TLSインスペクションのためのデバイス条件の追加

この記事では、SDPユーザーの実際のデバイスの状態に基づいて、詳細な検査を行うためにTLSインスペクションポリシーにデバイスの条件を追加する方法について説明します。

TLSインスペクションデバイス条件の概要

TLSインスペクションポリシーのデバイス設定は、SDPユーザーの実際のデバイスに基づいてトラフィックを検査する範囲を拡大する能力を提供します。 TLSインスペクションルールが適用されるデバイスの要件を指定できます。 例えば:

  • 地理的位置に基づいてデバイスのトラフィックを検査する

  • 特定のOSに基づいてデバイスがTLSインスペクションをバイパスすることを許可する

デフォルトでは、デバイス設定はTLSインスペクションポリシーに影響を与えません。これは、設定が「すべて」にセットされており、トラフィック全体に自動的に一致するためです。

前提条件

  • デバイスのチェックは、WindowsとmacOSクライアントに対応しています。 各チェックの要件についての詳細は、デバイスポスチャプロファイルとデバイスのチェックの作成を参照してください。

  • ルールのデバイス設定にデバイスプロファイルを追加する前に:

    • デバイスプロファイルを作成し、設定する必要があります

  • 既知の制限 - デバイスプロファイルを使用するルールは、ユーザーがCatoクライアントを介して接続している場合にのみ適用されます(たとえそれらがソケットの背後であっても)

デバイス設定の構成

これはTLSインスペクションルールに追加できるデバイス設定条件です:

  • プラットフォーム - デバイスのOS種別 (OS)

  • 国 - デバイスの実際の位置に基づく接続元の国(IPアドレスのジオロケーションに基づく)

  • プロファイル - デバイスプロファイル(リソース > デバイスポスチャーで設定)

  • 接続元 - デバイスのジオロケーション(リモートまたはサイトの背後)

ルールのために複数の条件を設定する場合、それらはAND関係を持ち、すべての項目で定義された基準に基づいたトラフィックが一致したときにのみルールが適用されます。

条件の中で(単一セル)、アイテムはまたはの関係を持ちます。 例えば、プラットフォーム条件がWindowsおよびmacOSであるルールは、すべてのWindowsまたはmacOSデバイスに一致します。

このルール例では、トラフィックがすべてのデバイス条件を満たしている必要があります:Windows デバイス、インドに所在し、サンプルデバイスプロファイルの要件を満たすもの。

FW_Device_Conditions.png

プラットフォーム要件の追加

TLSインスペクションルールのプラットフォーム条件では、ルールに一致するデバイスOSを定義できます。 例えば、特定のネットワークセグメントでは、Windows、macOS、またはLinuxデバイスのトラフィックだけを検査することを許可します。

国の要件追加

条件では、デバイスのIPジオロケーションに基づき、ルールに一致するトラフィックの送信元を定義できます。 例えば、拠点であるサイトにおいては、iOSおよびAndroidのモバイル端末がTLSインスペクションをバイパスすることを許可します。

デバイスプロファイル要件の追加

プロファイル条件では、デバイスプロファイルの要件を満たすデバイスにのみ一致するようにルールを制限できます。 この条件はデバイスポスチャ機能に基づいており、デバイスがポスチャ要件を満たしているかどうかをチェックします。

注意

注意: オフィスモード(またはトンネル内トンネル)を使用して接続されているデバイスの場合、TLSインスペクションエンジンはデバイスポスチャープロファイルをデバイスに適用しません。 これは、検査ルールのために、オフィスモードを使用しているデバイスは検査されず、たとえデバイスポスチャープロファイルの要件を満たしていない場合でも適用されません。

未サポートのCatoクライアントでデバイスプロファイルを使用する

TLSインスペクションエンジンは、サポートされているクライアントのデバイスプロファイルに一致するかどうかをのみ判断できます。 各デバイスチェックにつき、ルールのその他の要件に一致するかどうかにかかわらず、未サポートのクライアントの動作を定義できます:

  • デバイスチェックをスキップ - 未サポートのクライアントにTLSインスペクションアクションを適用

  • デバイスチェックを適用 - クライアントがルールに一致する場合にのみ、アクションが適用されます

次のテーブルは、接続がルールのすべての他の設定に一致する際の未サポートクライアントの動作を説明します。 動作は、デバイスチェックで未サポートのSDPクライアントバージョンに対するこのチェックをスキップオプションが有効か無効か(クリアされるか)に依存します。

未サポートクライアント

TLSインスペクションルールアクション

クライアントの動作

チェックをスキップ(有効)

検査

サポートされていないクライアントはデバイスチェックを自動的にスキップし、トラフィックが検査されます

バイパス

サポートされていないクライアントはデバイスチェックを自動的にスキップし、TLSインスペクションをバイパスします

チェックを適用 (無効)

検査

サポートされていないクライアントはデバイスチェックに一致しないため、TLSインスペクションエンジンはこのルールをスキップします(トラフィックを検査しません)

バイパス

サポートされていないクライアントはデバイスチェックに一致しないため、TLSインスペクションエンジンはこのルールをスキップします(検査をバイパスしません)

接続元の要件を追加する

接続元条件を使用すると、ルールと一致する地理位置情報デバイスを定義できます。 例として、サイトの背後にある機密情報へのアクセスを許可しますが、リモートで作業している場合は許可しません。

ルールでのデバイス条件の設定

新しいまたは既存のTLSインスペクションルールでデバイス設定を構成できます。

ルール用のデバイス条件を設定するには:

  1. ナビゲーションメニューから、セキュリティ > TLSインスペクション をクリックします。

  2. 新規をクリックして新しいルールを作成するか、既存のルールのデバイス列で編集アイコンedit.pngをクリックします。

  3. デバイスセクションで、このルールに一致するために必要なプラットフォームデバイスポスチャプロファイル、および接続の出元を設定します。

  4. 適用をクリックします。

    ルール用のデバイス条件が設定されました。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント