

追加のコンプライアンス要件の定義

デバイスのオペレーティングシステムや デバイスの位置に基づいて、クライアントがネットワークに接続するのを防ぐことができます。 各クライアント接続ポリシールールにはプラットフォームおよびを含めるオプションがあります。 クライアントが非準拠のオペレーティングシステムを実行しているか、非準拠の場所にあることを確認すると、ネットワークには接続しません。

この記事は役に立ちましたか?

4人中3人がこの記事が役に立ったと言っています

0件のコメント