이 기사는 Cato Networks에서 관리된 네트워크를 정의하는 방법을 설명합니다. 관리된 네트워크는 접근 정책을 기반으로 사용할 수 있는 매개변수로 사용될 수 있습니다.
Cato는 사용자가 연결된 네트워크 유형을 기반으로 사용자 트래픽이 라우팅되고 항상 적용이 시행되는 방식에 대한 세부 제어를 제공합니다.
이 네트워크 분류를 통해 기존 보안 아키텍처와의 통합을 가능하게 하며 신뢰할 수 있는, 관리된, 그리고 관리되지 않는 환경에서 일관된 트래픽 처리를 보장합니다.
Cato 클라이언트는 특정 기준을 사용하여 런타임 시 구성을 결정합니다.
-
Cato 사이트 (소켓, IPsec, vSocket) 뒤에 있는지 여부
-
주어진 목적지로 사전 정의된 프로브의 응답을 성공적으로 받을 수 있는지 여부
이 조건에 따라 클라이언트는 다음 행동 중 하나를 적용합니다.
-
Cato 소켓 뒤에 (오피스 모드) - 클라이언트가 Cato 소켓 뒤에 있다고 식별하면 오피스 모드가 활성화되고 모든 트래픽이 Cato를 통해 라우팅됩니다.
-
관리된 네트워크 뒤에 - 클라이언트가 소켓 뒤에 없으면 네트워크가 관리된 것으로 정의되어 있는지를 확인합니다. 그렇다면:
-
관리된 네트워크 (신뢰할 수 없음) - Cato로의 터널이 유지되고, 분할 터널 정책이 적용됩니다. 모든 트래픽이 Cato를 통해 라우팅됩니다.
-
신뢰된 관리 네트워크 - 네트워크가 신뢰됨으로 표시되면 항상 적용이 일시 중지되고 클라이언트가 Cato 터널에서 연결 해제되며 모든 트래픽이 제3자 방화벽을 통해 라우팅됩니다.
-
-
관리되지 않는 네트워크 - 네트워크가 소켓 뒤에 있지 않고 관리된 것으로 정의되지 않으면(예: 집 WiFi, 공항, 호텔, 커피숍), 공공 네트워크로 간주되어 관리되지 않음으로 처리됩니다. 모든 트래픽이 Cato를 통해 라우팅됩니다.
회사 ABC는 70개 사무실과 10,000명 이상의 직원을 보유하고 있습니다. 그들은 새로운 Cato 고객으로, 항상 적용을 통해 네트워킹 및 보안 솔루션을 사용하여 인터넷 보안을 제공합니다 (회사의 UZTNA 모범 사례에 따라). Cato 온보딩 과정에서 회사는 몇 주 동안 클라이언트를 배포하며, SD-WAN은 몇 달 동안 20개 사무실에 점진적으로 배포됩니다. 해당 시점까지 사무실은 제3자 벤더에 의해 보호됩니다.
회사는 물리적 사무실의 네트워크 범위를 관리된 네트워크로 지정해야 합니다. 관리자는 네트워크 소스에 따라 트래픽을 라우팅하기 위해 분할 터널 정책에 규칙을 생성합니다.
-
관리된 네트워크 - 사용자는 Cato로 온보딩되지 않은 사이트 뒤에 연결됩니다. 인터넷 트래픽만이 추가 보안을 위해 Cato 클라우드로 라우팅됩니다.
-
관리되지 않는 네트워크 - 원격 사용자, 모든 트래픽이 Cato 클라우드로 라우팅됩니다.
관리된 네트워크로 정의할 네트워크 검사를 구성할 수 있습니다. 클라이언트는 관리된 네트워크에 연결되었는지 확인하기 위해 사전 정의된 프로브를 사용합니다. 이 확인은 클라이언트가 연결할 때, 모든 네트워크 변경 후, 그리고 연결된 동안 매 30초마다 발생합니다.
클라이언트는 다양한 유형의 내부 리소스에 대한 연결성을 확인하기 위해 프로브를 보냅니다.
-
HTTPS 리소스 요청: 관리된 네트워크에 연결되었을 때만 접근 가능한 URL을 정의합니다. URL에 접근한 후 클라이언트는 응답이 HTTP 200 또는 HTTP 300인지 확인한 다음 로컬 머신의 인증서 저장소에 기반하여 인증서를 신뢰할 수 있는지 확인합니다.
-
DNS 쿼리: 클라이언트가 DNS 요청을 보낼 호스트명과 기대하는 응답인 IP 주소를 정의합니다
-
IP 주소 또는 URL로 핑: 클라이언트가 핑할 IP 주소나 URL을 정의합니다. 클라이언트는 ICMP 프로토콜로 응답이 있는지 확인합니다
검사가 만족될 경우 소스 네트워크는 관리된 것으로 간주됩니다. 모든 검사가 실패하면 네트워크는 관리되지 않는 것으로 간주됩니다.
Cato 사이트 뒤에 있을 때, 클라이언트는 이전과 같이 매끄럽게 오피스 모드로 전환합니다.
예를 들어, 내부 회사 DNS 서버는 호스트명 companyabc.local을 사용하고, 10.10.10.26으로 해결합니다. 따라서 관리된 네트워크를 companyabc.local 호스트와 해당 IP 주소로 해결하는 DNS 쿼리로 정의합니다.
네트워크를 관리된 것으로 지정하려면 먼저 Cato 관리 애플리케이션(CMA)에서 관리 네트워크 객체를 생성합니다. 이 객체는 사무실이나 알려진 기업 위치와 같은 네트워크를 나타냅니다. 고객은 또한 Cato 클라이언트가 해당 네트워크 내에서 작동하고 있음을 확인하기 위해 사용하는 프로브를 정의해야 합니다. 이러한 프로브는 DNS, HTTP 또는 Ping(ICMP 패킷)을 포함할 수 있습니다. 클라이언트가 정의된 프로브를 기반으로 일치를 감지하면 해당 네트워크를 관리된 것으로 분류하고 관련 정책을 적용합니다.
관리 네트워크를 구성하려면:
-
탐색 메뉴에서 Access > Managed Networks을 클릭합니다.
-
새로운을 클릭하고 다음을 구성합니다.
-
프로브 이름
-
(선택 사항) 프로브 설명
-
프로브 유형, 즉 HTTPs, DNS 쿼리 또는 ping
-
프로브의 호스트명 또는 IP 주소
-
-
저장을 클릭합니다.
-
각 관리 네트워크에 대해 단계 2를 반복합니다.
-
관리 네트워크를 활성화하고 저장을 클릭합니다.
슬라이더는 관리 네트워크가 활성화되면 녹색, 신뢰 네트워크가 비활성화되면 회색입니다.
모든 트래픽을 목적지로 라우팅하고 Cato 클라우드로 라우팅하지 않는 시나리오에서는 모든 관리 네트워크를 신뢰된 네트워크로 정의할 수 있습니다. 호스트 장치가 신뢰할 수 있는 네트워크에 연결될 때:
-
클라이언트는 네트워크를 신뢰된 네트워크로 식별하며, 부팅 시 연결이 비활성화되고, 항상 적용이 우회되며 클라이언트는 Cato 클라우드에 연결(또는 재연결)하지 않으려 합니다.
-
호스트 기기가 신뢰된 네트워크에 연결되어 있는 동안 클라이언트는 연결이 해제된 상태로 유지되며, 분할 터널 정책은 적용되지 않습니다.
-
사용자는 클라이언트에서 Connect을 클릭할 옵션이 있으며 기기는 Cato 클라우드에 연결됩니다.
예를 들어, Cato 클라우드에 의해 보호되는 개발 환경에 접근해야 하는 개발자
댓글 0개
댓글을 남기려면 로그인하세요.