リモートインターネットセキュリティとワンタイム認証

この記事では、ユーザーにワンタイム認証によるリモートインターネットセキュリティと、必要に応じた安全なプライベートアクセスを提供するためのCatoの機能の使用方法を説明します。

概要

Catoはワンタイム認証後、ユーザーにセキュアなリモートインターネットアクセスを提供できます。これは、ユーザーがクライアントとの最小限のインタラクションで常にインターネット接続と保護を受けることを意味します。プライベートネットワーク（WAN）へのアクセスは、要求に応じて提供されることができます。

これは、インターネットまたはプライベートネットワーク（WAN）への安全なアクセスを得るために、ユーザーに必要な認証のレベルを定義することによって設定されます。たとえば、ユーザーが最初の認証後に常にインターネットへの安全なアクセスを許可することはできますが、再認証後にのみプライベートネットワーク（WAN）へのアクセスを許可することができます。

さらに、ユーザーの再認証体験を制御することができます。認証トークンの有効期限が切れる前または後に、ユーザーにプロンプトを表示することができます。

インターネットまたはプライベートネットワーク(WAN)へのセキュアアクセスの設定

ワンタイム認証によるリモートインターネットセキュリティは、クライアント接続ポリシーのルールでユーザーの信頼度レベルとアクセスレベル（アクション）を定義することによって有効化されます。信頼度レベルは、ユーザーの認証がどれだけ信頼できるかを示します。 アクションは、ユーザーがインターネットとプライベートネットワーク（WAN）へのアクセスが可能か、またはインターネットのみのアクセスが可能かを定義します。

信頼度レベルの理解

信頼度レベルは、ユーザーの認証がどれだけ信頼できるかを示します。信頼度レベルは次のとおりです：

高: ユーザーはクライアントで認証されており、Catoトークンは有効です
低：ユーザーはクライアントに認証されたが、Catoトークンの有効期限が切れている
いずれか: ユーザーがクライアントに認証されており、Catoトークンが有効または期限切れです。

信頼度レベルは、どの認証方法でも認証後にユーザーに適用されます。ユーザー名とパスワードまたは登録コードで認証したユーザーに対して、Catoトークンは期限切れにはなりません。これらのユーザーは常に高信頼レベルを持っています。

アクションの理解

アクションはユーザーに提供されるアクセスレベルを定義します。アクションは以下の通りです：

WANとインターネットを許可: ユーザーはセキュアなインターネットアクセスを持ち、プライベートネットワーク(WAN)にアクセスできます

注意: このオプションは、ユーザーがプライベートネットワーク (WAN) にアクセスするための権限を提供します。ユーザーがプライベートネットワーク (WAN) にアクセスするには、WANファイアウォールのルールに依存しています。
インターネットのみを許可: ユーザーはセキュアなインターネットアクセスのみを持ち、プライベートネットワーク(WAN)にアクセスできません

サポートされていないクライアントOSおよびバージョンがこのアクションをトリガーすると、ブロックされます。

注意: このオプションは、ユーザーがインターネットにアクセスするための権限を提供します。ユーザーがインターネットにアクセスするには、インターネットファイアウォールのルールに依存しています。

このアクションには、アクティブなWANセッションの終了オプションも含まれています。ユーザーが以前にあるルールの下でWANアクセスを許可されていたが、状況が変化して現在はインターネットアクセスを許可するルールのみに一致する場合に適用されます。この場合、ユーザーの既存のWANセッションを終了するかどうかを選択できます。

たとえば、ユーザーは信頼度レベルに基づいてWANアクセスを許可されます。その後トークンの有効期限が切れるなどして条件が変わった場合、ユーザーはWANへのアクセスを許可されなくなります。この設定は、現在のWANセッションが切断されるかどうかを決定します。
WANとインターネットをブロック: ユーザーはインターネットとWANへのアクセスがブロックされます

ユーザーがこのアクションを満たすルールに一致すると、既存のWANセッションは常に終了されます。

前提条件

Windowsクライアントv5.9以降またはmacOSクライアントv5.10以上
ユーザーは安全なインターネットアクセスを持つためにSDPライセンスを割り当てられている必要があります
信頼度レベルを適用するために、ユーザーは少なくとも一度認証し、有効なトークンを持っていなければなりません

使用例

ユースケース - 一度の認証後の安全なインターネットアクセス

出版社は、リモートで働く営業担当者を抱えており、彼らは会社のWANにアクセスする必要がほとんどありません。

会社は営業担当者のユーザーグループに対して以下の規則を作成します：

常時オンポリシーにより、クライアントがリモートで働く誰でもと接続することを確実にします
クライアント接続ポリシーでは、信頼度レベルが低いユーザーにインターネットアクセスを許可します

営業担当者が顧客先に到着すると、Catoクライアントと何のインタラクションもせずに、安全にインターネットに接続されます。

ユースケース - 再認証が常に必要

銀行は厳しいインターネットセキュリティ要件を持ち、インターネットとプライベートネットワーク(WAN)にリモートアクセスするユーザーが常に認証されていることを確認する必要があります。

会社はすべてのリモートユーザーに対してこれらのルールを作成します：

そのAlways-Onポリシーでは、クライアントが常に接続されることを確認します
クライアント接続ポリシーでは、信頼度レベルが高いユーザーにインターネットとプライベートネットワーク（WAN）へのアクセスを提供します。

ユーザーがリモートで接続する際には、インターネットまたはプライベートネットワーク（WAN）にアクセスする前に認証する必要があります。

ワンタイム認証によるリモートインターネットセキュリティの設定

次のステップに従って、ワンタイム認証によるリモートインターネットセキュリティを有効化します。

常時オンポリシーにルールを定義して、クライアントが常にCato Cloudに接続し、ユーザーとデバイスを保護するようにします。
クライアント接続ポリシーでユーザーの信頼度レベルに基づいたアクセスレベルを定義するルールを定義します。
ユーザーに最良のエクスペリエンスを提供するために、再認証を促す方法を設定します。

ステップ 1: リモートユーザーを常に保護するための常時オンポリシーの適用

常時オンポリシーは、ユーザーやユーザーグループが常にCato クラウドに接続するルールを定義することで、インターネットセキュリティを向上させます。これにより、すべてのトラフィックがPoPを通過し、Catoのセキュリティエンジンがトラフィックを検査して、セキュリティポリシーに準拠していることを確認します。

Always-Onセキュリティでユーザーを保護するのルールを作成する方法についての詳細は、Always-Onセキュリティでユーザーを保護するをご覧ください。

すでに常時オンポリシーに関連ユーザーグループのルールがある場合、このステップは不要です。

ステップ 2: 信頼度レベルに基づくアクセスを提供するためのクライアント接続ポリシーの設定

クライアント接続ポリシーは、デバイスまたはユーザーが組織のセキュリティ要件を満たしている場合にのみ接続するようにして、ネットワークを保護します。

クライアント接続ポリシーのルールに信頼度レベルとアクションを含めることで、ユーザーやユーザーグループに利用可能なアクセスを認証の信頼性に基づいて定義できます。

クライアント接続ポリシーの設定でネットワークアクセスを管理する方法についての詳細は、クライアント接続ポリシーの設定をご覧ください。

クライアント接続ポリシールールは、SDPライセンスを持つユーザーにのみ適用されます。

信頼度レベルに基づいたアクセスを設定するには：

ナビゲーションメニューから、アクセス > クライアント接続ポリシーをクリックします。
新規をクリックします。 新規ルール パネルが表示されます。
ルールのスコープを設定します：
1. 信頼度レベルを定義します
2. アクションを定義します
適用をクリックし、その後保存をクリックします。

注意

注: ベストプラクティスとして、信頼レベルがいずれかでインターネットアクセスを許可アクションを持つユーザーまたはグループの最終ルールを作成します。これは、より高い優先度のルールと一致しないユーザーに、安全なインターネットアクセスを提供します。

ステップ 3: 再認証のユーザーエクスペリエンスの定義

クライアントがユーザーに再認証を促すタイミングを選択できます。例：

ユーザーがセキュリティで保護されたインターネットアクセスのみを必要とし、プライベートネットワーク(WAN)への通常のアクセスを必要としない場合、再認証を求めるプロンプトで邪魔される必要はありません。
ユーザーが常にプライベートネットワーク(WAN)へのアクセスを必要とする場合、認証トークンが期限切れになる前後で再認証を促すプロンプトを受け取り、アクセスがブロックされないようにします。

信頼レベルがいずれかまたは低でWANとインターネットアクセスを許可アクションを設定する場合、トークンが期限切れになってもユーザーに再認証を促すことはなく、期限切れのトークンでもフルアクセスが許可されます。認証方法の詳細については、Catoクライアント向け認証ポリシーの設定をご覧ください。

ユーザーに再認証を促すタイミングを定義するには：

ナビゲーションメニューから、アクセス > ユーザー認証をクリックします。
追加設定タブをクリックします。
ユーザーに再認証を促すタイミングを選択します。

注意: 1つ、両方、またはどちらも選択可能です。両方のオプションを選択しない場合、ユーザーは再認証のプロンプトを受け取りません。
新規をクリックしてください。

ユーザーの信頼度レベルとネットワークアクセスの監視

アクセス>ユーザー ページから任意の時点でユーザーの信頼度レベルを監視できます。ユーザーの現在の信頼度レベルは、SDPOユーザーアクティビティタブに表示されます（列は非表示の場合があります）。

クライアント接続ポリシーがユーザーの接続を許可するたびに、イベントも作成されます。クライアント接続ポリシーの設定の詳細については、クライアント接続ポリシーの設定をご覧ください。

ユーザーエクスペリエンスの理解

クライアントは、認証の信頼性に基づいてユーザーに許可されたアクセスレベルを表示します。許可されるアクセスレベルに応じて、セキュアプライベートアクセスとセキュアインターネットアクセスがチェックマークまたは感嘆符で表示されます。


クライアントがプライベートネットワーク（WAN）とインターネットの両方にアクセスできる場合	クライアントがインターネットのみアクセスできる場合：

高度な設定

ワンタイム認証を伴うリモートインターネットセキュリティの有効化は他の機能に影響を与えます。

DNS設定

あなたのアカウントの内部DNSは、インターネットへのアクセスのみが許可されたユーザーの場合は無視されます。

ユーザーがインターネットアクセスのみに限定されている場合、CatoインターネットDNS（10.254.254.1）はプライマリDNSとして使用され、セカンダリDNSは8.8.8.8です。

注意: DNSフォワードルールはデフォルトで適用されます。この動作は、ユーザー単位またはアカウント単位で変更できます。詳細については、サポートにお問い合わせください。

オフィスモード

クライアントがオフィスモードで接続されている場合、常時オンが有効なユーザーに対してCatoへの認証を要求するように設定できます。 Always-Onセキュリティでユーザーを保護するの詳細については、Always-Onセキュリティでユーザーを保護するをご覧ください。

クライアント接続ポリシーのルールに設定され、低信頼レベル(Cato 認証トークンが期限切れ)のインターネットアクセスを許可されたユーザーは、オフィスモードで認証を必要としません。クライアント接続ポリシー設定は、オフィスモードで常時オン設定を上書きします。

プレログイン

プレログインの構成は、ワンタイム認証を使用したリモートインターネットセキュリティの構成によって影響を受けません。ユーザーが認証する前に、トラフィックは次のようにルーテッドされます：

常時オンを有効にしたクライアントは、許可された宛先で定義されたリソースにのみ接続を許可されており、インターネットトラフィックはブロックされます。
常時オンを有効にしていないクライアントは、許可された宛先で定義されたリソースに接続し、非安全なインターネットアクセスにアクセスできます。

プレログインの詳細については、WindowsプレログインとSDPクライアントの使用をご覧ください。

技術的詳細

リモートインターネットセキュリティはワンタイム認証を使用し、常時オンポリシーおよびクライアント接続ポリシーの構成を使用して有効にされます。

ユーザーが認証し、認証トークンが有効な場合、すべてのトラフィックはCato PoPを通過し、セキュリティポリシーに従ってCatoのセキュリティエンジンによって検査されます。

認証トークンが期限切れになった後でも、インターネットトラフィックがCato PoPを通過し続けることを許可できます。これにより、ユーザーが認証されていなくても継続的な安全なインターネットアクセシビリティが提供されます。セキュアなプライベートアクセスのためには、WANファイアウォールポリシーに従ってアクセスを得るためにユーザーは再認証が必要です。