クライアント接続ポリシーとは何ですか?

この記事では、クライアント接続ポリシーを使用してデバイスが組織のセキュリティ要件を満たした場合にのみネットワークに接続できるようにする方法について説明します。

概要

ゼロトラストネットワークアクセス(ZTNA)企業セキュリティポリシーの実施と攻撃面の削減の一環として、デバイスがネットワークに接続する前にその状態を確認する必要があります。 クライアント接続ポリシーにより、デバイスの要件を定義するルールを作成できます。 SDPユーザーが正常に認証された後、Catoクライアントはデバイス上の関連条件を検証するためにチェックを実行します。 例えば、クライアントはアンチマルウェアソフトウェアが最新であることを確認し、そうでなければネットワークに接続しません。

クライアントは次の項目に基づいてデバイスの状態を識別できます:

  • デバイスポスチャープロファイル: これは、サポートされているデバイスチェックのためのデバイスのセキュリティポスチャーを検証します。詳細はデバイスポスチャー要件の定義を参照してください。

  • プラットフォーム: これはデバイスのオペレーティングシステムを識別します。 例えば、Windowsデバイスのみを接続可能にすることを要求することができます。

  • 国: これはデバイスの物理的な位置を識別します。 例えば、デバイスがその国にある場合、クライアントがネットワークに接続しない国のリストを定義します(IPジオロケーションに基づく)。

  • 信頼度レベル: これはユーザーの認証がどれだけ信頼できるかを説明します。 詳細については、一時認証によるリモートインターネットセキュリティをご覧ください。

クライアント接続ポリシーはリモートユーザーのアクセスを制御します。サイトの背後にいるユーザーへのアクセスを制御する方法の詳細は、ファイアウォールルールへのデバイス条件の追加を参照してください。

使用例

会社ABCはイギリスに拠点を置き、企業社員と第三者の契約業者が混在しています。 企業社員はWindowsデバイスを使用していますが、第三者の契約業者は自身のデバイスを使用しています。 ネットワークを保護するために、企業は次の条件を満たすデバイスのみが接続可能であることを確認したいと考えています:

  • デバイスがイギリスにあること

  • 企業社員が使用するデバイスには必要なデバイス証明書があること

  • 第三者契約業者が使用するデバイスには、アンチマルウェアソフトウェア、ディスク暗号化、およびパッチ管理ソフトウェアがインストールされている

ネットワークに接続するデバイスがセキュリティ要件を満たしていることを確認するために、企業は次のクライアント接続ポリシー許可ルールを作成します:

ClientConnectivity_UseCase.png

  • ルール 1 - 企業の従業員: 企業の従業員が使用するデバイスで、クライアントはデバイスを確認します:

    • Windowsデバイスです

    • 有効な認証トークンを持っています

    • 必要な証明書がインストール済みです

    • 英国に所在します

  • ルール 2 - 第三者の契約者: 第三者の契約者が使用するデバイスで、クライアントはデバイスを確認します:

    • アンチマルウェアソフトウェア、ディスク暗号化、パッチ管理ソフトウェアがインストール済みです

    • 有効な認証トークンを持っています

    • 英国に所在します

クライアントは、デバイスが企業の従業員または第三者の契約者にとって適切な条件を満たすと判断した場合にのみネットワークに接続されます。

ネットワークへのデバイスアクセスの制御

クライアント接続ポリシーは、デバイスの条件がSDPユーザーに必要な条件と一致するかを順次確認する、順序付けられたルールベースです。 デバイスがルールに一致すると、ネットワークに接続することができます。 一致したルールの後にリストされているルールはデバイスに適用されません。 デバイスがどのルールにも一致しない場合、ポリシーの最終的な暗黙のルールによってブロックされます(すべてのブロック)。

クライアント接続ポリシーでのルールの定義についての詳細は、クライアント接続ポリシーの構成をご覧ください。

デバイスポスチャ要件の定義

SDPユーザーのコンプライアンス要件を強制するには、まず組織内のユーザーセグメントに対するデバイスポスチャ要件を決定します。 その後、クライアント接続ポリシーを使用してこれらの要件を実装できます。

各クライアント接続ポリシーのルールにはデバイスポスチャプロファイルを含めることができます。 これにより、組織内のデバイスに対する詳細なデバイスポスチャ要件(デバイスチェック)を定義できます。 1つのプロファイルに複数のチェックを含めると、チェック間にはANDの関係が生じます。 例えば、アンチマルウェア、ファイアウォール、ディスク暗号化のチェックを含むデバイスポスチャプロファイルを作成できます。

オペレーティングシステムごとに異なるチェックを作成し、デバイスにインストールされた特定のベンダーやバージョンの存在を確認することができます。 これにより、クライアントがデバイスの詳細なチェックを実行してポスチャを検証できます。

デバイスのチェックは、WindowsおよびmacOSクライアントでサポートされています。 各チェックの要件についての詳細は、デバイスポスチャープロファイルとデバイスチェックの作成をご覧ください。

追加のコンプライアンス要件の定義

デバイスのOS種別と/またはデバイスのロケーションに基づいてクライアントがあなたのネットワークに接続するのを防ぐことができます。 各クライアント接続ポリシールールにはプラットフォームを含むオプションがあります。 クライアントがデバイスが非準拠のOS種別で実行中であるまたは非準拠のロケーションにあると特定した場合、それはネットワークに接続しません。

この記事は役に立ちましたか?

4人中3人がこの記事が役に立ったと言っています

0件のコメント