この記事では、Cato アカウントにおけるゼロトラストネットワークアクセス(ZTNA)を実装および適用する一環として、クライアント接続ポリシーのルールを設定する方法について説明します。
詳しくはクライアント接続ポリシーとは?をご覧ください。
クライアント接続ポリシーを使用して、デバイスのポスチャーとチェック、信頼レベル、デバイスOSなど、ユーザーのデバイスにCatoクライアントが実行するZTNAポリシーの要件を適用します。 デバイスがプロファイルのために設定されたポリシーに準拠していない場合、ユーザーはCatoクラウドに接続できません。
例として、リモートユーザーがデバイスポスチャーのポリシーに準拠している場合にのみ、内部リソースへのアクセスを許可できます。 これにより、内部リソースに接続されているデバイスに対する信頼度が向上します。
また、クライアント接続ポリシーを使用して、一度認証した後にユーザーに安全なリモートインターネットアクセスを提供することもできます。 詳細については、ワンタイム認証によるリモートインターネットセキュリティを参照してください。
アクションは、ユーザーに提供されるアクセスのレベルを定義します。 アクションには以下があります:
-
WANとインターネットアクセスを許可: ユーザーは安全なインターネットアクセスを持ち、プライベートネットワーク(WAN)にアクセスできます
注意
注意: このオプションは、ユーザーがプライベートネットワーク(WAN)にアクセスする権限を提供します。 ユーザーのプライベートネットワーク(WAN)へのアクセスは、WANファイアウォール内のルールに依存します。
-
インターネットアクセスを許可: ユーザーは安全なインターネットアクセスのみを持ち、プライベートネットワーク(WAN)にアクセスできません
注意
注意: このオプションは、ユーザーにインターネットへのアクセス権を提供します。 ユーザーのインターネットへのアクセスは、インターネットファイアウォール内のルールに依存します。
-
ブロック: ユーザーがインターネットやWANへのアクセスをブロックされます
デバイスチェックはWindowsクライアントとmacOSクライアントでサポートされています。 各チェックの要件についての詳細は、デバイスポスチャプロファイルとデバイスのチェックの作成を参照してください。
このポリシーの目的は、ポリシーに適合するデバイスのみを信頼することです。 したがって、信頼されていないすべてのデバイスをブロックするルールを定義し、ネットワークへの接続を許可しないようにします。
クライアント接続ポリシーを有効にする前に、サポートされていないクライアントやオペレーティングシステムを持つユーザーの動作を決定しておいてください。 これらのユーザーがアカウントに接続できるようにしますか? 例として、Linuxクライアントや、Windowsクライアントのバージョン4.7以前を使用しているユーザー。
-
さまざまなアンチマルウェアおよびエンドポイントファイアウォールベンダーのためのチェックを設定し、関連するソフトウェアがインストールされ、クライアントを使用してリモートアクセスを許可するために稼働していることを確認します。
-
リアルタイムチェックによる常時接続を有効にしないことをお勧めします。デバイスがポリシー要件を満たさない場合、クライアントはネットワークから突然切断される可能性があります。 これはユーザーにとって悪いユーザー体験を提供する可能性があります。
リアルタイムチェックのためにサポートされているベンダーとバージョンのリストをこちらで確認できます。
-
接続ポリシーは順序付けられたポリシーであるため、ユーザーを複数のプロファイルまたはルールに追加できます。 ただし、最初に一致するルールがユーザーに適用されます。
このセクションでは、常時オンポリシーをサイトの背後で適用し、リモートやオフィスにいる場合でもユーザーに認証を要求する際にクライアント接続ポリシーを使用する方法について説明します。 常時オンポリシーとしてオフィスでの認証を要求を設定すると、ユーザーが接続する前にクライアントがクライアント接続ポリシーを遵守する必要があります。
-
クライアント接続ポリシーは、デバイスがオフィス内のサイトにある場合でも、これらのユーザーにWANまたはインターネットへの接続を許可する必要があります。
-
クライアントが常時接続をバイパスするモードに入った場合、サイトのWANおよびインターネットファイアウォールポリシーがユーザーに適用されます。 このポリシーは、ユーザーがリモートで接続する際に適用されるものとは異なる場合があります。
詳しくは常時オフのセキュリティでユーザー保護をご覧ください。
このセクションでは、クライアント接続ポリシーを作成し、各ルールに一つまたは複数のプロファイルを追加する方法を説明します。
デバイスがルールのユーザー/グループ、プラットフォーム、国、およびデバイスポスチャープロファイルに一致する場合、ルールアクションがデバイスに適用されます。
クライアント接続ポリシーは順序付けられたルールベースであり、適用されるユーザー範囲には地理的な位置情報(国)やデバイスOSが含まれます。 ユーザーまたはグループがルールに一致すると、Catoクラウドは次のように接続を管理します:
-
彼らがルールのデバイスプロファイル要件を満たしている場合、アカウントへの接続が許可されます。
-
ルールのデバイスプロファイル要件を満たしていない場合、Cato クラウドはポリシー内の低優先度ルールに従ってポスチャを引き続き検査します。
-
どのルールにも一致しないユーザーまたはグループのデバイスは、ポリシーの最終的な暗黙のルール(ANY ANY ブロック)によってブロックされます。
クライアント接続ポリシーのルールを作成するには:
-
ナビゲーションメニューから、アクセス > クライアント接続ポリシーをクリックします。
-
新規をクリックします。
新規ルール パネルが表示されます。
-
ルールのスコープを設定します:
-
このルールのためにユーザー/グループ、信頼度レベル、プラットフォーム、公開ISP IP 範囲、国を定義します。
-
-
デバイスポスチャープロファイル セクションを展開し、このルールのプロファイルを選択します。
複数のプロファイルが1つのポリシールールに含まれている場合、それらの間には暗黙のORがあります。
注: いずれかのデバイスポスチャプロファイルを選択することは、ルールにデバイスポスチャプロファイルが含まれないことを意味します。
-
ルールのアクションを選択します。 使用可能なアクションの詳細については、リモート・インターネット・セキュリティとワンタイム認証を参照してください。
-
保存をクリックします。
-
クライアント接続ポリシーの各ルールに対して手順2〜5を繰り返します。
-
クライアント接続ポリシーを有効にしてから保存をクリックします。
ルールが有効な場合はスライダーが緑色になり、無効な場合は灰色になります。
このセクションでは、クライアント接続ポリシーの例とルールの適用方法を示します。
-
ルール2のスコープは、ルール1のデバイスポスチャープロファイルの要件を満たしていないWindowsデバイスを持つアフリカとヨーロッパのRnDグループです。
-
これらのユーザーがCatoクラウドに接続しようとすると、デバイスポスチャープロファイルが任意に一致し、ブロックされます。 彼らはCatoクラウドに接続できません。
-
ルール2はアフリカおよびヨーロッパのRnDグループのメンバーではないユーザーには適用されず、これらのユーザーはルール3に進みます。
-
-
ルール3の範囲は、Windowsデバイスを持つ任意のユーザーまたはユーザーグループです。
ユーザーがCatoクラウドに接続しようとしたとき、サンプルプロファイルの要件を満たしている場合にのみ、インターネットに接続することが許可され、WANには接続できません。
または、ユーザーは最終的な暗黙の任意任意ブロックルールによってブロックされます。
デバイスがデバイスチェックに一致する場合、Catoクラウドに接続でき、ユーザーのエクスペリエンスとしてクライアントが接続済みであることを示します。 これは、アカウントにデバイスポスチャーポリシーがない場合の同じユーザーエクスペリエンスです。
デバイスがデバイスチェックに一致しない場合、クライアントはCatoクラウドに接続せず、クライアントがユーザーにエラーメッセージを表示します。 クライアントが接続された後、デバイスが定期チェックに失敗した場合、クライアントは切断され、同じエラーメッセージが表示されます。
これはエラーメッセージの例です:
デバイスが満たしていない具体的な要件を表示するには、詳細をクリックします。 同じ詳細を表示するイベントも生成されます。
OS用のクライアント接続ポリシーを作成する際は、すべてのデバイスにインストールされたすべてのクライアントが最低限のサポートクライアントバージョンにアップグレードされていることを確認することを強くお勧めします。 以前の(サポートされていない)クライアントバージョンにアクセスを許可しないルールの場合、これはエンドユーザーエクスペリエンスです:
-
Windows OS - ユーザーにはメッセージが表示されず、クライアントは暗号化されたトンネルに接続しようとし続けます
-
macOS、iOS、Android、Linux - ユーザーにこのデバイスがネットワークからブロックされているというメッセージが表示されます(例として、このOSからの接続は禁止されています)
Cato管理画面はクライアント接続ポリシーに関連する二種類のイベントを生成します:
-
ユーザーまたはユーザーグループがクライアント接続ポリシールールの要件を満たし、ネットワークへの接続を許可される場合があります。
-
ユーザーまたはユーザーグループがクライアント接続ポリシーの要件を満たさず、ネットワークへの接続がブロックされる場合。
以下のテーブルは、許可アクションのイベントのいくつかの項目を説明しています:
|
フィールド |
説明 |
|---|---|
|
デバイスポスチャープロファイル |
デバイスが遵守するデバイスポスチャープロファイルの名称。 |
|
ルール |
デバイスの接続を許可したクライアント接続ポリシーのルールの名前です。 |
|
認証方法 |
ユーザーがクライアントに対して認証するために使用した認証方法です。 |
次のテーブルは、ブロックアクションと接続がブロックされた理由に関連するさまざまな接続イベントを説明しています。
|
イベントサブタイプ |
ブロックの理由 |
イベントメッセージの説明 |
|---|---|---|
|
クライアント接続ポリシー |
デバイスがデバイスチェックを満たせません |
インストールされたマルウェア対策またはファイアウォールの詳細、およびデバイスのチェックに必要なものを示します。 |
|
クライアント接続ポリシー |
サポートされていないクライアント |
デバイスがサポートされていないクライアントOSやバージョンを使用して接続しており、一致するルールが対応していないクライアントの接続を許可していません。 |
|
クライアント接続ポリシー |
デバイスがどのルールにも一致しません |
デバイスはクライアント接続ポリシーのルールの範囲に一致しませんでした。 したがって、接続は最終的な暗黙のルールによってブロックされました。 |
0件のコメント
サインインしてコメントを残してください。