이 문서에서는 계정 내 사용자 인터넷 보안을 강화하기 위해 Always-On 정책을 구성하는 방법을 설명합니다.
Always-On 정책은 사용자 또는 사용자 그룹이 항상 Cato 클라우드에 연결되는 규칙을 정의하여 인터넷 보안을 강화합니다. 이렇게 하면 모든 트래픽이 PoP를 통과하고 Cato 보안 엔진이 트래픽을 검사하여 보안 정책을 준수하는지 확인합니다.
회사 ABC의 네트워크는 자체 직원이 기업 리소스에 접근할 수 있으며, 외부 계약자는 기업 리소스에 접근할 수 없습니다. 이들은 직원에게 Always-On을 활성화하는 규칙을 만들었고, 외부 계약자는 인터넷에 직접 접근할 수 있습니다. 이를 통해 회사 직원의 모든 트래픽이 Cato Cloud를 통해 전달되고 보안 정책에 의해 보호됩니다.
회사 ABC는 모든 관리 장치에 Cato 클라이언트를 설치하고 직원에게 필요할 경우 회사 자원에 접근할 수 있도록 개인 장치에 클라이언트를 설치하도록 허용합니다. 기업의 보안 정책은 관리 장치가 항상 네트워크에 연결되어야 한다고 요구합니다.
IT 팀은 장치에 서명이 설치되었는지 확인하는 장치 상태 프로필을 생성합니다.
그런 다음 장치 상태 프로필에 맞는 장치에 대해서만 항상 연결을 요구하는 규칙을 항상 연결 정책에 작성합니다.
Always-On 정책은 정렬된 규칙 기반입니다. 정책의 규칙은 다음과 같이 사용자 또는 그룹에 적용됩니다:
- 규칙을 만났을 때, 클라이언트는 규칙에 설정된 구성을 따릅니다.
- 어떠한 규칙도 충족하지 않으면 네트워크에서 연결 해제할 수 있습니다.
이 섹션은 서명 인증서 장치 확인을 사용하여 관리 장치에만 항상 연결 정책을 적용하는 설정 흐름을 설명합니다.
-
서명 인증서를 위한 장치 확인을 사용하려면 장치를 준비합니다.
- 관리 장치에 인증서를 배포합니다. 장치 인증서 배포 및 설치에 관한 문서를 참조하십시오.
- 서명 인증서를 CMA에 업로드합니다. 원격 액세스를 위한 장치 인증서 관리에 대한 정보를 참조하십시오.
- 설치된 인증서를 기반으로 관리 장치를 식별하기 위해 인증서에 대한 장치 확인을 구성하고 이를 장치 프로필에 할당합니다. 장치 상태 프로필 및 장치 검사 생성에 대한 정보를 참조하십시오.
-
항상 연결 정책에서 관리 장치가 항상 네트워크에 연결되도록 요구하는 새 규칙을 만듭니다:
- 사용자/그룹 - 관리 장치에 사용자 그룹 또는 사용자를 할당합니다.
- 장치 상태 프로필 - 2단계에서 만든 장치 프로필을 선택합니다.
- 연결됨 - 항상 연결을 선택합니다.
-
3단계에서 규칙을 복제하고 연결됨 설정을 온디맨드로 변경합니다.
- 항상 연결 정책을 게시합니다.
항상 연결 정책이 활성화된 상태에서도 사용자가 다음을 통해 인터넷에 직접 액세스할 수 있습니다:
- 일시적인 우회 방법 사용
- 온디맨드 연결 상태 규칙 생성
- 복구 모드에서의 인터넷 접근 허용
사용자가 Cato 클라우드를 일시적으로 우회하고 직접 인터넷에 접근해야 하는 상황이 있을 수 있습니다. 예를 들어, 인터넷 방화벽 규칙에 의해 차단된 웹사이트에 접근하려는 경우입니다. 각 규칙에 대해 사용자가 Cato 클라우드를 임시 우회하는 방법을 구성할 수 있습니다.
Windows v5.9 이상에서는 사용자가 Cato 클라우드를 얼마나 오래 우회할 수 있는지 구성할 수 있습니다. 이 기간 동안 인터넷 트래픽은 Cato 클라우드를 통해 흐르지 않으며, 보안이 보장되지 않습니다.
클라이언트가 일시적으로 연결 해제되면, 사용자 세부 정보와 클라이언트가 연결 해제된 시간 기간을 표시하는 이벤트가 생성됩니다. 이러한 이벤트를 보려면, 이벤트 페이지에서 하위 유형 VPN 절대 끔 우회에 대한 필터 적용합니다. 이벤트에서 우회 방법은 클라이언트를 우회하기 위해 사용된 방법을 표시합니다. 계정의 이벤트에 대한 자세한 내용은 네트워크에서 이벤트 분석을 참조하십시오.
사용자는 다음 중 하나의 방법을 사용하여 Cato 클라우드를 일시적으로 우회할 수 있습니다:
- 관리자가 제어하는 우회를 우회 코드와 함께 제공
- 사용자가 제어하는 우회
참고
참고: Windows, Android, iOS 클라이언트 및 macOS 클라이언트 v5.4 이상에서 지원됩니다
이 옵션을 사용하여 Cato 관리 애플리케이션에서 일회성 비밀번호(OTP)를 생성하여 사용자의 일시적 연결 해제를 허용할 수 있습니다. Windows 클라이언트 버전이 5.9 미만인 경우 및 다른 지원되는 운영 체제에서 클라이언트는 한 번에 최대 15분 동안 우회됩니다. 각 코드의 유효 기간은 최대 15분입니다.
또한, Google Authenticator와 같은 인증 앱을 사용하여 이 화면의 QR 코드를 스캔할 수 있습니다. 이후에는 인증 앱을 사용하여 항상 사용자를 위한 OTP를 받을 수 있습니다. 인증 앱은 30초마다 코드를 갱신하므로, 각 코드는 30초 동안만 유효합니다.
코드가 여전히 유효한 경우, 같은 우회 코드를 여러 사용자에게 사용할 수 있습니다.
이 옵션은 요청 시 사용자가 클라이언트를 일시적으로 연결 해제할 수 있게 합니다. 클라이언트에서 사용자는 연결 해제 이유를 자유 텍스트 필드에 제공해야 합니다. 그리고 나서 즉시 인터넷에 직접 접속할 수 있습니다. 이 이유는 이벤트에 포함됩니다.
클라이언트가 연결 해제 기간에서 설정한 시간 동안 연결 해제를 허용합니다.
소매 회사의 엔지니어링 팀은 웹사이트가 100% 가용성을 유지하여 온라인 주문을 받을 수 있도록 보장할 책임이 있습니다. 이는 문제 해결을 위한 온라인 SaaS 응용 프로그램에 항상 액세스해야 함을 의미합니다. 근무 외 시간이나 원격 근무 시에도 응용 프로그램에 대한 액세스가 필요합니다. 회사 보안 정책은 모든 인터넷 액세스가 안전해야 한다고 명시되어 있습니다.
보안 정책을 준수하기 위해 IT는 항상 연결을 활성화합니다. 예방 조치로서, 잠재적 장애 발생 시 클라이언트가 Cato Cloud에 연결되지 못하는 상황을 피하기 위해, IT 팀은 엔지니어들에게 즉시 인터넷에 접근할 수 있는 방법을 제공합니다. IT 팀은 엔지니어 사용자 그룹을 위한 항상 연결 정책에서 규칙을 생성하여, 요청 시 사용자가 일시적으로 연결을 해제할 수 있도록 구성했습니다.
엔지니어가 밤중에 웹사이트 문제를 해결해야 할 경우 클라이언트에 문제가 있어도 IT 팀은 엔지니어가 문제 해결 SaaS 응용 프로그램에 액세스할 수 있을 것이라고 확신할 수 있습니다. 엔지니어는 Cato Cloud를 우회하여 웹사이트 문제 해결을 시작하기 위해 IT의 승인을 기다릴 필요가 없습니다.
정기적으로 인터넷에 직접 액세스해야 하는 사용자가 있는 경우, 요청 시 연결 상태가 있는 규칙에 추가할 수 있습니다. 이 구성은 사용자가 클라이언트를 필요한 만큼 연결하거나 해제할 수 있도록 합니다.
Cato Cloud에 연결할 수 없는 시나리오에서 클라이언트의 동작을 선택할 수도 있습니다. 클라이언트를 다음과 같이 설정할 수 있습니다:
- 인터넷 허용(기본 구성): 사용자들은 인터넷에 접속할 수 있습니다. 트래픽은 Cato Cloud를 통과하지 않으며, Cato Cloud에 연결될 때까지 안전하지 않습니다.
- 인터넷 액세스 제한: 사용자는 Cato Cloud 및 보안 인터넷에 연결이 확립될 때까지 인터넷에 접속할 수 없습니다.
회사 ABC는 모든 사용자에게 Always-On을 활성화했습니다. 그들의 최고 경영진은 자주 여행하며, 공항과 호텔에서 인터넷에 연결합니다. 때때로 클라이언트는 포털을 감지하지 못하며, 암호화된 터널을 설정할 수 없습니다. 경영진이 여행할 때 계속 일할 수 있도록 하기 위해, IT 팀은 경영진 사용자 그룹에 대해 항상 연결 규칙에서 복구 모드를 구성하여 인터넷 액세스를 허용합니다.
클라이언트가 포털을 감지하지 못하더라도, Always-On 정책에 따라 클라이언트가 인터넷에 액세스할 수 있으므로 최고 경영진 사용자는 작업을 계속할 수 있습니다. 클라이언트가 터널을 다시 설정하자마자, 트래픽은 예상대로 Cato Cloud를 통해 흐릅니다.
Always-On 정책을 활성화하기 전에, 항상 켜짐이 환경 내 다른 기능 및 클라이언트 버전과 어떻게 상호 작용하는지를 고려하십시오. 이 섹션은 Always-On 정책과 함께 SSO, 클라이언트 연결성, 디바이스 인증, 그리고 Windows 클라이언트를 사용하는 방법에 대한 권장 사항을 제공합니다.
단일 사인온 인증을 사용하는 계정의 경우, 지원되는 클라이언트를 Cato Cloud에 항상 연결 상태로 유지할 수 있습니다. 이 구성은 사용자가 SSO의 간편함과 항상 적용의 보안을 제공받을 수 있게 해줍니다. 클라이언트는 IdP 제공자에 액세스할 수 있으며, 다른 리소스에 대한 액세스는 귀하의 보안 정책에 따라 이루어집니다.
참고
참고: 클라이언트에 인증할 수 없는 사용자를 돕기 위해, Cato 클라우드를 우회하는 방법을 활성화하고 우회 이벤트를 검토할 것을 권장합니다. 그렇지 않으면 인증되지 않은 장치는 인터넷 또는 Cato Cloud에 연결할 수 없습니다.
이 섹션은 계정에서 Always-On을 SSO와 함께 구현하기 위한 모범 사례 및 권장 사항을 포함하고 있습니다.
- 계정에 대한 영향을 최소화하기 위해 소수의 사용자부터 Always-On과 SSO를 활성화하는 것부터 시작하십시오
- 조직 내 우회 코드 사용 모니터링을 위해 우회 이벤트를 검토하십시오
- 인증되지 않은 사용자가 인터넷 연결을 갖출 수 없으므로, 사용자가 인터넷에 의존하지 않고 장치에 로그인할 수 있는지 확인하십시오
- 관련 운영 체제에 대한 지원되는 최소 버전으로 모든 클라이언트를 업데이트했는지 확인하십시오. 지원되지 않는 버전의 클라이언트를 사용하는 경우 클라이언트는 재인증할 수 없으며 인터넷 트래픽이 차단됩니다.
- 타사 프록시를 사용하는 배포에서는 항상 연결 및 SSO에 대해 인-클라이언트 브라우저 인증만 지원됩니다.
귀하의 클라이언트 연결 정책과 장치 인증 설정은 사용자 장치에서 수행되는 장치 상태 및 검사를 적용합니다. 장치가 프로파일에 설정된 정책을 준수하지 못하면 사용자는 Cato 클라우드에 연결할 수 없습니다. 귀하의 클라이언트 연결 정책 및 장치 인증 설정은 항상 켜짐 정책보다 우선합니다.
IT 팀을 위해 전 세계적으로 새로운 장치를 사용자에게 제공하거나 배송할 때, 즉시 사용 가능한 항상 켜짐 보안을 제공합니다.
Windows 클라이언트 v5.6부터, 사용자가 Cato에 인증하기 전에 인터넷 보안을 강화할 수 있습니다. 항상 켜짐 정책은 즉시 사용 가능하며, 사용자가 Cato 계정에 인증한 후에만 인터넷 액세스가 허용됩니다.
이 기능을 활성화하려면 Windows 장치에 Always-On을 활성화하는 레지스트리 키를 추가하십시오. 사용자가 클라이언트에 추가되면 Cato 관리 애플리케이션에 정의된 항상 켜짐 설정이 해당 사용자에게 적용됩니다.
Pre login 기능을 사용하는 계정의 경우, 사용자가 클라이언트에 추가되기 전에는 장치가 허용된 대상에만 접근할 수 있습니다. 모든 다른 인터넷 접속은 차단됩니다.
시작 시 클라이언트를 실행하는 레지스트리 키의 추가를 추천합니다. 자세한 정보는 Cato 클라이언트 설치를 참조하세요.
참고
참고: 사용자가 클라이언트에 추가되기 전에 Cato 클라우드를 우회하는 것은 불가능합니다.
이 섹션에서는 항상 켜짐 정책을 생성하는 방법을 설명합니다.
항상 연결 정책을 사용하면 클라이언트가 네트워크에 계속 연결되어야 하는 사용자 또는 사용자 그룹을 정의할 수 있습니다.
항상 켜짐 정책을 생성하려면:
- 네비게이션 메뉴에서 접속 > 항상 켜짐 정책을 클릭합니다.
-
신규 버튼을 클릭합니다.
신규 규칙 패널이 열립니다.
- 이름을 입력하고 규칙 순서를 설정합니다.
- 사용자 & 그룹, 플랫폼을 정의합니다.
-
항상 적용을 위한 연결 상태 및 우회 모드 정의
- 사용자가 변경을 시도할 때 어떤 조치를 취할지 결정합니다. 기본적으로 변경이 허용됩니다. 사용자가 변경을 하지 못하도록 하려면 활성화를 선택하십시오. 자세한 내용은 Cato 클라이언트 변조 방지 작업을 참조하십시오.
-
항상 적용 및 변조 방지가 비활성화되는 기간을 정의합니다.
각 우회는 코드가 입력되면 시작됩니다. 예를 들어, 기간은 60분으로 설정되어 있습니다. 변조 방지 우회 코드가 12:30에 입력되면 타이머가 시작되고, 변조 방지는 13:30에 다시 활성화됩니다. 항상 켜짐 우회 코드가 13:00에 입력되면 14:00에 만료됩니다.
- 복구 모드에서 클라이언트가 작동하는 방식을 구성합니다.
- 적용을 클릭합니다.
- 항상 켜짐 정책의 각 규칙에 대해 2-5 단계를 반복합니다.
-
항상 켜짐 정책을 활성화한 후 저장을 클릭합니다.
슬라이더
는 규칙이 활성화되었을 때 녹색이며 규칙이 비활성화되었을 때 회색입니다.
참고
참고: 지원 시작:
- 모든 Windows 클라이언트
- Linux 클라이언트 v5.2 이상
클라이언트를 부팅 단계에서 자동으로 연결되도록 구성하여 강력한 보안과 함께 사용자가 온디맨드 연결 상태를 제공할 수 있습니다. 연결이 완료되면 사용자는 필요할 때마다 클라이언트를 연결 해제하고 다시 연결할 수 있습니다. 사용자가 항상-접속된 상태인 경우, 이 구성 없이 클라이언트가 자동으로 연결됩니다.
-
Cato 관리 애플리케이션에서 부팅 시 연결 또는 시작 시 최소화 옵션이 선택된 경우:
- 이 설정은 환경 내 모든 클라이언트에 적용됩니다.
- 사용자는 클라이언트에서 이 설정을 비활성화할 수 없습니다.
-
Cato 관리 애플리케이션에서 부팅 시 연결 또는 시작 시 최소화 옵션이 해제된 경우:
- 사용자는 클라이언트의 설정 탭에서 이러한 기능을 활성화할 수 있습니다.
참고: 부팅 시 연결이 활성화된 경우, 사용자가 Windows 세션에서 로그아웃하면 클라이언트가 Cato 클라우드에 연결됩니다. 이는 사용자가 다시 로그인할 수 있도록 도메인 컨트롤러에 액세스할 수 있도록 하기 위한 것입니다.
클라이언트의 기본 설정을 구성하려면:
- 탐색 메뉴에서 접속 > 항상-접속 정책을 클릭합니다.
- 설정 탭을 엽니다.
-
부팅 시 연결 섹션에서 Windows 클라이언트에 대한 기본 설정을 정의합니다.
- 저장을 클릭합니다.
참고
참고: 지원 대상:
- Windows 클라이언트 v5.8 이상
- Linux 클라이언트 v5.2 이상
사용자가 Cato 소켓 또는 IPsec 사이트 뒤에서 연결하면 클라이언트는 자동으로 오피스 모드로 해당 사이트에 연결됩니다. 오피스 모드에 대한 자세한 내용은 오피스 모드 구성을 참조하십시오.
항상-접속이 활성화된 사용자가 오피스 모드에서 Cato에 인증해야 하는지 여부를 구성할 수 있습니다. 이 구성은 보안 정책에 영향을 미치지 않습니다.
우회 코드는 사용자가 Cato Cloud에서 일시적으로 연결을 끊을 수 있도록 클라이언트에 입력하는 6자리 코드입니다.
변조 방지 우회 코드는 사용자가 임시로 Cato 클라이언트의 작동을 변경하거나 관련 레지스트리 항목을 변경하는 데 사용되는 6자리 코드입니다.
Cato 관리 애플리케이션에서 구성된 우회 모드에 따라 사용자는 우회 코드를 사용하거나 우회 사유를 입력하여 클라이언트를 일시적으로 연결 해제할 수 있습니다.
우회 코드는 관리자가 생성하여 사용자에게 발송하며 클라이언트에 입력됩니다. 유효한 코드가 입력되면 클라이언트는 암호화된 터널을 일시적으로 우회하여 사용자가 인터넷에 접근할 수 있습니다. Windows 클라이언트 v5.9 미만, macOS, iOS, 그리고 Android 클라이언트는 최대 15분 동안 임시 연결 해제될 수 있습니다. Windows 클라이언트 v5.9 이상은 연결 해제 시간에 구성된 시간 동안 연결 해제가 가능합니다.
SSO 또는 MFA로 인증하는 사용자는 다시 연결할 때 Cato 클라이언트에 다시 인증해야 합니다.
참고
참고: 항상 적용 구성의 우회는 변조 방지 보호에 영향을 미치지 않습니다.
우회 코드를 입력하려면:
- Windows 클라이언트에서 사용자는 시스템 트레이의 클라이언트 아이콘을 마우스 오른쪽 버튼으로 클릭하고 일시적 우회를 선택할 수 있습니다.
- macOS 클라이언트에서 사용자는 시스템 트레이의 클라이언트 아이콘을 오른쪽 클릭하고 임시 연결 해제를 선택할 수 있습니다.
- iOS 클라이언트의 홈 화면에서 항상 활성 우회를 선택하십시오.
- Android 클라이언트에서는, 사이드 메뉴에서 임시 우회를 선택하십시오.
참고
참고: 지원 시작:
- Windows 클라이언트 v5.9 이상
- macOS 클라이언트 v5.5 이상
사용자는 사유를 제공한 후 클라이언트를 임시로 연결 해제할 수 있습니다. 사용자가 이유를 입력한 후, 클라이언트는 일시적으로 Cato Cloud를 우회하고 사용자는 인터넷에 액세스할 수 있습니다. 클라이언트는 Cato 관리 애플리케이션에서 설정된 시간 동안 연결이 해제됩니다.
SSO 또는 MFA로 인증하는 사용자는 클라이언트를 다시 연결할 때 다시 인증해야 합니다.
우회 사유를 입력하려면:
- Windows 클라이언트에서는, 사용자가 시스템 트레이에서 클라이언트 아이콘을 오른쪽 클릭하고 임시 우회를 선택할 수 있습니다.
- 클라이언트를 임시로 연결 해제하는 사유를 제공하십시오.
-
Enter를 클릭하십시오.
클라이언트가 연결 해제됩니다.
참고
참고: Windows 클라이언트 v5.14 이상에서 지원됩니다.
사용자는 관리자에게서 코드를 받은 후 클라이언트의 변조 방지 보호를 임시로 비활성화할 수 있습니다.
참고
참고: 변조 방지 보호 비활성화는 항상 적용 구성에 영향을 미치지 않습니다.
개별 사용자에 대한 Always-On 정책을 사용자 지정할 수 있습니다.
댓글 0개
댓글을 남기려면 로그인하세요.