デバイス認証は、デバイスがネットワークリソースにアクセスする前に、そのアイデンティティとセキュリティの姿勢を確認するプロセスです。 Catoでは、デジタル証明書を使用してデバイス認証が実装されています。 これは、ゼロトラストセキュリティフレームワークの一部であり、信頼できるデバイスのみがネットワークおよび特定のネットワークリソースにアクセスできるようにします。
ゼロトラストセキュリティの基本原則は、デバイスやユーザーを自動的に信頼しないことです。 ゼロトラストは、ネットワークの内外を問わず、すべてのアクセス要求が悪意のあるアクターまたは侵害されたデバイスから来る可能性があると想定します。
デバイス認証は、許可されたデバイスのみがネットワークリソースにアクセスできることを保証します。 各デバイスのアイデンティティとセキュリティの姿勢を確認することにより、ゼロトラストは、侵害されたまたは承認されていないデバイスによって引き起こされる潜在的な侵害のリスクを制限します。
Catoはクライアント接続ポリシーを使用して証明書ベースの検証を強制します。 これにより、有効で信頼された証明書を持つデバイスのみがネットワークにアクセスできます。
デバイスがCato PoP経由でネットワークに接続しようとし、クライアント接続ルールで証明書デバイスチェックが構成されている場合、Cato Clientはデバイスに有効な証明書がインストールされていることを確認します。 そうでない場合、クライアントはデバイスがネットワークに接続するのをブロックします。
これはデバイス認証を実装するための設定フローです。
-
署名証明書用にデバイスをデバイスチェックに準備します。
-
証明書を管理されたデバイスに配布します。 デバイス証明書の配布とインストールに関する記事を参照してください。
-
署名証明書をCMAにアップロードします。 リモートアクセス用署名証明書の管理を参照してください。
-
-
署名証明書のデバイスチェックを構成し、デバイスプロファイルに割り当てます。 デバイスポスチャプロファイルとデバイスチェックの作成を参照してください。
-
署名証明書がインストールされているデバイスの接続を許可するクライアント接続ポリシーのルールを作成します。
ポリシーの最後のANY ANYブロックルールは、証明書がインストールされていないデバイスに適用されます。
デバイス証明書チェックは非対称キー暗号化に基づいています。 非対称キー暗号化、別名公開キー暗号法は、情報を保護するために数学的に関連したキーのペアを使用する暗号技術です。 この2つのキーはパブリックキーと秘密鍵と呼ばれます。 Catoは証明書を生成したりそのライフサイクルを管理したりしません。
パブリックキーで暗号化されたデータは、対応する秘密鍵でのみ復号化することができ、その逆も同様です。 パブリックキーは公開して共有することができ、秘密鍵は秘密にされます。
この暗号化方法は安全です。パブリックキーを公開して共有できても、そのパブリックキーで暗号化されたメッセージを復号化するのに使用することはできません。 対応する秘密鍵のみがメッセージを復号化できます。
-
ルート署名証明書をCatoマネジメントアプリケーションにアップロードします(アクセス > クライアントアクセス > 署名証明書)。 証明書には公開鍵も含まれています。 公開鍵は公開して共有できます。
-
デバイス証明書と秘密鍵をデバイスにアップロードします。 デバイスは秘密鍵を秘密にしておく必要があります。 Catoクライアントをデバイスにインストールする必要があります。 デバイスがCato PoP(接続地点)に接続すると、クライアントは証明書の真正性を検証し、証明書が有効で署名証明書と一致していることを確認します。
-
デバイスの真正性を検証するために、Catoは暗号化されたチャレンジを送信します。 暗号化されたチャレンジはランダムなメッセージで、Catoによって生成され、ステップ1でCatoにアップロードされたルート証明書から取得した公開鍵で暗号化されています。
-
デバイスは秘密鍵を使用して暗号化されたチャレンジを復号し、復号したチャレンジをCatoに送信します。
-
復号化されたチャレンジがオリジナルと一致した場合、デバイスは認証され、定義済みリソースへのアクセスが付与されます。
0件のコメント
サインインしてコメントを残してください。