이 문서에서는 Windows 클라이언트의 Cato PoP 연결 흐름을 설명합니다.
클라이언트가 Cato PoP에 연결되기 전에, 클라이언트 정책의 구성을 기반으로 다양한 검사를 수행합니다. 이를 통해 보안 요구 사항을 충족하는 사용자 및 장치만 네트워크에 연결할 수 있습니다. 다음의 흐름도는 이러한 검사 순서와 검사가 실패하거나 활성화되지 않은 경우 클라이언트의 동작을 자세히 설명합니다.
다음의 흐름도는 VPN 로그인 전이 활성화되었거나 비활성화된 경우 Windows 클라이언트가 Cato PoP에 연결되는 방법을 보여줍니다.
VPN 로그인 전은 사용자 인증 전에 허용된 대상에 대한 클라우드 액세스를 제공합니다. 예를 들어, 장치가 인터넷에 연결될 수 있으면 사용자 자격 증명을 장치에 저장할 수 있도록 AD에 액세스할 수 있습니다. 모든 기타 인터넷 접근이 차단됩니다.
참고
참고: 지원되는 IdP와 연결된 모든 도메인은 항상 적용이 활성화된 외부 브라우저를 사용할 때 인증되지 않은 상태로 액세스할 수 있습니다. 예를 들어, 사용자가 Google을 IdP로 사용할 경우 인증할 수 있도록 google.com에 액세스할 수 있습니다.
- VPN 로그인 전 상태에서 장치는 Cato 클라이언트, 신뢰할 수 있는 인증서로 미리 구성되어 있으며 Windows 레지스트리가 계정 이름으로 설정됩니다. 사용자가 인증되지 않았지만, 클라이언트는 인증서를 검증하기 위해 PoP에 연결할 수 있습니다. 인증서가 유효한 경우, 클라이언트는 PoP를 통해 허용된 대상에 대한 클라우드 액세스를 수행할 수 있습니다. 이는 사용자가 인증되지 않은 상태에서도 가능한 신뢰성을 설정합니다.
- 항상 연결은 클라이언트가 항상 PoP에 연결되도록 보장하며 모든 트래픽이 Cato의 악성 탐지 엔진에 의해 검사됩니다. 클라이언트는 마지막 사용자 클라이언트 연결 자격 증명을 사용하여 자동으로 인증하고 연결을 시도합니다. 클라이언트는 항상 연결이 활성화되었는지 확인하며, 사용자의 자격 증명이 장치에 저장된 경우에만 장치 부팅 후 및 사용자 로그인 후에 확인합니다. 사용자가 인증되고 클라이언트가 연결된 경우, 클라이언트를 연결 해제할 수 없습니다.
- 부팅 시 연결 기능이 활성화되면, 장치 부팅 단계에서 클라이언트는 자동으로 클라이언트에 마지막으로 연결한 사용자의 자격 증명으로 인증하고 연결을 시도합니다. 클라이언트가 연결된 후에 사용자는 클라이언트를 연결 해제할 수 있습니다. 클라이언트는 부팅 시 연결이 활성화되었는지 확인하며, 사용자의 자격 증명이 장치에 저장된 경우에만 장치 부팅 후 및 사용자 로그인 후에 확인합니다.
- 클라이언트 연결 정책은 장치가 네트워크에 연결되기 전에 장치에서 실행할 장치 검사를 정의합니다. 이것은 사용자의 보안 요구사항을 준수하는 장치만 연결할 수 있도록 보장합니다. 사용자는 안전한 인터넷 접근만 또는 안전한 인터넷 접근 및 사설 네트워크(WAN)를 가질 수 있도록 구성할 수 있습니다.
-
이러한 검사는 다음을 포함합니다:
- 장치 검사는 네트워크 연결에 필요한 장치의 최소 요구 사항을 정의합니다. 클라이언트는 장치의 보안 상태를 검증하기 위한 검사를 실행합니다.
- 장치의 지리적 위치
- 장치 운영 체제
- 사용자의 인증 상태
- 사용자는 SSO, MFA 또는 사용자 이름과 비밀번호를 사용하여 인증하기 할 수 있습니다. 사용자가 인증되면, PoP는 클라우드 연결을 유지하기 위해 사용자가 인증되었음을 확인하기 위한 Cato 토큰을 생성합니다. 사용자는 Cato 인증 토큰이 유효한 시간을 설정할 수 있습니다. 클라이언트는 Windows 자격 증명으로 자동 인증할 수 있어, 이 과정에서 사용자의 불편을 줄입니다.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.