클라이언트 연결 정책이란 무엇입니까?

이 문서는 기기에 조직 보안 요구 사항을 준수할 때만 네트워크에 연결할 수 있도록 하기 위해 클라이언트 연결 정책을 사용하는 방법을 설명합니다.

개요

Zero Trust Network Access (ZTNA) 기업 보안 정책을 구현하고 공격 표면을 줄이는 일부로, 네트워크에 연결하기 전에 장치의 상태를 점검해야 합니다. 클라이언트 연결 정책을 통해 장치의 요구 사항을 정의하는 규칙을 생성할 수 있습니다. SDP 사용자가 성공적으로 인증 후, Cato 클라이언트는 장치의 관련 조건을 확인하기 위해 검사를 실행합니다. 예를 들어 클라이언트는 안티멀웨어 소프트웨어가 최신 상태인지 확인하며, 그렇지 않은 경우 네트워크에 연결되지 않습니다.

클라이언트는 다음 항목을 기반으로 장치 조건을 식별할 수 있습니다:

  • 장치 상태 프로파일: 지원되는 장치 검사를 위해 장치의 보안 상태를 확인합니다. 아래에서 장치 상태 요구 사항 정의를 참조하세요.

  • 플랫폼: 장치의 운영 체제를 식별합니다. 예를 들어, Windows 장치만 연결할 수 있도록 요구할 수 있습니다.

  • 국가: 장치의 물리적 위치를 식별합니다. 예를 들어, 클라이언트가 IP 지리적 위치를 기반으로 그 국가에 장치가 위치한 경우 네트워크에 연결하지 않도록 하는 국가 목록을 정의하십시오.

  • 신뢰 수준: 사용자의 인증 신뢰도를 설명합니다. 추가 정보는 1회 인증을 통한 원격 인터넷 보안을 참조하세요.

클라이언트 연결 정책은 원격 사용자의 접근을 제어합니다. 사이트 뒤의 사용자를 위해 접근을 제어하는 방법에 대한 자세한 정보는 방화벽 규칙에 장치 조건 추가를 참조하세요.

예제 사용 사례

회사 ABC는 영국에 위치하며, 기업 직원과 제3자 계약업체의 혼합을 가지고 있습니다. 기업 직원은 Windows 장치를 사용하지만, 제3자 계약업체는 자신의 장치를 사용합니다. 네트워크를 보호하기 위해, 회사는 다음 조건을 가진 장치만 연결할 수 있도록 하고자 합니다:

  • 장치는 영국에 위치합니다

  • 기업 직원이 사용하는 장치는 필수 장치 인증서를 가지고 있습니다

  • 제3자 계약업체가 사용하는 장치는 안티 멀웨어 소프트웨어, 디스크 암호화 및 패치 관리 소프트웨어가 설치되어 있습니다

네트워크에 연결하는 장치가 보안 요구 사항을 준수하도록 보장하기 위해 회사는 다음 클라이언트 연결 정책 허용 규칙을 만듭니다:

ClientConnectivity_UseCase.png

  • 규칙 1 - 기업 직원: 기업 직원이 사용하는 장치에서 클라이언트는 장치를 확인합니다:

    • Windows 장치입니다

    • 유효한 인증 토큰이 있습니다

    • 필수 인증서가 설치되어 있습니다

    • 영국에 위치해 있습니다

  • 규칙 2 - 제3자 계약업체: 제3자 계약업체가 사용하는 장치에서 클라이언트는 장치를 확인합니다:

    • 안티멀웨어 소프트웨어, 디스크 암호화 및 패치 관리 소프트웨어가 설치되어 있습니다

    • 유효한 인증 토큰이 있습니다

    • 영국에 위치해 있습니다

클라이언트는 장치가 기업 직원이나 제3자 계약업체의 적절한 조건을 준수한다고 식별하는 경우에만 네트워크에 연결합니다.

장치의 네트워크 액세스 제어

클라이언트 연결 정책은 장치 조건이 SDP 사용자의 필수 조건과 일치하는지 순서대로 확인하는 규칙 기반입니다. 장치가 규칙과 일치하면 네트워크에 연결할 수 있습니다. 일치하는 규칙 이후에 나열된 규칙은 장치에 적용되지 않습니다. 장치가 어떤 규칙과도 일치하지 않으면 정책의 최종 암시적 규칙(모두 모두 차단)에 의해 차단됩니다.

클라이언트 연결 정책에서 규칙을 정의하는 방법에 대한 자세한 정보는 클라이언트 연결 정책 구성을 참조하세요.

장치 상태 요구 사항 정의

SDP 사용자에 대한 준수 요구 사항을 시행하려면 먼저 조직의 사용자 세그먼트에 대한 장치 상태 요구 사항을 결정하십시오. 그런 다음 클라이언트 연결 정책을 사용하여 이러한 요구 사항을 구현할 수 있습니다.

각 클라이언트 연결 정책 규칙에는 장치 상태 프로필이 포함될 수 있습니다. 이를 통해 귀하의 조직 내 장치에 대해 자세한 장치 상태 요구 사항(장치 검사)을 정의할 수 있습니다. 예를 들어, 여러 검사를 단일 프로필에 포함하면 AND 관계를 가집니다. 예를 들어, 안티멀웨어, 방화벽 및 디스크 암호화 검사를 포함하는 장치 상태 프로필을 만들 수 있습니다.

운영 체제별로 서로 다른 검사를 만들고 장치에 설치된 특정 공급업체 및 버전의 존재 여부를 확인할 수 있습니다. 이렇게 하면 클라이언트가 장치에 대한 세부 검사를 수행하여 상태를 검증할 수 있습니다.

장치 검사는 Windows 및 macOS 클라이언트에서 지원됩니다. 각 검사에 대한 요구 사항에 대한 자세한 정보는 장치 상태 프로파일 및 장치 검사 생성을 참조하세요.

추가 준수 요구 사항 정의

장치의 운영 체제 및/또는 장치 위치를 기준으로 클라이언트가 네트워크에 연결하는 것을 방지할 수 있습니다. 각 클라이언트 연결 정책 규칙에는 플랫폼국가를 포함할 수 있는 옵션이 포함됩니다. 클라이언트가 장치가 비준수 운영 체제를 실행 중이거나 비준수 위치에 있다고 식별한 경우 네트워크에 연결하지 않습니다.

도움이 되었습니까?

4명 중 3명이 도움이 되었다고 했습니다.

댓글 0개