원격 인터넷 보안 및 일회 인증

이 문서에서는 사용자가 원격 인터넷 보안 및 일회 인증과 수요에 따른 안전한 비공개 접근을 제공받을 수 있는 Cato 기능을 사용하는 방법을 설명합니다．

개요

Cato는 사용자가 일회 인증 후 안전한 원격 인터넷 접속을 받을 수 있도록 합니다. 이는 사용자가 클라이언트와의 최소 상호작용으로 항상 인터넷 연결과 보호를 받는다는 것을 의미합니다． 사용자의 비공개 네트워크(WAN)에 대한 접근은 필요에 따라 제공될 수 있습니다．

이는 인터넷 또는 귀하의 비공개 네트워크(WAN)에 대한 안전한 접근을 위해 사용자가 요구하는 인증 수준을 정의함으로써 설정됩니다． 예를 들어, 사용자가 초기 인증 후 항상 인터넷에 안전하게 접근할 수 있도록 허용할 수 있지만, 사용자 재인증 후에만 귀하의 비공개 네트워크(WAN)에 대한 접근을 허용할 수 있습니다．

또한, 사용자 재인증 경험을 제어할 수 있습니다． 인증 토큰이 만료되기 전이나 만료된 후 사용자에게 프롬프트를 표시할 수 있습니다．

인터넷 또는 비공개 네트워크(WAN) 클라우드 액세스를 위한 구성

원격 인터넷 보안 및 일회 인증은 사용자 신뢰 수준과 작업 수준을 클라이언트 연결 정책 규칙에서 정의함으로써 활성화됩니다. 신뢰 수준은 사용자의 인증이 얼마나 신뢰할 수 있는지를 설명합니다． 작업은 사용자에게 인터넷 및 비공개 네트워크(WAN)에 대한 접근을 허용할 지 여부를 정의합니다．

신뢰 수준 이해하기

신뢰 수준은 사용자의 인증이 얼마나 신뢰할 수 있는지를 설명합니다． 신뢰 수준은 다음과 같습니다：

높음: 사용자는 클라이언트에 인증되었으며 Cato 토큰이 유효합니다
낮음: 사용자는 클라이언트에 인증되었지만 Cato 토큰이 만료되었습니다
모든: 사용자는 클라이언트에 인증되었으며 Cato 토큰이 유효하거나 만료되었습니다

모든 인증 방법으로 인증한 후 사용자에게 신뢰 수준이 적용됩니다． 등록 코드 또는 사용자 이름과 비밀번호로 인증한 사용자의 경우 Cato 토큰은 만료되지 않습니다. 이 사용자는 항상 높은 신뢰 수준을 가집니다．

작업 이해하기

작업은 사용자에게 제공되는 접근 수준을 정의합니다． 작업은 다음과 같습니다：

WAN 및 인터넷 허용: 사용자는 안전한 인터넷 접속을 가지고 있으며 비공개 네트워크(WAN)에 액세스할 수 있습니다

참고: 이 옵션은 사용자가 비공개 네트워크(WAN)에 접근할 수 있는 권한을 제공합니다． 사용자의 비공개 네트워크(WAN)에 대한 접근은 WAN 방화벽의 규칙에 따라 달라집니다.
인터넷만 허용: 사용자는 안전한 인터넷 접속만 있으며 비공개 네트워크(WAN)에 액세스할 수 없습니다

이 작업을 트리거하는 지원되지 않는 클라이언트 OS와 버전은 차단됩니다.

참고: 이 옵션은 사용자가 인터넷에 접근할 수 있는 권한을 제공합니다. 사용자의 인터넷 접근은 인터넷 방화벽에 있는 규칙에 따라 결정됩니다．

이 작업은 활성 WAN 세션 종료 옵션을 포함합니다. 이 옵션은 이전에 하나의 규칙에서 WAN 클라우드 액세스가 허용되었지만, 현재는 인터넷 클라우드 액세스만 허용하는 규칙과 일치하는 경우에 적용됩니다. 이 경우, 사용자의 기존 WAN 세션을 종료할지 여부를 선택할 수 있습니다.

예를 들어, 사용자는 신뢰 수준 기준으로 WAN 클라우드 액세스 권한을 부여받습니다. 해당 조건이 나중에 변경되면, 예를 들어 토큰이 만료되면 사용자가 WAN 클라우드 액세스 권한을 더 이상 허용받지 않습니다. 이 설정은 현재 WAN 세션이 연결 해제되는지를 결정합니다.
WAN 및 인터넷 차단: 사용자는 인터넷과 WAN 클라우드 액세스가 차단됩니다

사용자가 이 작업 규칙과 일치하면 기존 WAN 세션은 항상 종료됩니다.

사전 조건

Windows 클라이언트 v5.9 이상, 또는 macOS 클라이언트 v5.10 (이상)
사용자는 안전한 인터넷 클라우드 액세스를 위해 SDP 라이센스를 부여받아야 합니다.
사용자는 신뢰 수준을 적용하기 위해 최소 한 번 이상 인증하고 유효한 토큰을 가져야 합니다

사용 사례

사용 사례 - 한 번의 인증 후 보안된 인터넷 접근

출판 회사는 원격으로 일하며 회사 WAN에 거의 접근할 필요가 없는 영업 사원들이 있습니다．

회사는 영업 사원 사용자 그룹을 위해 이러한 규칙을 만듭니다：

항상 연결 정책에서 클라이언트가 원격으로 일하는 누구와도 연결되도록 합니다
클라이언트 연결 정책에서 낮은 신뢰 수준의 사용자에게 인터넷 클라우드 액세스를 허용합니다.

영업 사원이 잠재 고객에게 도착하면, 그들은 Cato 클라이언트와의 상호작용 없이 안전하게 인터넷에 연결됩니다．

사용 사례 - 항상 재인증이 필요

은행은 엄격한 인터넷 보안 요구사항을 가지고 있으며, 인터넷과 비공개 네트워크(WAN)를 원격으로 액세스하는 사용자가 항상 인증받도록 할 필요가 있습니다.

회사는 모든 원격 사용자에게 이러한 규칙을 만듭니다：

항상 연결 정책에서 클라이언트가 항상 연결되도록 보장
클라이언트 연결 정책에서는 높은 신뢰 수준의 사용자에게 인터넷 및 사설 네트워크(WAN)에 대한 접근을 제공합니다．

사용자가 원격으로 연결할 때 인터넷이나 사설 네트워크(WAN)에 접근하기 전에 인증해야 합니다．

원타임 인증을 사용한 원격 인터넷 보안 구성

아래 단계에 따라 원타임 인증으로 원격 인터넷 보안을 활성화하십시오:

클라이언트가 사용자와 장치를 보호하기 위해 항상 Cato 클라우드에 연결되도록 항상 연결 정책에서 규칙을 정의하십시오．
클라이언트 연결 정책에서 사용자의 신뢰 수준을 기반으로 접근 수준을 정의하는 규칙을 정의하십시오．
사용자에게 최고의 경험을 제공하기 위해 재인증을 요청하는 방법을 구성하십시오．

단계 1: 항상 연결 정책을 적용하여 원격 사용자를 항상 보호하기

항상 연결 정책은 사용자가 언제든지 Cato 클라우드에 연결될 수 있도록 규칙을 정의하여 인터넷 보안을 강화합니다． 모든 트래픽이 PoP를 통해 이동하고 Cato 보안 엔진이 트래픽을 검사하여 보안 정책을 준수하는지 확인합니다．

항상 연결 안전으로 사용자를 보호하는 방법에 대한 자세한 정보는 항상 연결 안전으로 사용자 보호를 참조하십시오.

관련 사용자 그룹에 대한 규칙이 이미 항상 연결 정책에 있는 경우 이 단계는 필요하지 않습니다．

단계 2: 신뢰 수준에 따라 액세스를 제공하기 위한 클라이언트 연결 정책 구성

클라이언트 연결 정책에서는 장치 또는 사용자가 조직의 보안 요구사항을 준수할 때만 연결됨을 보장함으로써 네트워크를 보호합니다．

클라이언트 연결 정책 규칙에 신뢰 수준과 작업을 포함하면 인증의 신뢰도에 따라 사용자 및 사용자 그룹에 대한 접근 권한을 정의할 수 있습니다．

클라이언트 연결 정책에서 네트워크 클라우드 액세스를 관리하는 방법에 대한 자세한 정보는 클라이언트 연결 정책 구성을 참조하십시오.

클라이언트 연결 정책 규칙은 SDP 라이선스를 가진 사용자에게만 적용할 수 있습니다．

신뢰 수준에 따라 접근을 구성하려면：

네비게이션 메뉴에서 액세스 > 클라이언트 연결 정책을 클릭하십시오．
새로 만들기를 클릭하십시오． 새 규칙 패널이 열립니다．
규칙의 범위를 구성하십시오：
1. 신뢰 수준을 정의하십시오
2. 작업을 정의하십시오
적용을 클릭한 후 저장을 클릭하십시오．

참고

참고: 모범 사례로, 모든 신뢰 수준과 인터넷 허용 작업을 가진 사용자 또는 그룹에 대한 최종 규칙을 생성하십시오． 이는 더 높은 우선순위의 규칙과 일치하지 않는 모든 사용자에게 보안된 인터넷 액세스를 제공합니다．

단계 3: 재인증 사용자 경험 정의하기

클라이언트가 사용자가 재인증하도록 요청할 시기를 선택할 수 있습니다． 예를 들어：

사용자가 안전한 인터넷 액세스만 필요하며 사설 네트워크(WAN)에 대한 정기적인 액세스가 필요하지 않은 경우, 재인증 프롬프트로 방해받을 필요가 없습니다．
사용자가 항상 사설 네트워크(WAN)에 액세스해야 하는 경우, 인증 토큰이 만료되기 전후에 재인증 프롬프트를 받아 액세스가 차단되지 않도록 할 수 있습니다．

모두 또는 낮음 신뢰 수준을 WAN 및 인터넷 허용 작업과 함께 구성하는 경우, 토큰이 만료된 후 사용자는 재인증 안내를 받지 않으며 만료된 토큰으로 완전한 액세스가 허용됩니다． 사용 가능한 인증 방법에 대한 자세한 정보는 Cato 클라이언트 인증 정책 설정을 참조하십시오.

사용자가 언제 재인증을 요구받는지 정의하려면：

네비게이션 메뉴에서 액세스 > 사용자 인증을 클릭하십시오．
추가 설정 탭을 클릭하십시오．
사용자가 재인증 요구를 받는 시기를 선택하십시오．

참고: 하나, 양방향, 또는 아무 것도 선택하지 않을 수 있습니다． 두 옵션을 모두 선택하지 않으면 사용자는 재인증 프롬프트를 받지 않습니다．
새로운을 클릭합니다.

사용자 신뢰 수준 및 네트워크 액세스 모니터링

액세스 > 사용자 페이지에서 언제든지 사용자 신뢰 수준을 모니터링할 수 있습니다. 사용자의 현재 신뢰 수준은 SDPO 사용자 활동 탭에 표시됩니다 (이 컬럼은 숨길 수 있음).

클라이언트 연결 정책이 사용자의 연결을 허용할 때마다 이벤트가 생성됩니다. 자세한 정보는 클라이언트 연결 정책 구성을 참조하십시오.

사용자 경험 이해하기

클라이언트는 인증의 신뢰도에 따라 사용자가 허용된 액세스 수준을 표시합니다. 허용된 접근 수준에 따라, 보안 개인 접근과 보안 인터넷 접근은 체크 표시 또는 느낌표와 함께 나열됩니다．


클라이언트가 사설 네트워크(WAN)와 인터넷 둘 다에 접근할 수 있는 경우	클라이언트가 인터넷에만 접근할 수 있는 경우：

고급 구성

원타임 인증을 통한 원격 인터넷 보안을 활성화하면 다른 기능에 영향을 미칩니다．

DNS 구성

내부 DNS는 인터넷에만 접근 권한이 부여된 사용자에게는 무시됩니다.

사용자가 인터넷 클라우드 액세스만 있는 경우, Cato 인터넷 DNS (10.254.254.1)은 기본 DNS로 사용되며, 보조 DNS는 8.8.8.8입니다.

참고: DNS 전달 규칙은 여전히 기본적으로 적용됩니다. 이 동작은 사용자별 또는 계정별로 변경할 수 있습니다. 추가적인 정보는 지원에 문의하십시오.

오피스 모드

항상 연결이 활성화된 사용자는 사무실 모드로 클라이언트를 연결할 때, Cato 인증을 요구할 수 있습니다． 자세한 정보는 항상 연결 안전으로 사용자 보호를 참조하십시오.

인터넷 접근을 허용하는 클라이언트 연결 정책 규칙에 구성된 사용자는 낮은 신뢰 수준(Cato 인증 토큰 만료)으로도 사무실 모드에서 인증할 필요가 없습니다． 클라이언트 연결 정책 구성은 사무실 모드에서 항상 연결 구성을 덮어씁니다．

VPN 로그인 전

VPN 로그인 전 구성은 원타임 인증을 사용하는 원격 인터넷 보안 구성을 통해 영향을 받지 않습니다． 사용자가 인증하기 전에 트래픽은 다음과 같이 라우팅됩니다：

항상 연결이 활성화된 클라이언트는 허용된 대상에 정의된 자원에만 연결할 수 있으며, 인터넷 트래픽은 차단됩니다．
항상 연결이 활성화되지 않은 클라이언트는 허용된 대상에 정의된 자원에 연결할 수 있으며, 보안되지 않은 인터넷에 접근할 수 있습니다．

VPN 로그인 전 정보에 대한 자세한 정보는 Windows VPN 로그인 전 및 SDP 클라이언트 사용을 참조하십시오.

기술 세부 정보

원타임 인증을 사용하는 원격 인터넷 보안은 항상 연결 정책과 클라이언트 연결 정책의 구성을 사용하여 활성화됩니다,

사용자가 인증하고 인증 토큰이 유효한 경우, 모든 트래픽은 Cato PoP를 통해 통과하며 Cato의 보안 엔진에 의해 보안 정책에 따라 검사됩니다．

인증 토큰이 만료된 이후에도, 인터넷 트래픽이 계속 Cato PoP를 통해 통과하도록 허용할 수 있습니다． 이것은 사용자가 인증되지 않은 경우에도 지속적으로 안전한 인터넷 클라우드 액세스를 제공합니다. 보안 개인 접근을 위해, 사용자는 여전히 WAN 방화벽 정책에 따라 접근을 위해 다시 인증해야 합니다．