非公開アクセスポリシーの設定

注意

注: 機能の有効化および使用について詳しくは、feature-releases@catonetworks.comまでお問い合わせください。

概要

非公開アクセスポリシーは、どのユーザーとグループが公開された非公開アプリケーションにアクセスできるかを定義します。 ユーザーが必要とする特定のアプリケーションのみを許可することで、最小特権アクセスを強制します。 アイデンティティと追加の条件に基づいてアプリケーション固有のアクセスを定義でき、プライベート環境へのネットワークレベルアクセスを提供しません。

デバイスポスチャ条件を利用して、非公開アプリケーションへのZTNAアクセスを強化します。 ユーザーが組織のセキュリティ要求を満たす信頼されたデバイスから接続した場合のみにアクセスを許可します。それには、アカウント横断で定義されたデバイスプロファイルを使用します。

詳細情報は、Cato Private Accessの設定を参照してください。

ポリシー構造

非公開アクセスポリシーは、順序付けられたルールベースです。 ルールは上から下へ評価され、最初に一致したルールによってアクセスが許可されるかブロックされるかが決まります。 

他のCMAポリシーと同様に、変更の追跡と巻き戻しのためにポリシーの改訂をサポートしており、複数の管理者がワークフローを通じて更新で協力することができます。 詳細情報は、ポリシー改訂を行うを参照してください。

各ルールは、3つの主要なコンポーネントから構成されています。

  • ユーザー/グループ: ルールが適用される対象者。 アイデンティティは、IdPから同期されます。

  • 条件: ルールアクションを適用するために一致しなければならない条件(例: デバイスポスチャの要求)。

  • 非公開アプリ: ルール用に公開されている非公開アプリケーション。

もしルールが一致しない場合、アクセスはブロックされます。

非公開アクセスポリシールール

複数のユーザーまたはユーザーグループのためのルールを作成し、一つまたは複数の非公開アプリケーションへのアクセスを許可します。

非公開アクセスポリシールールは、ルールが一致した場合に自動的にイベントを生成します。 ルールのヒット数は、ルールによって生成されたイベント数に基づいています。

private_access_policy.png

非公開アクセスポリシー基準フィールド

これらは、アプリケーションアクセスに対して連続的なデバイスポスチャ要求を適用するために使用できる項目の詳細です。 ルールに複数の基準を定義する場合、それらの間にはAND関係があります。

これらは、アプリケーションへのユーザーアクセスを制限するために使用できる異なる設定です。

  • ユーザー属性: ユーザーのリスク信号、例えばユーザーのリスクレベルがである場合のみアクセスを許可します。

  • 接続元: ユーザーの接続方法、例えば クライアント 経由で接続している場合のみアクセスを許可します。

  • プラットフォーム: 接続可能なオペレーティングシステムを指定する。例えば、Windowsデバイスからのアクセスのみを許可します。

  • デバイスポスチャプロファイル: デバイスチェックの要求を設定する。例えばアンチウイルスが最新であることを確認するポスチャプロファイルを要求します。

  • 国: IPジオロケーションに基づいて、ソース国ごとにアクセスを制限します。 例えば、イギリスとアメリカ合衆国からのみアクセスを許可します。

criteria.png

非公開アクセスポリシールールの作成

ルールを使用して、特定の非公開アプリにアクセスできるユーザーまたはグループを定義し、オプションでデバイスポスチャなどの基準を適用し、許可 または ブロック のいずれかのトラフィックを制御します。

時間オプションにより、ルールが有効である時間範囲を定義します。 ルールのカスタムオプションを設定したり、アカウントに定義されているデフォルトの勤務時間を選択したりできます。

ポリシーを簡単に操作するためにセクションを利用してルールをグループ化できます。WANとインターネットファイアウォールにセクションを追加するを参照してください。

非公開アクセスポリシールールの作成:

  1. ナビゲーションメニューからアクセス>非公開アクセス>非公開アクセスポリシーを選択します。

  2. 新規>新規ルールをクリックします。 新規ルールパネルが開きます。

  3. 一般名前と(オプションで)説明を入力します。

  4. ユーザー/グループで、ルールが適用されるユーザーとユーザーグループを選択します。

  5. 条件で、ルールのデバイスポスチャ条件を設定します。

    • ユーザー属性- ユーザーアイデンティティのリスクレベル

    • 接続元- サイトまたはクライアントへのアクセスを制限

    • プラットフォーム- デバイスのオペレーティングシステム

      ベストプラクティス: セキュリティと監視を向上させるために、アプリケーションに接続するユーザーが実際に使用しているデバイスプラットフォームを指定します。

    • デバイスポスチャプロファイル- デバイスのチェック適用にプロファイルを選択 

    • - ユーザーが所在する特定の国にルールを制限

  6. ルール用の非公開アプリを選択します。

  7. (オプション)このルールが有効化される時間を定義する時間オプションを設定します。

  8. アクションで、ルールの動作を設定します。

    1. アクション: ルールを許可またはブロックに設定し、トラフィックを制御します。

    2. 追跡: オプションでトラッキングオプションを設定し、通知を送信します。 頻度は、最初の通知が送信された後にカウントを開始します。

      通知に関する詳細情報は、セクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。

  9. 保存をクリックし、公開します。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント