이 글에서는 조직의 보안 요구사항을 준수할 때만 디바이스가 네트워크에 연결할 수 있도록 클라이언트 연결 정책을 사용하는 방법을 설명합니다.
제로 트러스트 네트워크 액세스(ZTNA) 기업 보안 정책을 구현하고 공격 표면을 줄이는 방법의 일부로, 디바이스가 네트워크에 연결하기 전에 상태를 점검하는 것입니다. 클라이언트 연결 정책은 디바이스에 대한 요구사항을 정의하는 규칙을 생성할 수 있게 해줍니다. SDP 사용자가 성공적으로 인증되면, Cato 클라이언트가 디바이스의 관련 조건을 확인하기 위해 점검을 시행합니다. 예를 들어, 클라이언트는 악성 소프트웨어 방지 소프트웨어가 최신 상태인지 확인하며, 그렇지 않으면 네트워크에 연결하지 않습니다.
클라이언트는 디바이스 조건을 식별할 수 있습니다. 예를 들어:
- 장치 상태 프로필: 이는 지원되는 장치 검사에 대해 장치의 보안 상태를 검증합니다. 아래의 장치 상태 요구 사항 정의를 참조하십시오.
- 플랫폼: 이는 장치의 운영 체제를 식별합니다. 예를 들어, Windows 장치만 연결을 허용하도록 요구할 수 있습니다.
- 국가: 이는 장치의 물리적 위치를 식별합니다. 예를 들어, 클라이언트가 네트워크에 연결하지 않도록 하는 국가 목록을 정의하십시오. 장치가 해당 국가에 있는 경우(IP 지오로케이션 기반).
- 신뢰 수준: 이는 사용자 인증이 얼마나 신뢰할 수 있는지를 설명합니다. 더 많은 정보는 원격 인터넷 보안 및 일회용 인증을 참조하십시오.
클라이언트 연결 정책은 세션 중에 사용자 또는 장치 컨텍스트가 변경될 때 관리자에게 적절한 접근 수준을 유지하도록 도와줍니다. 클라이언트가 네트워크 액세스 권한의 요구 사항을 더 이상 충족하지 않으면, 정책은 구성된 규칙에 따라 세션을 보안 인터넷 액세스로 제한하거나 연결을 차단할 수 있습니다. 이것은 장치가 비준수 상태가 되더라도 노출을 줄이고, 연결이 조직의 보안 요구 사항을 계속 충족할 때 액세스를 유지하는 데 도움이 됩니다.
클라이언트 연결 정책은 원격 사용자의 액세스를 제어하며, 사이트 뒤의 사용자의 액세스를 제어하는 방법에 대한 자세한 내용은 방화벽 규칙에 디바이스 조건 추가를 참조하세요.
회사 ABC는 영국에 본사를 두고 있으며, 회사 직원과 제3자 계약직을 포함하고 있습니다. 회사 직원은 Windows 디바이스를 사용하지만, 제3자 계약직은 자신의 디바이스를 사용합니다. 네트워크 보호를 위해 회사는 다음 조건의 디바이스만 연결할 수 있도록 설정하려고 합니다:
- 장치는 영국에 위치해 있습니다.
- 회사의 직원이 사용하는 장치에는 필수 장치 인증서가 있습니다.
- 제삼자 계약자가 사용하는 장치에는 안티멀웨어 소프트웨어, 디스크 암호화 및 패치 관리 소프트웨어가 장치에 설치되어 있습니다.
네트워크에 연결하는 디바이스가 보안 요구사항을 준수하도록 하려면, 회사는 다음의 클라이언트 연결 정책 허용 규칙을 생성합니다:
-
규칙 1 - 회사 직원: 회사 직원이 사용하는 디바이스에서 클라이언트는 디바이스가 다음 조건을 충족하는지 점검합니다.
- Windows 장치입니다.
- 유효한 인증 토큰이 있습니다.
- 필수 인증서가 설치되어 있습니다.
- 영국에 위치해 있습니다.
-
규칙 2 - 제3자 계약직: 제3자 계약직이 사용하는 디바이스에서 클라이언트는 디바이스가 다음 조건을 충족하는지 점검합니다.
- 안티멀웨어 소프트웨어, 디스크 암호화 및 패치 관리 소프트웨어가 설치되어 있습니다.
- 유효한 인증 토큰이 있습니다.
- 영국에 위치해 있습니다.
클라이언트는 회사 직원 또는 제3자 계약직을 위해 적절한 조건을 충족하는 디바이스인지 식별할 경우에만 네트워크에 연결합니다.
클라이언트 연결 정책은 SDP 사용자의 디바이스 조건이 필요한 조건과 일치하는지 순차적으로 점검하는 정렬된 규칙 기반입니다. 디바이스가 규칙과 일치하면 네트워크에 연결할 수 있습니다. 일치하는 규칙 이후에 나열된 규칙은 디바이스에 적용되지 않습니다. 디바이스가 어떤 규칙과도 일치하지 않으면 정책의 최종 암묵적 규칙인 ANY ANY 차단에 의해 차단됩니다.
클라이언트 연결 정책에서 규칙을 정의하는 방법에 대한 자세한 내용은 클라이언트 연결 정책 구성을 참조하십시오.
SDP 사용자의 준수 요구사항을 시행하기 위해 먼저 조직 내 사용자 세그먼트에 대한 디바이스 상태 요구사항을 결정합니다. 그런 다음 클라이언트 연결 정책을 사용하여 이러한 요구사항을 구현할 수 있습니다.
각 클라이언트 연결 정책 규칙에는 디바이스 상태 프로필이 포함될 수 있습니다. 이를 통해 조직 내 디바이스에 대한 상세한 디바이스 상태 요구사항(디바이스 점검)을 정의할 수 있습니다. 단일 프로필에 여러 검사를 포함할 경우, 그들은 AND 관계를 가집니다. 예를 들어 Anti-Malware, 방화벽 및 디스크 암호화 점검을 포함하는 디바이스 상태 프로필을 생성할 수 있습니다.
운영 체제별로 다른 점검을 생성하고 디바이스에 설치된 특정 벤더 및 버전의 존재를 확인할 수 있습니다. 이를 통해 클라이언트는 디바이스의 상태를 확인하기 위한 세밀한 점검을 수행할 수 있습니다.
디바이스 점검은 Windows 및 macOS 클라이언트에 대해 지원됩니다. 각 검사에 대한 요구 사항에 대한 자세한 내용은 장치 상태 프로필 및 장치 검사 생성을 참조하세요.
댓글 0개
댓글을 남기려면 로그인하세요.