Shared Hostsのためのユーザー認識

このトピックは、共有ホストのユーザー認識を設定するための情報を提供します。

概要

Universal ZTNA (UZTNA) delivers identity-based, least-privilege access to private applications, SaaS, and Internet resources through its global SASE platform. 一貫したユーザーからアプリケーションへのセグメンテーション、リアルタイムの脅威防止、およびデバイスポスチャチェックを適用し、モバイル、拠点、クラウド環境においてユーザーにセキュアなアクセスを可能にします。

ユーザー認識_-__Shared_Hosts.png

共有ホストに関するユーザーアウェアネスを備えたCatoは、Windowsターミナルサーバー、Citrix環境、Azureバーチャルデスクトップ(AVD)などの単一デバイスから接続している複数のユーザーを特定し、トラッキングすることができます。 Users connect to the shared device from their devices and can then access resources via the shared device according to your organization's policy.

User Awareness provides critical visibility into user activities, enabling more granular policy enforcement, improving security auditing, and enhancing threat detection. It ensures that access controls and monitoring remain effective, even in environments where multiple users share the same host.

注意

注意:

  • Catoは、すべてのユーザーにCatoクライアントをインストールして、ユーザー認識、デバイスポスチャ、エクスペリエンス モニタリング機能の利点を享受することを推奨しています。

  • この機能を使用するには、Windowsクライアントv5.15以降が必要です

情報フロー

ユーザーは、自分のデバイスからサイト(ソケット、vソケットなど)の背後にある共有ホストに、例えばRDPセッションを介して接続します。 各ユーザーの共有ホストへの接続には、そのユーザーに特定のキーが付けられます。 GREトンネルを介して共有ホストからCato Cloudにトラフィックが送信される時、そのキーはユーザーIDに照合され、適用されたポリシーに応じてトラフィックが検査および監視されます。 たとえば、R&D のユーザーはリポジトリにアクセスできますが、Salesforce にはアクセスできません。一方、Sales エンジニアは Salesforce にアクセスできますが、リポジトリにはアクセスできません。

デフォルトでは、トラフィックはデフォルトのGRE IPプロトコル47を使用して送信されます。 ネットワークによっては、GREトラフィックを送信することが不可能(例: Microsoft Azure)またはセキュリティやその他の制約によって望ましくない場合、GREトラフィックをUDP内でカプセル化することが可能です。 これは、以下で説明するようにレジストリキーを使用して有効化できます。 一度有効化されると、すべてのトラフィックはUDPでカプセル化され、ポート4754を通じて送信されます。

注意

注: トラフィックは、デフォルトでは10.254.254.0/24の範囲であるクライアントからCatoシステムへ送信され、GREトンネルを終了させます。 したがって、この宛先はクライアントをホストするネットワーク内のソケットへルーティングされなければなりません。

例えばDNSサーバーに対してCato Cloudに送信したくないトラフィックがある場合、GREトンネルを通過しないように例外を設定できます。 これにより、PoPに出る必要がないようにローカルトラフィックをLAN内に保持できます。

共有ホストのためのユーザー認識の設定

共有ホストのユーザー認識を有効にするためには、次の手順を行う必要があります。

  1. どのトラフィックが共有ホストを通過し、どのトラフィックが通過しないかを設定する

  2. 共有ホストに Cato クライアントをインストールする

共有ホストへのトラフィックを設定する

共有ホストが GRE トンネルを介して Cato クラウドと通信できるかどうか、また除外するトラフィックを設定できます。 例えば、インターネットトラフィックは GRE トンネルを介して送信するべきですが、DNS トラフィックは除外するべきです。

shared-host-newRule.png

共有ホストへのトラフィックを設定する

  1. アクセス > ユーザー認識に移動し、ターミナルサーバータブでトグルをスライドして共有ホスト有効にします。

  2. 新規 > 新しいルール をクリックします。

    1. IPアドレス フィールドで、ルールを適用するホストまたは CIDR を選択します。

      IP範囲はサポートされていません。例: 10.10.10.5-10.10.10.10。

    2. GRE トンネルを通過させるべきではないトラフィックのためにルーティング例外を定義します。例えば、DNS サーバーや Active Directory に対してです。

  3. 保存 をクリックします。

共有ホストに Cato クライアントをインストール

GREトンネルを有効にするために、共有ホストにCatoクライアントをインストールする必要があります。

shared-hosts.png

以下のオペレーティングシステムがサポートされています。

  • Windows Server 2019 and higher

  • Azure Virtual Desktop の場合、Windows 10 または Windows 11

Cato クライアントをインストール

  1. Cato クライアントをインストールする手順に従ってください。

  2. インストールを実行する際、以下のフラグを追加します。

    CATO_INSTALL_UATS=1

  3. AzureバーチャルデスクトップのWindows 10またはWindows 11の場合、インストール完了後:

    1. Windowsレジストリで、HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPNに移動します。

    2. DWORD GREOverUDP を作成し、値を 1 に設定します

  4. 同じWindowsレジストリの場所で、インストールが成功したことを確認するために、GREモードレジストリが作成され、値が1に設定されていることを確認してください。

この記事は役に立ちましたか?

7人中6人がこの記事が役に立ったと言っています

0件のコメント