この記事は、Cato Networksでのマネージドネットワークの定義方法を説明します。 マネージドネットワークは、アクセスポリシーのベースとして使用できるパラメータとして使用できます。
Catoは、ユーザーが接続しているネットワークのタイプに基づいて、ユーザートラフィックのルーティング方法と常時強制の適用時期を詳細に制御します。
このネットワーク分類により、既存のセキュリティアーキテクチャと統合しながら、信頼された、管理された、管理されていない環境全体で一貫したトラフィック処理が可能になります。
Catoクライアントは、特定の基準を使用してランタイム時にその構成を決定します。例えば:
-
Catoサイト(ソケット、IPsec、vSocket)の背後にあることを識別するかどうか
-
指定された宛先への事前定義されたプローブからの応答を正常に受信できるかどうか
これらの条件に基づいて、クライアントは次の動作のいずれかを適用します:
-
Catoソケットの背後(オフィスモード) - クライアントがCatoソケットの背後にあると識別した場合、オフィスモードが有効になり、すべてのトラフィックがCatoを経由してルーティングされます。
-
マネージドネットワークの背後 - クライアントがソケットの背後にない場合、ネットワークがマネージドとして定義されているかどうかを確認します。 もしそうであれば:
-
マネージドネットワーク(信頼されていない)- トンネルはCatoに維持され、スプリットトンネルポリシーが適用されます。 特定のトラフィック(例: インターネット向けトラフィック)がCatoを経由してルーティングされる一方、その他のトラフィックはサードパーティのファイアウォールを通じてルーティングされます。
-
信頼されたマネージドネットワーク - ネットワークが信頼されたとマークされている場合、常時オンが一時停止され、クライアントはCatoトンネルから切断され、すべてのトラフィックがサードパーティのファイアウォールを通じてルーティングされます。
-
-
未管理のネットワーク - ネットワークがソケットの背後にもマネージドとして定義されてもいない場合(例: 自宅のWiFi、空港、ホテル、カフェ)、公開ネットワークと見なされ、未管理として扱われます。 すべてのトラフィックがCatoを経由してルーティングされます。
会社ABCは70のオフィスと10,000人以上の従業員を有しています。 彼らは新しいCatoの顧客であり、Catoクライアントを使用して、ネットワークとセキュリティソリューションを常時强制でインターネットのセキュリティを提供する予定です(会社のUZTNAベストプラクティスに沿って)。 Catoのオンボーディングプロセス中に、会社は数週間にわたりクライアントを展開し、SD-WANは今後数ヶ月にわたって20のオフィスに段階的に展開されます。 その間、オフィスはサードパーティのベンダーによって保護されます。
会社は物理オフィスのネットワーク範囲をマネージドネットワークとして指定します。 管理者は、スプリットトンネルポリシーにルールを作成し、ネットワークソースに基づいてトラフィックをルーティングします:
-
マネージドネットワーク - ユーザーは、Catoにオンボードされていないサイトの背後に接続されています。 インターネットトラフィックのみが追加のセキュリティのためにCatoクラウドにルーティングされます。
-
未管理のネットワーク - リモートユーザー、すべてのトラフィックはCatoクラウドにルーティングされます。
マネージドネットワークとは何かを定義するために、ネットワークチェックを設定することができます。 クライアントは、プローブを送信して接続されたネットワークがマネージドネットワークかどうかを識別します。 このチェックは、クライアントが接続するたび、すべてのネットワーク変更後、および接続中は30秒ごとに行われます。
クライアントは、異なるタイプの内部リソースへの接続性を確認するためにプローブを送信します:
-
HTTPSリソース要求: マネージドネットワークに接続しているときにのみアクセス可能なURLを定義します。 URLにアクセスした後、クライアントは対応がHTTP 200またはHTTP 300であることを確認し、ローカルマシンの証明書ストアに基づいて証明書が信頼されたものであることを検証します。
-
DNSクエリ: クライアントがDNSリクエストを送信するためのホスト名と、期待される応答のIPアドレスを定義します
-
IPアドレスまたはURLへのPing: クライアントがPingを実行するためのIPアドレスまたはURLを定義します。 クライアントはICMPプロトコルで応答があるかどうかを確認します
いずれかのチェックが満たされている場合、ソースネットワークは管理ネットワークとみなされます。 すべてのチェックが失敗する場合、ネットワークは非管理ネットワークとみなされます。
Catoサイトの背後にいるとき、クライアントは以前と同様にシームレスにオフィスモードに移行します。
例えば、内部の会社DNSサーバーはホスト名companyabc.localを使用し、10.10.10.26に解決されます。 そのIPアドレスで、ホストcompanyabc.localに解決されるDNSクエリとして管理されたネットワークを定義します。
ネットワークを管理されたものとして指定するには、まずCato管理画面で管理ネットワークオブジェクトを作成します。 このオブジェクトはオフィスや既知の企業の所在地などのネットワークを表します。 顧客はまた、クライアントがそのネットワーク内で動作しているかどうかを識別するために使用するプローブを定義する必要があります。 これらのプローブにはDNS、HTTPプロトコル、またはPing(ICMPパケット)が含まれる場合があります。 クライアントが定義されたプローブに基づく一致を検出すると、ネットワークを管理されたものとして分類し、関連するポリシーを適用します。
管理ネットワークを設定するには:
-
ナビゲーションメニューから、アクセス > 管理ネットワークをクリックします。
-
新規をクリックし、以下を設定します。
-
プローブの名前
-
(オプション)プローブの説明
-
プローブのタイプ、例えばHTTPs、DNSクエリ、またはping
-
プローブのホスト名またはIPアドレス
-
-
保存をクリックしてください。
-
管理された各ネットワークに対してステップ2を繰り返します。
-
管理ネットワークを有効化し、保存をクリックします。
管理ネットワークが有効な場合、スライダーは緑色になり、信頼できるネットワークが無効な場合は灰色になります。
すべてのトラフィックを宛先にルーティングし、Cato Cloudにルーティングしないシナリオの場合、すべての管理ネットワークを信頼できるものとして定義できます。 ホストデバイスが信頼できるネットワークに接続されるとき:
-
クライアントはネットワークを信頼できるネットワークとして識別し、起動時に接続は無効化され、常時強制はバイパスされ、クライアントはCato Cloudに接続(または再接続)しようとしません。
-
ホストデバイスが信頼できるネットワークに接続されている限り、クライアントは切断され、スプリットトンネルポリシーは適用されません。
-
ユーザーは引き続きクライアント内で接続をクリックするオプションを持ち、デバイスはCato Cloudに接続されます。
例えば、Cato Cloudによって保護されている開発環境にアクセスする必要がある開発者
0件のコメント
サインインしてコメントを残してください。