この記事では、Catoアカウントでゼロトラストネットワークアクセス(ZTNA)を実装し、強制する一環として、クライアント接続ポリシーのルールを設定する方法について説明します。
詳細については、クライアント接続ポリシーとは?を参照してください。.
クライアント接続ポリシーを使用して、Catoクライアントがユーザーのデバイスで実行するZTNAポリシーの要件を適用します。例えば、デバイスの姿勢とチェック、信頼レベル、デバイスOSなどがあります。 デバイスがプロファイルに設定されたポリシーに準拠しない場合、ユーザーはCato Cloudに接続できません。
例えば、デバイスの姿勢ポリシーに準拠している場合にのみ、リモートユーザーが内部リソースにアクセスできるようにすることができます。 これにより、内部リソースに接続されているデバイスに対する信頼度が向上します。
クライアント接続ポリシーを使用して、ワンタイム認証後にユーザーに安全なリモートインターネットアクセスを提供することもできます。 詳細については、ワンタイム認証を使用したリモートインターネットセキュリティを参照してください。
アクションは、ユーザーに提供されるアクセスレベルを定義します。 アクションは次の通りです:
-
WANとインターネットを許可: ユーザーは安全なインターネットアクセスを持ち、プライベートネットワーク(WAN)にアクセスできます。
注意
メモ: このオプションは、ユーザーがプライベートネットワーク(WAN)にアクセスする許可を提供します。 ユーザーのプライベートネットワーク(WAN)へのアクセスは、WANファイアウォールのルールに依存します。
-
インターネットのみを許可: ユーザーは安全なインターネットアクセスのみ可能で、プライベートネットワーク (WAN) にアクセスできません
注意
メモ: このオプションは、ユーザーがインターネットにアクセスする許可を提供します。 ユーザーのインターネットへのアクセスは、インターネットファイアウォールのルールに依存します。
このアクションには、アクティブなWANセッションを終了するオプションも含まれます。 このオプションは、ルールによって以前はWANアクセスが許可されていたリモートユーザーが、状況の変化によってインターネットアクセスが許可されるルールにのみ一致する場合に適用されます。 この場合、リモートユーザーの既存のWANセッションを終了するかどうかを選択することができます。
例えば、リモートユーザーは信頼度に基づいてWANアクセスが付与されます。 その条件が後に変更され、例えばトークンが期限切れになると、リモートユーザーはWANへのアクセスを許可されなくなります。 この設定は、ユーザーの現在のWANセッションが切断されているかどうかを決定します。 このオプションはオフィスモードには適用されません。
-
WANとインターネットをブロック: ユーザーはインターネット及びWANへのアクセスをブロックされます
ユーザーがこのアクションと一致するルールを満たすと、既存のWANセッションは常に終了します。
デバイスチェックは、WindowsおよびmacOSクライアントをサポートします。 各チェックの要件について詳しくは、デバイスポスチャプロファイルとデバイスのチェックの作成を参照してください。
ポリシーの目標は、ポリシーに一致するデバイスのみを信頼することです。 したがって、信頼されていないすべてのデバイスをブロックするルールを定義し、ネットワークへの接続を許可しないようにします。
クライアント接続ポリシーを有効化する前に、サポートされていないクライアントやオペレーティングシステムを持つユーザーの動作を決定してください。 これらのユーザーがアカウントに接続するのを許可しますか? 例えば、LinuxクライアントまたはWindowsクライアントv4.7以前のユーザーです。
- 様々なマルウェア対策およびエンドポイントファイアウォールベンダーのためのチェックの設定を行い、関連ソフトウェアがインストールされ実行中であり、クライアントを使用したリモートアクセスが許可されることを確認します。
-
常時接続型のリアルタイムチェックを有効にしないことを推奨します。 ポリシー要件を満たさない場合、クライアントが突然ネットワークから切断される可能性があるためです。 これはユーザーにとって悪いユーザーエクスペリエンスを提供する可能性があります。
リアルタイムチェックのためにサポートされているベンダーおよびバージョンの一覧をこちらで確認できます。
- 接続ポリシーは順序付けされたポリシーであるため、ユーザーを複数のプロフィールやルールに追加できます。 しかし、最初に一致するルールがユーザーに適用されます。
このセクションでは、サイトの背後で常時接続ポリシーを強制し、オフィスにいる場合でもリモートユーザーに認証を要求する際にクライアント接続ポリシーを使用する方法について説明します。 常時接続「オフィスでの認証を要求」設定は、ユーザーが接続を許可される前にクライアントがクライアント接続ポリシーに従うことを強制します。
- クライアント接続ポリシーが、オフィスのサイトの後方にあるデバイスであっても、ユーザーがWANまたはインターネットに接続できるようにする必要があります。
- クライアントが常時オンをバイパスするモードに入ると、サイトのWANおよびインターネットファイアウォールポリシーがユーザーに適用されます。 このポリシーは、ユーザーがリモートで接続するときに適用されるものとは異なる場合があります。
詳細については、Always-Onセキュリティでユーザーを保護するを参照してください。
このセクションでは、クライアント接続ポリシーを作成し、各ルールに1つ以上のプロファイルを追加する方法を説明します。
クライアント接続ポリシーは、順序づけられたルールベースであり、ルールが適用されるユーザーの範囲には、地理的位置(国)やデバイスOSが含まれます。 ユーザーまたはグループがルールに一致すると、Cato Cloudは接続を次のように管理します:
- ルールのデバイスプロファイル要件を満たした場合、アカウントへの接続が許可されます。
- ルールのデバイスプロファイル要件を満たさない場合、Cato Cloudはポリシーの低優先度ルールに従って状態を検査し続けます。
- ユーザーまたはグループのいずれもルールに一致しないデバイスは、ポリシーの最後の暗黙のルール(ANY ANYブロック)によってブロックされます。
クライアント接続ポリシーのルールを作成するには:
- ナビゲーションメニューから、アクセス > クライアント接続ポリシーをクリックします。
-
新規をクリックします。
新規ルールパネルが開きます。
- ルールのスコープを設定します:
- このルール用のユーザー/グループ、信頼度レベル、プラットフォーム、公開ISP IPレンジ、国を定義します。
-
デバイス姿勢プロファイルセクションを展開し、このルールのプロファイルを選択します。
単一のポリシールールに複数のプロファイルが含まれている場合、それらの間には暗黙のORがあります。
メモ: Anyデバイス姿勢プロファイルを選択することは、ルールにデバイス姿勢プロファイルが含まれないことを意味します。
- ルールのアクションを選択します。 使用可能なアクションの詳細については、 リモート・インターネット・セキュリティとワンタイム認証 を参照してください。
- 保存をクリックします。
- クライアント接続ポリシーの各ルールに対して手順2〜5を繰り返します。
-
クライアント接続ポリシーを有効にし、保存をクリックします。
スライダー
はルールが有効な場合は緑色になり、無効な場合は灰色になります。
このセクションでは、クライアント接続ポリシーの例とルールがどのように適用されるかを示しています。
-
ルール2の範囲は、ルール1でデバイス姿勢プロファイルの要件を満たさなかったWindowsデバイスを持つアフリカとヨーロッパのRnDグループです。
- これらのユーザーがCato Cloudに接続しようとすると、デバイスポスチャプロフィールAnyと一致し、ブロックされます。 Cato Cloudに接続することはできません。
- ルール2は非会員のアフリカとヨーロッパのRnDグループに適用されず、これらのユーザーはルール3に続きます。
-
ルール3の範囲は、Windowsデバイスを持つすべてのユーザーまたはユーザーグループです。
ユーザーがCato Cloudに接続しようとすると、サンプルプロファイルの要件を満たす場合、インターネットにのみ接続が許可され、WANには接続できません。
そうでない場合、ユーザーは最終暗黙ANY ANYブロックルールでブロックされます。
デバイスがデバイスチェックに一致すると、Cato Cloudに接続でき、クライアントが接続済みと表示され、ユーザーの体験はそれと同じになります。 これはアカウントにデバイス姿勢ポリシーがない場合と同じユーザーエクスペリエンスです。
デバイスがデバイスチェックに一致しない場合、クライアントはCato Cloudに接続せず、ユーザーにエラーメッセージを表示します。 クライアント接続後、デバイスが定期チェックに失敗すると、クライアントが切断され、同じエラーメッセージが表示されます。
これはエラーメッセージの一例です:
デバイスが満たしていない特定の要件を表示するには、詳細をクリックします。 また、同じ詳細を表示するイベントが生成されます。
OS用にクライアント接続ポリシーを作成する場合、すべてのデバイスにインストールされているすべてのクライアントがサポートされている最小のクライアントバージョンにアップグレードされていることを確認することを強くお勧めします。 以前の(サポートされていない)クライアントバージョンへのアクセスを許可しないルールに対するエンドユーザーエクスペリエンスは次の通りです:
- Windows OS - ユーザーにメッセージは表示されず、クライアントは暗号化トンネルへの接続を試み続けます。
- macOS、iOS、Android、Linux - ユーザーにはこのデバイスがネットワークからブロックされている旨のメッセージが表示されます(たとえば、このOSからの接続は禁止されています)。
Cato Management Applicationは、クライアント接続ポリシーに関連する2種類のイベントを生成します。
- ユーザーやユーザーグループがクライアント接続ポリシーのルールの要件を満たし、ネットワークへの接続が許可された場合はいつでも。
- クライアント接続ポリシーの要件を満たさないためにネットワークへの接続がブロックされるユーザーまたはユーザーグループはいつでも。
次の表は、許可アクションイベントの一部のイベントフィールドを説明しています。
| フィールド | 説明 |
|---|---|
| デバイスポスチャプロファイル | デバイスポスチャプロフィールに適合するデバイスの名前。 |
| ルール | クライアント接続ポリシーでデバイスの接続を許可したルールの名前。 |
| 認証方法 | ユーザーがクライアントに認証するために使用した認証方法。 |
次の表は、ブロックアクションと接続がブロックされた理由を持つさまざまな接続イベントを説明しています。
|
イベントサブタイプ |
ブロックの理由 |
イベントメッセージの説明 |
|---|---|---|
|
デバイス検査の要件を満たせないデバイス |
デバイスにインストールされたマルウェア対策またはファイアウォールの詳細、およびデバイス検査に必要な事項を表示します。 |
|
|
サポートされていないクライアント |
デバイスはサポートされていないクライアントOSまたはバージョンを使用して接続しており、一致するルールではサポートされていないクライアントが接続することが許可されていません。 |
|
|
デバイスがいずれのルールにも一致しない |
デバイスのスコープはクライアント接続ポリシーのいずれのルールにも一致しませんでした。 したがって、接続は最後の暗黙のルールによってブロックされました。 |
0件のコメント
サインインしてコメントを残してください。