장치 인증은 네트워크 리소스에 액세스하기 전에 장치의 신원과 보안 상태를 확인하는 프로세스입니다. 장치 인증은 Cato에서 디지털 인증서를 사용하여 구현됩니다. 이는 네트워크와 특정 네트워크 리소스에 접근할 수 있도록 허용된 신뢰할 수 있는 장치만이 네트워크에 접속할 수 있도록 보장하는 제로 트러스트 보안 프레임워크의 일부입니다.
제로 트러스트 보안의 핵심 원칙은 어떠한 장치나 사용자도 자동으로 신뢰해서는 안 된다는 것입니다. 제로 트러스트는 네트워크 내부에서든 외부에서든 모든 접근 요청이 잠재적으로 악의적인 행위자나 손상된 장치에서 오는 것이라고 가정합니다.
장치 인증은 승인된 장치만이 네트워크 리소스에 접근할 수 있도록 보장합니다. 각 장치의 신원과 보안 상태를 확인한 후 접근을 부여하므로 제로 트러스트는 손상되거나 승인되지 않은 장치로 인한 잠재적 위반 위험을 제한합니다.
Cato는 인증서 기반 검증을 시행하기 위해 클라이언트 연결 정책을 사용하여 디바이스 인증을 구현합니다. 이는 유효하고 신뢰할 수 있는 인증서를 가진 디바이스만 네트워크에 접근할 수 있도록 보장합니다.
디바이스가 네트워크에 연결을 시도할 때(Cato PoP를 통해), 클라이언트 연결 규칙에 인증서 디바이스 체크가 구성되면, Cato 클라이언트는 유효한 인증서가 디바이스에 설치되어 있는지 확인합니다. 그렇지 않으면 클라이언트는 디바이스가 네트워크에 연결되지 않도록 차단합니다.
이는 디바이스 인증을 구현하는 설정 흐름입니다.
-
서명 인증서에 대한 디바이스 체크를 사용하도록 디바이스를 준비합니다.
-
인증서를 관리 디바이스에 배포합니다. 디바이스 인증서 배포 및 설치에서 기사를 참조하십시오.
-
서명 인증서를 CMA에 업로드합니다. 원격 액세스를 위한 서명 인증서 관리를 참조하십시오.
-
-
서명 인증서에 대한 디바이스 체크를 구성하고 이를 디바이스 프로파일에 할당합니다. 디바이스 자세 프로파일 및 디바이스 체크 생성을 참조하십시오.
-
서명 인증서가 설치된 디바이스가 연결할 수 있도록 하는 클라이언트 연결 정책 규칙을 생성합니다.
정책의 최종 ANY ANY 차단 규칙은 인증서가 설치되지 않은 디바이스에 적용됩니다.
디바이스 인증서 체크는 비대칭 키 암호화를 기반으로 합니다. 비대칭 키 암호화는 공개 키 암호화라고도 불리며, 수학적으로 관련된 키 쌍을 사용하여 정보를 보호하는 암호화 기술입니다. 이 두 키는 공개 키와 개인 키라고 불립니다. Cato는 인증서를 생성하거나 그 라이프사이클을 관리하지 않습니다.
공개 키로 암호화된 데이터는 해당 개인 키로만 복호화될 수 있으며, 그 반대도 가능합니다. 공개 키는 공개적으로 공유될 수 있으며, 개인 키는 비밀로 유지됩니다.
이 암호화 방법은 공개 키가 공개적으로 공유될 수 있지만, 그것으로 암호화된 메시지는 복호화할 수 없기 때문에 안전합니다. 메시지는 해당 개인 키로만 복호화할 수 있습니다.
-
루트 서명 인증서를 Cato 관리 애플리케이션에 업로드합니다(액세스 > 클라이언트 액세스 > 서명 인증서). 인증서는 또한 공개 키를 포함하고 있습니다. 공개 키는 공개적으로 공유될 수 있습니다.
-
장치 인증서와 개인 키를 장치로 업로드합니다. 장치는 개인 키를 비밀로 유지해야 합니다. Cato 클라이언트는 디바이스에 설치되어야 합니다. 디바이스가 Cato PoP(존재 지점)에 연결되면, 클라이언트는 인증서의 진위 여부를 확인하고 인증서가 유효하며 서명 인증서와 일치하는지 확인합니다.
-
디바이스의 진위 여부를 확인하기 위해, Cato는 암호화된 챌린지를 보냅니다. 암호화된 챌린지는 Cato에 의해 생성된 랜덤 메시지이며, 1단계에서 Cato에 업로드된 루트 인증서에서 얻은 공개 키로 암호화됩니다.
-
장치는 개인 키를 사용하여 암호화된 챌린지를 복호화하고 복호화된 챌린지를 Cato에 보냅니다.
-
암호화 해독된 챌린지가 원래의 것과 일치하면 디바이스가 인증되고 정의된 자원에 외부 액세스 허용이 부여됩니다.
댓글 0개
댓글을 남기려면 로그인하세요.