この記事では、Cato Networksが使用するさまざまな証明書とそれらの目的について説明します。
Catoは、デバイス認証を保護し、暗号化されたトラフィックを検査するために、2種類のデジタル証明書を使用します。 各証明書は独自の目的を果たし、独立して配布されます。
-
Cato TLSインスペクション証明書 - ブラウザとエンドポイントに展開され、CatoがHTTPSトラフィックをDLP、マルウェア対策、アプリケーション制御のために復号および検査できるようにします。
-
Catoクライアントデバイス証明書 - クライアントインストール中に自動的に生成され、デバイスを認証し、ゼロトラストアクセスポリシーを施行します。
これらの証明書は交換可能ではありません。 TLSインスペクション証明書はトラフィックフローの安全な検査を可能にし、クライアントデバイス証明書はエンドポイント自体を検証し識別します。 これらを組み合わせることで、ゼロトラストアクセスをサポートし、ネットワーク全体の暗号化トラフィックに対する深い可視性を提供します。
TLSインスペクション証明書は、Catoが暗号化されたHTTPSトラフィックの信頼できる仲介者として機能することを許可します。 CatoデフォルトルートCAは、Catoクライアントをダウンロードおよびインストールすると自動的にインストールされるか、独自のルートCA証明書をCato管理画面にアップロードできます。 [KM1] [YL2] 証明書は、TLSセッションがCatoによって検査および再署名されたときにブラウザ警告を回避するために、ユーザーデバイスにインストールされている必要があります。 [KM1]CatoデフォルトルートCAが最も一般的な使用例であるため、最初にそれについて言及し、その後にカスタム/「プライベート」ルートCAの使用について言及するようにします。[YL2]@Kiki Mitchell これで良くなりましたか?
クライアントデバイス証明書は、証明書ベースの認証に使用され、各エンドポイントにインストールする必要があります。 Cato管理画面で、Catoが組織全体のデバイス証明書を検証するために使用する署名証明書をアップロードします。 デバイス証明書は信頼できる機関によって生成され、MDMや自動化スクリプトなどのツールを使用してエンドポイントに展開される必要があります。 インストールされると、Catoはデバイスを認証し、ポスチャーチェックを適用し、クライアント接続ポリシーを強制し、信頼できるエンドポイントへのアクセスのみを許可します。
0件のコメント
記事コメントは受け付けていません。