클라이언트 연결 정책 구성

이 문서에서는 계정의 제로 트러스트 네트워크 액세스(ZTNA)를 구현하고 실행함에 있어 클라이언트 연결 정책에 대한 규칙을 구성하는 방법을 다룹니다.

추가 정보는 무엇이 클라이언트 연결 정책인가요?을 참조하십시오..

개요

클라이언트 연결 정책을 사용하여 기기 자세 및 검증, 신뢰 수준, 기기 OS 등의 사용자 기기에 대한 ZTNA 정책 요구사항을 적용할 수 있습니다. 기기가 프로필에 설정된 정책을 준수하지 못하면 사용자는 Cato Cloud에 연결할 수 없습니다.

예를 들어, 원격 사용자가 기기 자세 정책을 준수하는 경우에만 내부 자원에 대한 접근을 허용할 수 있습니다. 이렇게 하면 내부 자원에 연결된 기기에 대한 신뢰 수준을 향상시킬 수 있습니다.

클라이언트 연결 정책을 사용하여 원격 인터넷 접속을 한 번의 인증 후 안전하게 제공할 수 있습니다. 자세한 내용은 한 번의 인증을 통한 원격 인터넷 보안을 참조하세요.

작업 이해하기

작업은 사용자에게 제공되는 접근 수준을 정의합니다. 작업은 다음과 같습니다:

  • WAN 및 인터넷 허용: 사용자는 안전한 인터넷 접근을 가지며, 사설 네트워크(WAN)에 접근할 수 있습니다.

    참고

    참고: 이 옵션은 사용자에게 사설 네트워크(WAN) 접근 권한을 부여합니다. 사용자의 사설 네트워크(WAN) 접근은 WAN 방화벽의 규칙에 의존합니다.

  • 인터넷 전용 허용: 사용자는 인터넷만 안전하게 액세스할 수 있으며 비공개 네트워크(WAN)에 액세스할 수 없습니다.

    참고

    참고: 이 옵션은 사용자에게 인터넷에 접근할 수 있는 권한을 부여합니다. 사용자의 인터넷 접근은 인터넷 방화벽의 규칙에 의존합니다.

    이 작업에는 활성 WAN 세션 종료 옵션도 포함됩니다. 이 옵션은 원격 사용자가 이전에 하나의 규칙에서 WAN 액세스를 허용받았지만 상황이 바뀌어 이제 인터넷 액세스만 허용하는 규칙과 일치할 때 적용됩니다. 이 경우, 원격 사용자의 기존 WAN 세션을 종료할지 여부를 선택할 수 있습니다.

    예를 들어, 원격 사용자는 신뢰 수준에 기반하여 WAN 액세스가 허용됩니다. 조건이 변경되어 토큰이 만료되면 원격 사용자는 더 이상 WAN에 액세스할 수 없습니다. 이 설정은 현재 WAN 세션이 연결이 끊어지는지를 결정합니다. This option does not apply in Office Mode. 

  • WAN 및 인터넷 차단: 사용자가 인터넷 및 WAN에 액세스하는 것을 차단합니다.

    사용자가 이 작업이 포함된 규칙을 충족하면 기존의 WAN 세션이 항상 종료됩니다.

전제조건

Windows 및 macOS 클라이언트에 대해 기기 검사가 지원됩니다. 각 검사에 대한 요구 사항에 대한 자세한 내용은 장치 상태 프로필 및 장치 검사 생성을 참조하세요.

클라이언트 연결 정책 구현 준비

정책의 목표는 정책과 일치하는 기기만을 신뢰하는 것입니다. 따라서 신뢰할 수 없는 모든 기기를 차단하여 네트워크에 연결할 수 없도록 규칙을 정의합니다.

클라이언트 연결 정책을 활성화하기 전에 지원되지 않는 클라이언트와 운영 체제를 사용하는 사용자의 행동을 결정해야 합니다. 이 사용자가 계정에 연결할 수 있도록 허용하고 싶습니까? 예를 들어, Linux 클라이언트 또는 Windows Client v4.7 이하를 사용하는 사용자입니다.

지원되는 연결 정책 기능

  • 안티멀웨어 및 엔드포인트 방화벽 벤더에 대한 다양한 검증을 구성하여 관련 소프트웨어가 설치되고 실행되어 클라이언트와 원격 액세스를 허용하도록 합니다.

  • 기기가 정책 요건을 충족하지 못하면 클라이언트가 갑자기 네트워크에서 연결이 끊길 수 있으므로 항상 연결과 실시간 검사를 활성화하지 않는 것을 권장합니다. 이로 인해 사용자에게 나쁜 사용자 경험을 제공할 수 있습니다.

    실시간 검사를 위한 지원되는 벤더 및 버전 목록은 여기에서 검토할 수 있습니다.

  • 연결 정책은 정렬된 정책이므로 사용자를 여러 프로필이나 규칙에 추가할 수 있습니다. 그러나 사용자에게는 첫 번째 일치 규칙이 적용됩니다.

사무실에서의 클라이언트 연결 정책과 항상 연결 정책

이 섹션은 항상 연결 정책으로 사이트 뒤에서 실행할 때 클라이언트 연결 정책을 사용할 때, 원격 사용자가 사무실에 있어도 인증이 필요하도록 하는 방법을 설명합니다. 항상 연결 사무실에서 인증 요구 설정은 사용자가 연결하기 전에 클라이언트가 클라이언트 연결 정책을 준수하도록 강제합니다.

  • 클라이언트 연결 정책은 WAN 또는 인터넷에 연결할 수 있도록 이 사용자들을 허용해야 합니다. 장치가 사무실의 사이트 뒤에 있을 때도 허용해야 합니다.
  • 클라이언트가 항상 적용 우회 모드로 들어가면, 사이트에 대한 WAN 및 인터넷 방화벽 정책이 사용자에게 적용됩니다. 이 정책은 사용자가 원격으로 연결될 때 강제되는 것과 다를 수 있습니다.

추가 정보는 보안을 위해 항상 적용되는 보안을 참조하십시오.

클라이언트 연결 정책 및 설정 구성

이 섹션에서는 클라이언트 연결 정책을 생성하고 각 규칙에 하나 이상의 프로필을 추가하는 방법을 설명합니다.

클라이언트 연결 정책 생성

클라이언트 연결 정책은 순서가 정해진 규칙기반이며, 각 규칙은 사용자 적용 범위를 정의합니다. 여기에는 지리적 위치(국가) 및 기기 OS가 포함됩니다. 사용자 또는 그룹이 규칙과 일치할 때, Cato Cloud는 연결을 다음과 같이 관리합니다:

  • 규칙에 대한 장치 프로필 요구를 충족하면 계정에 연결할 수 있습니다.
  • 장치 프로필 요구를 충족하지 못한 경우 Cato 클라우드는 정책의 낮은 우선순위 규칙에 따라 태도를 검사합니다.
  • 어떤 규칙과도 일치하지 않는 사용자나 그룹의 장치는 정책의 최종 암묵 규칙(ANY ANY block)에 의해 차단됩니다.

클라이언트 연결 정책의 규칙을 생성합니다.

  1. 탐색 메뉴에서 접속 > 클라이언트 연결 정책을 클릭하십시오.

  2. 새로 만들기를 클릭합니다.

    새 규칙 패널이 열립니다.

  3. 규칙의 범위를 구성하십시오.
    1. 이 규칙에 대해 사용자/그룹, 신뢰 수준, 플랫폼, 공공 ISP IP 범위, 국가를 정의하십시오.

  4. 기기 자세 프로필 섹션을 확장하고, 이 규칙의 프로필을 선택합니다.

    단일 정책 규칙에 여러 프로필이 포함된 경우, 그들 사이에는 암묵적인 OR이 있습니다.

    참고모든 장치 자세 프로필을 선택하면 규칙에 장치 자세 프로필이 포함되지 않습니다.

  5. 규칙의 작업을 선택하십시오. 사용 가능한 작업에 대한 더 많은 정보는 바로 이용 가능한 인증을 통한 원격 인터넷 보안을 참조하십시오.
  6. 적용 을 클릭하십시오.
  7. 클라이언트 연결 정책의 각 규칙에 대해 2-5 단계를 반복하십시오.

  8. 클라이언트 연결 정책을 활성화한 후 저장을 클릭합니다.

    규칙이 활성화되었을 때 슬라이더 toggle.png는 녹색이며, 규칙이 비활성화되었을 때는 회색입니다.

샘플 클라이언트 연결 정책

이 섹션은 클라이언트 연결 정책의 예와 규칙이 어떻게 적용되는지를 보여줍니다.

ClientConnectivity Policy.png

  1. 규칙 1의 범위는 아프리카와 유럽의 연구개발 그룹과 Windows 기기입니다.

    • 이 사용자가 Cato Cloud에 연결을 시도할 때, 위 연구소 아프리카 프로필 또는 위 연구소 유럽 프로필의 요건을 충족하면 접속이 허용됩니다.

      그렇지 않으면 엔진은 규칙 2에 대해 사용자와 기기를 확인합니다.

  2. 규칙 2의 범위는 규칙 1에서 기기 자세 프로필 요구를 충족하지 않은 아프리카와 유럽의 연구개발 그룹과 Windows 기기입니다.

    • 이 사용자가 Cato 클라우드에 연결하려고 할 때, 장치 자세 프로필 모든 일치가 되어 차단됩니다. Cato 클라우드에 연결할 수 없습니다.
    • 장치 프로필 요구를 충족하지 않는 사용자가 RnD 그룹에 속하지 않으면 규정 2가 적용되지 않으며 규정 3으로 계속됩니다.

  3. 규칙 3의 범위는 Windows 기기를 가진 모든 사용자 또는 사용자 그룹입니다.

    사용자가 Cato Cloud에 연결을 시도할 때, 샘플 프로필의 요건을 충족하면 인터넷에만 연결이 허용되고 WAN에 연결되지 않습니다.

    그렇지 않으면 사용자는 최종 암묵적인 임의 임의 차단 규칙에 의해 차단됩니다.

기기 자세와의 사용자 경험

기기가 기기 검사를 통과하면 Cato Cloud에 연결할 수 있으며, 사용자의 경험은 클라이언트가 연결됨을 표시하는 것입니다. 이는 계정에 대한 기기 자세 정책이 없는 경우와 동일한 사용자 경험입니다.

기기가 기기 검사에 실패하면 클라이언트가 Cato Cloud에 연결되지 않고, 클라이언트는 사용자에게 오류 메시지를 표시합니다. 클라이언트가 연결된 후 장치가 정기 검사에서 실패할 경우, 클라이언트가 연결 해제되며 동일한 오류 메시지가 표시됩니다.

다음은 오류 메시지의 예입니다:

DevicePosture_ClientError.png

클릭하여 세부 정보를 확인하여 기기가 충족하지 못하는 특정 요구사항을 확인합니다. 동일한 세부사항을 보여주는 이벤트도 생성됩니다.

지원되지 않는 클라이언트 버전의 사용자 경험

OS에 대한 클라이언트 연결 정책을 생성할 때, 모든 장치에 설치된 모든 클라이언트를 최소 지원 클라이언트 버전으로 업그레이드할 것임을 확인하는 것이 강력히 권장됩니다. 이전 (지원되지 않는) 클라이언트 버전에 대한 접근을 허용하지 않는 규칙의 경우, 최종 사용자 경험은 다음과 같습니다:

  • Windows OS - 사용자에게 아무 메시지도 표시되지 않으며, 클라이언트는 암호화 터널에 지속적으로 연결하려고 합니다.
  • macOS, iOS, Android 및 Linux - 사용자는 이 장치가 네트워크에서 차단되었다는 메시지를 받습니다 (예: 이 OS에서의 연결이 금지됨).

클라이언트 연결 정책에 대한 사건 이해

Cato 관리 애플리케이션은 클라이언트 연결 정책과 관련된 두 가지 유형의 사건을 생성합니다:

  • 사용자 또는 사용자 그룹이 클라이언트 연결 정책 규칙의 요구 사항을 충족할 때마다 네트워크에 연결할 수 있습니다.
  • 사용자 또는 사용자 그룹이 클라이언트 연결 정책의 요구 사항을 충족하지 못하여 네트워크에 연결할 수 없습니다.

다음 표는 허용 작업 사건의 몇 가지 이벤트 필드를 설명합니다:

필드 설명
장치 자세 프로필 장치가 준수하는 장치 자세 프로필의 이름입니다.
규칙 장치 연결을 허용한 클라이언트 연결 정책 규칙의 이름입니다.
인증 방법 사용자가 클라이언트에 인증하기 위해 사용한 인증 방법입니다.

다음 표는 차단 작업의 연결 이벤트와 연결 차단 이유를 설명합니다.

 

이벤트 세부 사항

차단 이유

이벤트 메시지 설명

클라이언트 연결 정책

장치가 장치 검사를 충족하지 못했습니다.

장치에 설치된 안티멀웨어 또는 방화벽의 세부 정보를 보여주며, 장치 검사를 위해 필요한 사항을 보여줍니다.

클라이언트 연결 정책

지원되지 않는 클라이언트

장치가 지원되지 않는 클라이언트 OS 또는 버전을 사용하여 연결하고 있으며, 일치 규칙이 지원되지 않는 클라이언트의 연결을 허용하지 않습니다.

클라이언트 연결 정책

장치가 어떤 규칙과도 일치하지 않습니다.

장치는 클라이언트 연결 정책의 어떠한 규칙의 범위와도 일치하지 않았습니다. 따라서 최종 암묵의 규칙에 의해 연결이 차단되었습니다.

도움이 되었습니까?

5명 중 4명이 도움이 되었다고 했습니다.

댓글 0개