클라이언트 연결 정책 구성

이 문서는 Cato 계정에서 Zero Trust Network Access(ZTNA)를 구현하고 적용하는 일환으로 클라이언트 연결 정책에 대한 규칙을 구성하는 방법을 설명합니다.

자세한 정보는 클라이언트 연결 정책이란 무엇인가요?를 참조하십시오.

개요

사용자 장치에 대해 Cato Client가 수행하는 장치 상태 및 검사, 신뢰 수준, 장치 OS 등과 같은 ZTNA 정책 요구 사항을 적용하기 위해 Client Connectivity Policy를 사용하십시오. 장치가 프로필에 설정된 정책을 준수하지 않으면 사용자는 Cato Cloud에 연결할 수 없습니다.

예를 들어, 원격 사용자가 장치 상태 정책을 준수할 때에만 내부 자원에 대한 액세스를 허락할 수 있습니다. 이를 통해 내부 자원에 연결된 장치에 대한 신뢰도를 높일 수 있습니다.

또한, 클라이언트 연결 정책을 사용하여 한 번의 인증 후 사용자에게 안전한 원격 인터넷 액세스를 제공할 수 있습니다. 자세한 내용은 한 번의 인증으로 원격 인터넷 보안을 참조하세요.

작업 이해

작업은 사용자에게 제공되는 액세스 수준을 정의합니다. 작업은 다음과 같습니다:

  • WAN 및 인터넷 허용: 사용자는 안전한 인터넷 액세스를 가지고 있으며 사설 네트워크(WAN)에 접근할 수 있습니다

    참고

    참고: 이 옵션은 사용자가 사설 네트워크(WAN)에 접근할 수 있는 권한을 제공합니다. 사용자가 사설 네트워크(WAN)에 접근하는 것은 WAN 방화벽의 규칙에 의해 결정됩니다.

  • 인터넷 허용: 사용자는 안전한 인터넷 액세스만 있으며 사설 네트워크(WAN)에 접근할 수 없습니다

    참고

    참고: 이 옵션은 사용자가 인터넷에 접근할 수 있는 권한을 제공합니다. 사용자가 인터넷에 접근하는 것은 인터넷 방화벽의 규칙에 의해 결정됩니다.

  • 차단: 사용자가 인터넷과 WAN에 대한 액세스가 차단됩니다.

선행 조건

윈도우 및 macOS 클라이언트에 대해 장치 검사가 지원됩니다. 각 검사 요구사항에 대한 자세한 내용은 장치 상태 프로필 및 장치 검사 생성을 참조하세요.

클라이언트 연결 정책 구현 준비

정책의 목표는 정책에 부합하는 장치만 신뢰하는 것입니다. 따라서 모든 비신뢰 장치를 차단하는 규칙을 정의하여 네트워크에 연결할 수 없도록 합니다.

클라이언트 연결 정책을 활성화하기 전에 지원되지 않는 클라이언트 및 운영 체제를 사용하는 사용자에 대한 행동을 결정해야 합니다. 이 사용자가 계정에 연결할 수 있도록 허용하시겠습니까? 예를 들어, Linux 클라이언트 또는 Windows 클라이언트 v4.7 및 이전 버전이 설치된 사용자들입니다.

지원하는 연결 정책 기능

  • Anti-Malware 및 엔드포인트 방화벽 공급업체의 다양한 검사 구성을 통해 관련 소프트웨어가 설치되고 실행되어 클라이언트와 원격 액세스를 허용할 수 있도록 합니다.

  • 정책 요구 사항을 충족하지 못할 경우 클라이언트가 네트워크에서 갑자기 연결이 끊길 수 있으므로 항상 연결되기를 원하시는 경우 실시간 검사를 활성화하지 않는 것이 좋습니다. 이는 사용자에게 좋지 않은 사용자 경험을 제공할 수 있습니다.

    실시간 점검을 위한 지원되는 공급업체 및 버전 목록을 여기에서 확인할 수 있습니다.

  • Connectivity Policy는 순서가 있는 정책이므로, 여러 프로필이나 규칙에 사용자를 추가할 수 있습니다. 그러나 첫 번째로 일치하는 규칙이 사용자에게 적용됩니다.

클라이언트 연결 정책 및 사무실의 항상 연결 정책

이 섹션에서는 사이트 뒤에서 항상 연결 정책을 강화하고 사무실에 있을 때도 원격 사용자가 인증을 필요로 하는 경우 클라이언트 연결 정책을 사용하는 방법을 설명합니다. 항상 연결 사무실에서 인증 요구 설정은 사용자가 연결할 수 있기 전에 클라이언트가 클라이언트 연결 정책을 따르도록 합니다.

  • 사이트 뒤 사무실에 있을 때에도 클라이언트 연결 정책이 WAN 또는 인터넷에 연결할 수 있도록 허용할 필요가 있다는 점을 기억하십시오.

  • Client가 항상 활성 모드를 우회 모드로 전환하면 해당 사이트에 대한 WAN 및 인터넷 방화벽 정책이 사용자에게 적용됩니다. 이 정책은 사용자가 원격으로 연결할 때 적용되는 것과 다를 수 있습니다.

자세한 정보는 항상 켜져 있는 보안을 통해 사용자 보호(EA 방해 방지)를 참조하십시오.

클라이언트 연결 정책 및 설정 구성

이 섹션은 클라이언트 연결 정책을 생성하고 각 규칙에 하나 이상의 프로필을 추가하는 방법을 설명합니다.

순서가 있는 클라이언트 연결 정책 작업

장치가 사용자/그룹, 플랫폼, 국가장치 자세 형상 프로필 규칙과 일치하면, 규칙 작업이 장치에 적용됩니다.

  • 허용 동작이 있는 규칙의 경우, 장치가 네트워크에 연결할 수 있습니다

  • 차단 동작이 있는 규칙의 경우, 장치는 차단되고 네트워크에 연결할 수 없습니다

클라이언트 연결 정책 생성

Client Connectivity Policy는 순서가 있는 규칙 기반이며, 각 규칙은 적용되는 사용자, 지리적 위치(국가), 장치 OS를 포함한 사용자 범위를 갖습니다. 사용자 또는 그룹이 규칙과 일치할 때, Cato Cloud는 다음과 같이 연결을 관리합니다:

  • 사용자가 규칙의 장치 프로필 요구사항을 충족하는 경우, 연결이 허용됩니다.

  • 사용자가 규칙의 장치 프로필 요구사항을 충족하지 않는 경우, Cato Cloud는 정책의 낮은 우선순위 규칙에 따라 연결상태를 계속 점검합니다.

  • 어느 규칙에도 일치하지 않는 사용자 또는 그룹의 장치는 정책의 최종 암시적 규칙(ANY ANY 차단)에 의해 차단됩니다.

클라이언트 연결 정책의 규칙을 생성하려면:

  1. 네비게이션 메뉴에서 접속 > 클라이언트 연결 정책을 클릭하십시오.

  2. 신규를 클릭하십시오.

    새 규칙 패널이 열립니다.

  3. 규칙의 범위를 구성하십시오:

    1. 이 규칙에 대한 사용자/그룹, 신뢰 수준, 플랫폼, 공용 ISP IP 범위, 및 국가를 정의합니다.

  4. 장치 상태 프로필 섹션을 확장하고 이 규칙의 프로필을 선택하십시오.

    단일 정책 규칙에 여러 프로필이 포함된 경우, 그들 사이에 암묵적인 OR이 존재합니다.

    참고:   모든 장치 자세 프로필을 선택하면 규칙에 장치 자세 프로필이 포함되지 않습니다.

  5. 규칙에 대한 작업을 선택하십시오. 이용 가능한 작업에 대한 더 많은 정보는 바로 이용 가능한 인증을 통한 원격 인터넷 보안을 참조하십시오.

  6. 적용을 클릭하십시오.

  7. 클라이언트 연결 정책의 각 규칙에 대해 2-5 단계를 반복하십시오.

  8. 클라이언트 연결 정책을 활성화하고 저장을 클릭하십시오.

    규칙이 활성화되면 슬라이더 toggle.png는 녹색으로 표시되며, 규칙이 비활성화되면 회색으로 표시됩니다.

샘플 클라이언트 연결 정책

이 섹션은 클라이언트 연결 정책의 예와 규칙이 어떻게 적용되는지 보여줍니다.

ClientConnectivity Policy.png

  1. 규칙 1의 범위는 아프리카와 유럽의 Windows 장치를 사용하는 연구개발 그룹입니다.

    • 이 사용자들이 카토 클라우드에 연결하려고 할 때, RnD 아프리카 프로필 또는 RnD 유럽 프로필의 요구 사항을 충족할 경우에만 연결이 허용됩니다.

      그렇지 않으면 엔진은 규칙 2에 대한 사용자와 장치를 검사합니다.

  2. 규칙 2의 범위는 Windows 장치를 사용하는 아프리카 및 유럽의 RnD 그룹으로, 규칙 1의 장치 상태 프로필 요구 사항을 충족하지 못한 경우입니다.

    • 이 사용자가 Cato Cloud에 연결하려고 할 때, 그들은 장치 상태 프로필 '모든'과 일치하며 차단됩니다. 그들은 카토 클라우드에 연결할 수 없습니다.

    • 규칙 2는 아프리카 및 유럽의 RnD 그룹의 멤버가 아닌 사용자에게는 적용되지 않으며, 이 사용자는 규칙 3으로 계속 진행합니다.

  3. 규칙 3의 범위는 Windows 장치를 가진 모든 사용자 또는 사용자 그룹입니다.

    사용자들이 카토 클라우드에 연결하려고 할 때, 샘플 프로필의 요구 사항을 충족할 경우에만 인터넷에 연결할 수 있으며, WAN에는 연결할 수 없습니다.

    그렇지 않으면, 사용자는 최종 암묵적인 '모든 모두' 차단 규칙에 의해 차단됩니다.

장치 상태와 사용자 경험

장치가 장치 검사와 일치하면 Cato Cloud에 연결할 수 있으며, 사용자에게 클라이언트가 연결됨을 표시합니다. 이는 계정에 장치 상태 정책이 없는 경우와 동일한 사용자 경험입니다.

장치가 장치 검사와 일치하지 않으면 클라이언트가 Cato Cloud에 연결되지 않으며 클라이언트는 사용자에게 오류 메시지를 표시합니다. 클라이언트가 연결된 후 정기 검사에서 장치가 실패할 경우, 클라이언트가 연결 해제되며 동일한 오류 메시지가 표시됩니다.

다음은 오류 메시지의 예시입니다:

DevicePosture_ClientError.png

장치가 충족하지 않는 구체적인 요구 사항을 보여주기 위해 세부 정보를 클릭하십시오. 동일한 세부 정보를 보여주는 이벤트도 생성됩니다.

User Experience with Unsupported Client Versions

OS용 클라이언트 연결 정책을 작성할 때, 모든 장치에 설치된 모든 클라이언트를 최소 지원 클라이언트 버전으로 업그레이드하도록 강력히 권장합니다. 이전(지원되지 않는) 클라이언트 버전에 대한 접근을 허용하지 않는 규칙의 경우, 이는 최종 사용자 경험입니다:

  • Windows OS - 사용자에게 메시지가 표시되지 않으며 클라이언트는 암호화된 터널에 연결을 지속적으로 시도합니다

  • macOS, iOS, Android, 및 Linux - 이 장치가 네트워크로부터 차단되었다고 사용자에게 메시지가 나타납니다(예를 들어, 이 OS로부터 연결이 금지됨)

클라이언트 연결 정책에 대한 이벤트 이해

카토 관리 애플리케이션은 클라이언트 연결 정책과 관련된 두 가지 유형의 이벤트를 생성합니다:

  • 사용자 또는 사용자 그룹이 클라이언트 연결 정책 규칙의 요구사항을 준수할 때마다, 네트워크에 연결할 수 있습니다.

  • 사용자 또는 사용자 그룹이 클라이언트 연결 정책의 요구 사항을 충족하지 못해 네트워크 연결이 차단될 때마다.

다음 테이블은 허용 작업 이벤트의 몇 가지 이벤트 필드를 설명합니다:

필드

설명

장치 상태 프로필

장치가 준수한 장치 자세 프로필의 이름.

규칙

장치를 연결할 수 있도록 한 클라이언트 연결 정책 규칙의 이름입니다.

인증 방법

사용자가 클라이언트에 인증하기 위해 사용한 인증 방법입니다.

다음 테이블은 차단 작업과 연결 차단 이유와 관련된 다양한 연결 이벤트를 설명합니다:

이벤트 하위 유형

차단 이유

이벤트 메시지 설명

클라이언트 연결 정책

장치가 장치 검사를 통과하지 못했습니다

장치에 설치된 안티멀웨어 또는 방화벽의 세부 정보 및 장치 검사에 필요한 사항을 보여줍니다.

클라이언트 연결 정책

지원되지 않는 클라이언트

장치가 지원되지 않는 클라이언트 OS 또는 버전을 사용하여 연결 중이며, 일치하는 규칙이 지원되지 않는 클라이언트의 연결을 허용하지 않습니다.

클라이언트 연결 정책

장치가 아무 규칙에도 일치하지 않음

장치가 클라이언트 연결 정책의 어떤 규칙에도 범위에 일치하지 않았습니다. 따라서 연결이 최종 암묵적 규칙에 의해 차단되었습니다.

도움이 되었습니까?

5명 중 4명이 도움이 되었다고 했습니다.

댓글 0개