共有ホストのユーザー認識

このトピックは、共有ホストのユーザー認識を構成する方法に関する情報を提供します。

概要

Universal ZTNA (UZTNA)は、グローバルSASEプラットフォームを通じて、プライベートアプリケーション、SaaS、およびインターネットリソースへのアイデンティティベースの最小権限アクセスを提供します。 これは、一貫したユーザーからアプリケーションへのセグメンテーション、リアルタイムの脅威防止、デバイスポスチャーチェックを適用し、モバイル、ブランチ、およびクラウド環境全体でのユーザーの安全なアクセスを可能にします。

User_Awareness_-__Shared_Hosts.png

共有ホストのユーザー認識により、Catoは、Windows Terminal Server、Citrix環境、Azure Virtual Desktop (AVD)などの単一デバイスから接続する複数のユーザーを識別し、追跡することができます。 ユーザーは自分のデバイスから共有デバイスに接続し、組織のポリシーに従って共有デバイス経由でリソースにアクセスできます。

ユーザー認識は、ユーザー活動の重要な可視性を提供し、より詳細なポリシーの適用、セキュリティ監査の改善、および脅威検出の強化を可能にします。 複数のユーザーが同じホストを共有する環境でも、アクセス制御と監視が効果的に維持されることを保証します。

注意

注意:

  • Cato は、ユーザーアウェアネス、デバイスポスチャー、エクスペリエンス監視機能を利用するために、すべてのユーザーに Catoクライアントをインストールすることを推奨します。
  • この機能には、Windowsクライアント v5.15 以降が必要です。

情報フロー

ユーザーはデバイスからサイト(Socket、vSocketなど)の背後にある共有ホストに接続します。例えば、RDPセッションを使用します。 共有ホストへの各ユーザー接続は、そのユーザーに特有のキーでフラグ付けされます。 共有ホストからGREトンネルを介してCato Cloudへ送信されるトラフィックは、キーがユーザーIDに一致し、そのユーザーまたはユーザーグループに適用されるポリシーに基づいてトラフィックが検査され、監視されます。 例えば、R&Dのユーザーはリポジトリへのアクセス権がありますがSalesforceへのアクセス権はないかもしれませんが、セールスエンジニアはSalesforceへのアクセス権があり、リポジトリのアクセス権はありません。

デフォルトでは、トラフィックはデフォルトのGRE IPプロトコル47を使用して送信されます。 GREトラフィックの送信が不可能なネットワーク(例えば、Microsoft Azure)やセキュリティその他の制限で望ましくない場合、UDP内でGREトラフィックをカプセル化することができます。 レジストリキーを用いて以下に説明されているように有効化することができます。 一度有効化されると、全てのトラフィックはUDPでカプセル化され、ポート4754で送信されます。

注意

注意: トラフィックは、デフォルトでは10.254.254.0/24の範囲のクライアントからCatoシステムに送信され、GREトンネルを終端します。 したがって、この宛先はクライアントがホストされるネットワーク内のSocketにルーティングされなければなりません。

Cato Cloudに送信したくないトラフィック、例えばDNSサーバーへのトラフィックについては、GREトンネルを通過しないように例外を設定できます。 これにより、ローカルトラフィックをLAN内に保持し、PoPに出る必要がなくなります。

共有ホストのユーザー認識の設定

共有ホストのユーザー認識を有効にするには、以下を行う必要があります。

  1. どのトラフィックが共有ホストを介して送信されるかを設定します。
  2. 共有ホストに Catoクライアントをインストールします。

共有ホストへのトラフィックの設定

GREトンネル経由でCato Cloudと通信できる共有ホストと、除外するトラフィックを設定できます。 例えば、インターネットトラフィックはGREトンネルを介して送信するが、DNSトラフィックは除外するべきです。

shared-host-newRule.png

共有ホストへのトラフィックを設定します。

  1. ユーザーへのアクセスに移動し、共有ホストタブをクリックします。
  2. 新規 > 新規ルールをクリックします。

    1. IPアドレスフィールドで、このルールを適用するホストまたはCIDRを選択します。

      IP範囲はサポートされていません。例: 10.10.10.5-10.10.10.10。

    2. ルーティング例外の定義は、GREトンネルを通じて送信されるべきでないトラフィック、例としてDNSサーバーやActive Directoryを設定します。
  3. 保存および公開をクリックして変更を反映させます。

共有ホストにCatoクライアントをインストールします

GREトンネルを有効にするために、共有ホストにCatoクライアントをインストールする必要があります。

shared-hosts.png

以下のオペレーティングシステムがサポートされています:

  • Windows Server 2019以上
  • Azure Virtual Desktop、Windows 10 または Windows 11

Catoクライアントをインストールするには

  1. 指示に従ってCatoクライアントをインストールします

  2. コマンドライン経由でインストールし、実行します:

    .\/props="CATO_INSTALL_UATS=1"

  3. Azure Virtual Desktop、Windows 10 または Windows 11 の場合、インストール完了後に:

    1. Windows レジストリで HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN に移動します
    2. DWORD GREOverUDP を作成し、値を 1 に設定します
  4. 同じ Windows レジストリの場所で、インストールが成功したことを確認するために、GREMode レジストリが作成され、値が 1 に設定されているか確認します。

この記事は役に立ちましたか?

7人中6人がこの記事が役に立ったと言っています

0件のコメント