この記事では、アカウント内のユーザーのインターネットセキュリティを強化するためにAlways-Onポリシーを設定する方法について説明します。
Always-Onポリシーは、ユーザーやユーザーグループが常にCato クラウドに接続するルールを定義することで、インターネットセキュリティを向上させます。 これにより、すべてのトラフィックがPoPを通過し、Catoのセキュリティエンジンがトラフィックを検査してセキュリティポリシーに準拠していることを保証します。
会社ABCのネットワークは、自社の従業員がコーポレートリソースにアクセスし、外部委託業者がコーポレートリソースにアクセスできないように使用されています。 彼らは従業員のためにAlways-Onを有効にするルールを作成しますが、外部委託業者は直接インターネットにアクセスできます。 これにより、会社の従業員からのすべてのトラフィックがCatoクラウドを通過し、セキュリティポリシーによって保護されます。
会社ABCは、すべての管理デバイスにCatoクライアントをインストールし、必要に応じて従業員が個人デバイスにクライアントをインストールして会社のリソースにアクセスできるようにしています。 企業のセキュリティポリシーによれば、管理されたデバイスは常にネットワークに接続されていることが要求されます。
IT チームはデバイスポスチャプロファイルを作成し、デバイスチェックを使用して署名証明書がデバイスにインストールされているか確認します。
次に、証明書に対するデバイスポスチャープロファイルに一致するデバイスにのみ常時オンを要求するルールを常時オンポリシーに作成します。
Always-Onポリシーは、順序付けられたルールベースです。 ポリシー内のルールは、以下のようにユーザーまたはグループに適用されます。
- ルールに合致すると、クライアントがそのルールに設定された構成に従います
- ルールに合致しない場合、彼らはネットワークから切断することができます
このセクションでは、署名証明書のデバイスチェックを使用して管理デバイスに対してのみ常時オンポリシーを適用するための設定フローを説明します。
-
署名証明書のデバイスチェックを使用するためにデバイスを準備します。
- 証明書を管理されたデバイスに配布します。 デバイス証明書の配布とインストールに関する記事を参照してください。
- 証明書をCMAにアップロードします。 リモートアクセス用署名証明書の管理を参照してください。
- インストールされた証明書に基づいて管理されたデバイスを識別するために、デバイスチェックを設定し、それをデバイスポスチャープロファイルに割り当てます。 デバイスポスチャプロファイルとデバイスチェックの作成を参照してください。
-
常時オンポリシーで、管理されたデバイスが常にネットワークに接続することを要求する新しいルールを作成します。
- User/Groups - ユーザーグループまたはユーザーを管理されたデバイスに割り当てます。
- Device Posture Profiles - ステップ2で作成したデバイスポスチャープロファイルを選択します。
- Connected - 常時オンを選択します。
-
ステップ3のルールを複製し、Connected設定をオンデマンドに変更します。
- 常時オンポリシーを公開します。
常時オンポリシーが有効になっている場合でも、以下の手段でユーザーにインターネットへの直接アクセスを提供できます。
- 一時的なバイパス方法を使用
- オンデマンド接続状態のルールを作成
- リカバリモードでのインターネットアクセスを許可
ユーザーがCato クラウドを一時的にバイパスしてインターネットに直接アクセスする必要がある状況があるかもしれません。 例えば、インターネットファイアウォールルールでブロックされているウェブサイトに一時的にアクセスする場合です。 各ルールに対し、ユーザーがCatoクラウドを一時的にバイパスする方法を設定できます。
Windows v5.9以上では、ユーザーがCato クラウドをバイパスできる期間も設定できます。 この期間中、インターネットトラフィックはCato クラウドを通過せず、セキュリティ対策が施されていません。
クライアントが一時的に切断されると、ユーザーの詳細とクライアントが切断されていた時間を示すイベントが生成されます。 これらのイベントを表示するには、イベントページでサブタイプVPN Never-Off Bypassをフィルタとして適用します。 イベントのバイパス方法には、クライアントをバイパスするために使用された方法が表示されます。 アカウント内のイベントについてさらに詳しくは、ネットワークのイベント分析を参照してください。
ユーザーは次のいずれかの方法でCato クラウドを一時的にバイパスすることができます。
- バイパスコードによる管理者制御のバイパス
- ユーザー制御のバイパス
注
注意: Windows、Android、iOSクライアント、およびmacOSクライアント v5.4以降でサポートされています
このオプションを使用してCato管理画面でワンタイム パスワード (OTP) を生成し、任意のユーザーに提供することで、一時的にクライアントを切断することができます。 Windowsクライアントのバージョン5.9未満およびその他のサポート対象OS種別では、クライアントは1回あたり最大15分間バイパスされます。 各コードは最大15分間有効です。
さらに、認証アプリ (Google Authenticator など) を使用してこの画面のQRコードをスキャンできます。 その後、認証アプリから常にユーザーはOTPを取得できます。 認証アプリは30秒ごとにコードを更新するため、各コードは30秒のみ有効です。
コードが有効である限り、同じバイパスコードを複数のユーザーで使用できます。
このオプションにより、ユーザーはリクエストに応じてクライアントを一時的に切断できます。 クライアントで、ユーザーはクライアントを切断する理由を自由記述フィールドで提供する必要があります。 その後、すぐにインターネットに直接アクセスできます。 この理由はイベントに含まれています。
クライアントは切断期間で設定された時間だけ切断が許可されています。
小売企業のエンジニアリングチームは、オンライン注文を受け取るためにウェブサイトの100%の可用性を確保する責任があります。 これにより、彼らは常にトラブルシューティングに必要なオンラインのSaaSアプリケーションにアクセスする必要があります。 勤務時間外やリモート作業時でもアプリケーションへのアクセスが必要です。 会社のセキュリティポリシーは、すべてのインターネットアクセスがセキュアであることを定めています。
セキュリティポリシーに準拠するために、ITは常時オンを有効にします。 予防措置として、潜在的な障害時にクライアントがCatoクラウドに接続できない事態を避けるために、ITチームはエンジニアにすぐにインターネットにアクセスする方法を提供しています。 ITチームは、エンジニアユーザグループの常時オンポリシーにバイパスモードを設定するルールを作成し、ユーザーが要求に応じて一時的に切断できるようにします。
エンジニアが夜中にウェブサイトの問題をトラブルシュートする必要がある場合に、Catoクラウドへの接続に問題があってもトラブルシューティング用のSaaSアプリケーションにアクセスできることをITチームは確信しています。 エンジニアは、Cato クラウドをバイパスしてウェブサイトの問題のトラブルシューティングを開始するために、ITの承認を待つ必要はありません。
定期的にインターネットへ直接アクセスが必要なユーザーがいる場合は、オンデマンドの接続ステータスのルールに追加できます。 この設定は、ユーザーが必要に応じてクライアントを接続または切断できるようにします。
Catoクラウドへの接続が確立できない場合のクライアントの動作を選択することもできます。 クライアントを次のように設定できます:
- インターネットアクセスを許可(デフォルト設定): ユーザーはインターネットにアクセスできます。 トラフィックはCatoクラウドを通らず、Catoクラウドへの接続が確立されるまでセキュリティが確保されていません。
- インターネットアクセスを制限: ユーザーは、Catoクラウドへの接続と安全なインターネットが確立されるまで、インターネットにアクセスできません。
会社ABCはすべてのユーザーに常時オンを有効にしています。 彼らの役員はしばしば出張し、空港やホテルからインターネットに接続します。 時折、クライアントがキャプティブポータルを検出せず、暗号化トンネルを確立できません。 ITチームは、経営陣が出張中も作業を継続できるように、経営陣ユーザーグループの常時オンルールでリカバリーモードを設定し、インターネットへのアクセスを許可します。
クライアントがキャプティブポータルを検出しない場合でも、常時オンポリシーに従ってクライアントがインターネットアクセスを許可するため、役員のユーザーは作業を継続できます。 クライアントがトンネルを再確立すると、トラフィックは期待通りにCatoクラウドを通じて流れます。
Always-Onポリシーを有効にする前に、Always-Onが環境内の他の機能やクライアントバージョンとどのように相互作用するかを考慮してください。 このセクションでは、Always-OnポリシーでのSSO、クライアント接続、デバイス認証、Windowsクライアントの使用方法に関する推奨事項を示します。
ユーザーにシングルサインオン認証を使用するアカウントでは、サポートされているクライアントを常にCato クラウドに接続させるようにも設定できます(Always-On)。 この設定により、ユーザーはSSOのシンプルさとAlways-Onのセキュリティを享受できます。 クライアントはIdPプロバイダーにアクセスでき、他のリソースへのアクセスはセキュリティポリシーに従っています。
注
注意: クライアントに認証できないユーザーを助けるために、Catoクラウドのバイパス方法を有効にし、バイパスイベントを確認することをお勧めします。 さもなければ、認証されていないデバイスはインターネットまたはCato クラウドに接続できません。
このセクションには、アカウントでAlways-OnをSSOと共に実装するためのベストプラクティスと推奨事項が含まれています。
- アカウントへの影響を最小限に抑えるために、少数のユーザーから常時オンとSSOを有効にすることから始めてください
- バイパスイベントを確認し、組織内のバイパスコードの使用を監視する
- 認証されていないユーザーがインターネット接続を持たないため、インターネットに依存せずにデバイスにログインできることを確認してください
- すべてのクライアントが該当するOSの最小サポートバージョン以上に更新されていることを確認します。 サポートされていないバージョンのクライアントが使用されている場合、クライアントは再認証できず、インターネットへのトラフィックがブロックされます。
- サードパーティプロキシを使用する環境では、クライアント内のブラウザ認証のみがAlways-OnおよびSSOのサポート対象です(ブラウザ認証の詳細については、Catoクライアントの認証ポリシーの設定を参照してください)
クライアント接続ポリシーとデバイス認証設定は、デバイスに対してユーザーに実行されたデバイスポスチャおよびチェックを適用します。 デバイスがプロファイルのために設定されたポリシーに準拠していない場合、ユーザーはCatoクラウドに接続できません。 クライアント接続ポリシーおよびデバイス認証設定は、Always-Onポリシーに優先されます。
ITチーム向けに、世界中のユーザーに新しいデバイスを提供または配送する際、即利用可能なAlways-Onセキュリティを提供できます。
Windowsクライアントv5.6以降では、ユーザーがCatoに認証する前からインターネットセキュリティを強化できます。 Always-Onポリシーは即利用可能で、インターネットアクセスはユーザーがCatoアカウントに認証した後にのみ許可されます。
この機能を有効にするには、Windowsデバイスにレジストリキーを追加してAlways-Onを有効にするだけです。 ユーザーがクライアントに追加されると、Cato管理アプリケーションで定義されたAlways-On設定がそのユーザーに適用されます。
プリログイン機能を使用するアカウントでは、ユーザーがクライアントに追加される前にデバイスが許可された宛先にアクセスすることのみ許可されます。 他のすべてのインターネットアクセスはブロックされます。
また、クライアントを起動時に起動させるレジストリキーの追加をお勧めします。 詳細については、Catoクライアントのインストールを参照してください。
注
ノート: ユーザーがクライアントに追加される前にCatoクラウドをバイパスすることはできません。
このセクションでは、Always-Onポリシーの作成方法について説明します。
常時オンポリシーを使用すると、常にネットワークに接続する必要があるクライアントのユーザーまたはユーザーグループを定義できます。
Always-Onポリシーを作成するには:
- ナビゲーションメニューから、アクセス > Always-Onポリシーをクリックします。
-
新規作成をクリックします。
新規ルール パネルが表示されます。
- 名称を入力し、ルール順序を設定します。
- ユーザー & グループ、プラットフォームを定義します。
-
接続済みステータスおよびAlways-Onのバイパスモードを定義します。
- SDP 改ざん防止について、ユーザーが変更を試みた場合のアクションを決定します。 デフォルトでは、変更は許可されます。 ユーザーが変更するのを防ぐには、有効化するを選択します。
詳細については、Catoクライアントの改ざん防止操作を参照してください。 -
切断 & 改ざん期間で常時強制および改ざん防止がどのくらい無効にされるかを決定します。
各バイパスのタイマーはコードの入力時に開始されます。 例えば、期間が60分に設定されます。 改ざん防止のバイパスコードが12:30に入力されると、タイマーが開始され、改ざん防止が13:30に再び有効になります。 常時強制用のバイパスコードが13:00に入力され、それは14:00に期限が切れます。
- リカバリモード
- 適用をクリックします。
- Always-Onポリシーの各ルールに対して手順2〜5を繰り返します。
-
Always-Onポリシーを有効にしてから保存をクリックします。
スライダー
は、ルールが有効な場合は緑色になり、無効の場合は灰色になります。
注
注意: 次のバージョンでサポートされています:
- すべてのWindowsクライアント
- Linuxクライアント v5.2 以上
クライアントの起動時に自動接続するように設定することで、ユーザーに追加のセキュリティを備えたオンデマンド接続ステータスを提供できます。 接続されると、ユーザーは必要に応じてクライアントを切断および再接続することができます。 Always-On<0><1>接続1>0>ステータスを持つユーザーの場合、この設定なしでクライアントが自動的に接続します。
-
Cato管理画面で起動時に接続または起動時最小化オプションが選択されている場合:
- これは、環境のすべてのクライアントに適用されます。
- ユーザーはクライアントからこの設定を無効にすることができません。
-
Cato管理画面で起動時に接続または起動時最小化オプションが選択されていない場合:
- ユーザーはクライアントの設定タブでこれらの機能を有効にすることを選択できます。
注意: 起動時に接続が有効な場合、ユーザーがWindowsセッションからログアウトすると、クライアントはCatoクラウドに接続します。 これは、ユーザーが再ログインできるようにドメインコントローラへのアクセスを提供するためです。
クライアントのデフォルト設定を構成するには:
- ナビゲーションメニューから、アクセス > Always-Onポリシーをクリックします。
- 設定タブを開きます。
-
起動時接続セクションで、Windowsクライアントのデフォルト設定を定義します。
- 保存をクリックします。
注
注意: サポート開始:
- Windowsクライアント v5.8 以上
- Linuxクライアント v5.2 以上
ユーザーがCatoソケットまたはIPsecサイトの背後に接続すると、クライアントは自動的にオフィスモードでそのサイトに接続します。 オフィスモードに関する詳細については、オフィスモードの設定を参照してください。
Always-Onが有効なユーザーがクライアントがオフィスモードで接続している際にCatoに認証を要求するかどうかを設定できます。 この設定はセキュリティポリシーには影響を与えません。
バイパスコードは、クライアントで入力する6桁のコードで、ユーザーがCato クラウドから一時的に切断できるようにします。
改ざん防止バイパスコードは6桁のコードで、クライアントに入力してユーザーが一時的にCatoクライアントに変更を加えることを可能にします。例えば、関連するレジストリエントリの変更。
Cato管理画面で設定されたバイパスモードに応じて、ユーザーはバイパスコードを使用するか、バイパスの理由を入力することでクライアントを一時的に切断できます。
バイパスコードは管理者によって生成され、クライアントに入力するためにユーザーに送信されます。 有効なコードが入力されると、クライアントは一時的に暗号化トンネルをバイパスし、ユーザーはインターネットにアクセスできます。 Windowsクライアントv5.9未満、macOS、iOS、Androidクライアントは、一時的に最大15分間切断できます。 Windowsクライアントv5.9以降では、切断期間で設定された時間の間、切断が可能です。
SSOまたはMFAで認証するユーザーは、再接続時にCatoクライアントに再認証する必要があります。
注意
注: 常時強制設定をバイパスしても改ざん防止保護には影響しません。
バイパスコードを入力するには:
- Windowsクライアントでは、システムトレイのクライアントアイコンを右クリックし、一時的バイパスを選択します。
- macOSクライアントでは、システムトレイのクライアントアイコンを右クリックし、一時的切断を選択します。
- iOSクライアントのホーム画面で、Always-Onバイパスを選択します。
- Androidクライアントのサイドメニューから、一時的バイパスを選択します。
注意
注意: サポート対象:
- Windowsクライアント v5.9 以降
- macOSクライアント v5.5 以降
ユーザーは、理由を入力した後、一時的にクライアントを切断することができます。 ユーザーが理由を入力すると、クライアントは一時的にCatoクラウドをバイパスし、ユーザーはインターネットにアクセスできます。 クライアントはCato 管理アプリケーションで設定された時間の間切断されます。
SSOまたはMFAで認証するユーザーは、再接続時にCatoクライアントに再認証する必要があります。
バイパスの理由を入力するには:
- Windowsクライアントでは、システムトレイのクライアントアイコンを右クリックし、一時的バイパスを選択します。
- クライアントの一時的切断の理由を提供してください。
-
Enterをクリックします。
クライアントが切断されます。
注意
ノート: サポート対象: Windowsクライアント v5.14 以降
ユーザーは管理者からコードを受け取った後、クライアントの改ざん防止保護を一時的に無効にすることができます。
注意
注: 改ざん防止保護を無効にしても常時強制設定には影響しません。
個別のユーザーに対するAlways-Onポリシーをカスタマイズできます。
0件のコメント
サインインしてコメントを残してください。