장치 상태 프로필 및 장치 검사를 생성

이 문서에서는 보안 요구 사항을 충족하는 장치만 네트워크에 연결되도록 장치 상태 프로필 및 장치 검사를 만드는 방법에 대해 설명합니다．

개요

장치 상태 프로필 및 장치 검사를 통해 원격 사용자가 네트워크에 연결되기 전에 준수 요구 사항을 강제할 수 있습니다． 클라이언트 연결 정책 및 인터넷 및 WAN 방화벽에서 이를 사용하여 특정 장치 요구 사항을 정의할 수 있습니다．

예를 들어, 특정 안티멀웨어 공급업체, 제품 및 버전에 대한 장치 검사를 생성할 수 있습니다． 클라이언트는 네트워크에 연결하기 전에 이 소프트웨어가 장치에 설치되어 있는지 확인합니다． 클라이언트는 이 소프트웨어가 장치에 설치되어 있다고 인식할 때만 네트워크에 연결합니다. 클라이언트 연결 흐름에 대한 자세한 내용은 Cato 클라이언트 연결 흐름 이해하기를 참조하십시오.

다양한 장치 검사를 구성할 수 있습니다． 사용 가능한 장치 검사 목록은 지원되는 장치 검사 섹션을 확인하고 각 검사에 대한 추가 정보는 특정 장치 검사 및 기능 활용 섹션을 참조하세요.

장치 검사는 여러 검사를 포함할 수 있는 장치 프로필에 추가할 수 있습니다． 디바이스 프로필은 클라이언트 연결 정책에 추가되어 어떤 디바이스가 네트워크에 연결이 허용되는지 결정할 수 있습니다.

장치 프로필은 인터넷 및 WAN 방화벽에서도 사용되어 최종 사용자의 실제 장치 기반의 조건부 액세스를 포함하는 규칙을 생성할 수 있습니다． 방화벽 정책에서 장치 검사를 사용하는 방법에 대한 자세한 내용은 방화벽 규칙에 장치 조건 추가를 참조하십시오. 각 장치 상태 프로필을 준수한 장치의 수는 원격 사용자 대시보드에서 모니터 가능합니다．

장치 검사 효과성을 개선하는 방법에 대한 자세한 정보는 클라이언트 연결 정책 - 개선된 상태 검사에서 확인하십시오.

모범 사례: 클라이언트가 장치 상태를 지속적으로 검사하도록 고급 상태 설정을 활성화하는 것을 권장합니다. 자세한 정보는 클라이언트 연결 정책 - 개선된 상태 검사를 참조하십시오.

소켓 사이트 뒤 장치 검사

참고

참고：지원되는 버전:

Windows 클라이언트 v5.7
macOS 클라이언트 v5.8
Linux 클라이언트 v5.3

장치 상태 프로필은 소켓 뒤에 있는 네트워크에 연결된 장치에 적용됩니다． 이렇게 하면 장치의 물리적 위치에 관계없이 동일한 장치 상태 프로필을 적용할 수 있습니다． 예를 들어, 영업 담당자가 사무실에서 이틀 그리고 원격으로 삼일 근무할 수 있습니다． Cato에 연결하는 언제나 그들의 장치에 장치 상태 프로필이 적용됩니다．

지원되는 디바이스 체크

장치 검사의 최소 버전 클라이언트 요구 사항은 다음과 같습니다． 각 장치 검사에 대한 세부사항은 특정 장치 검사 및 기능 작업하기에서 확인하십시오.

장치 검사	Windows	macOS	Linux	iOS	Android
안티멀웨어	5.2	5.2	5.1
방화벽	5.4	5.2	5.1
디스크 암호화	5.5	5.6
패치 관리	5.5	5.2	5.2
장치 인증서	5.5	5.4	5.1	5.3	5.0.1.115
DLP	5.9	5.4.3	5.2
Cato 클라이언트 버전	5.0	5.0	5.0
실행 중인 프로세스	5.11	5.7
레지스트리 키	5.11
속성 목록 (plist)		5.7
사무실의 사용자를 위한 장치 검사 적용	5.7	5.8	5.3

An empty box indicates the Device Check is not supported on the Operating System.

알려진 제한사항

장치 검사를 만든 후, 새 검사를 장치 프로필에 포함시키기 위해 페이지를 새로 고침해야 합니다.
In an office, if the periodic check is set to 0, the Client checks the Device Posture every 10 minutes
- 원격 사용자의 경우, 주기적 검사가 0으로 설정되면 클라이언트가 네트워크에 연결할 때만 장치 상태를 검사합니다.

디바이스 체크 사용 준비

Each Device Check can include these settings:

하나의 장치 검사 유형 (예: 안티멀웨어 또는 방화벽)
벤더, 제품 및 버전 (실행 중인 프로세스, 레지스트리 키 및 속성 목록과 관련없는 모든 검사에 해당)
- 모든 버전, 특정 버전 또는 최소 버전을 선택할 수 있습니다 (보다 큼)
  
  참고: 방화벽 장치 검사에서 Apple의 macOS 내장 방화벽을 선택하면, 해당 버전 번호는 macOS의 버전 번호를 의미합니다
- 안티멀웨어, 방화벽, 패치 관리 및 DLP 장치 상태 검사의 경우, 지원되는 벤더 또는 제품에 대해 일반 검사를 생성할 수 있습니다. 예를 들어, 지원되는 모든 안티멀웨어 솔루션이 설치된 장치에 대한 접근을 허용하도록 검사를 생성할 수 있습니다. 지원되는 벤더 및 제품 목록은 새 장치 검사 패널의 벤더 섹션에서 드롭다운 목록을 확인하십시오.

디바이스 체크 설정

Device Checks define the criteria a device must meet to connect to the network. After creating a Check, add it to a Device Profile to enforce the posture requirements.

장치 검사 구성 방법:

네비게이션 메뉴에서 자원 > 장치 상태를 선택하십시오.
장치 검사 탭을 선택하십시오.
Click New. The New Device Check panel opens.
장치 검사의 설정을 구성하십시오.
적용을 클릭한 다음 저장을 클릭하십시오.

디바이스 프로파일 설정

After creating a Device Check, you can add it to a Device Profile to be included in rules in the Client Connectivity Policy or firewall policy to enforce the posture requirements.

장치 프로필 구성 방법:

네비게이션 메뉴에서 자원 > 장치 상태를 선택하십시오.
장치 상태 프로필 탭을 클릭하십시오.
Click New.

The New Device Profile panel opens.
장치 프로필의 설정을 구성하고 필요한 장치 검사를 추가하십시오 (이전 섹션에서 생성된).
적용을 클릭한 다음 저장을 클릭하십시오.

다수의 체크가 있는 프로파일 생성

여러 검사를 포함한 장치 프로필을 생성할 때, 이들 사이에는 AND 관계가 있습니다. 이는 장치가 모든 장치 검사의 요구 사항을 충족해야 장치에 규칙 액션을 적용할 수 있음을 의미합니다．

다음 예는 이러한 검사들이 포함된 샘플 장치 프로필을 보여줍니다:

패치 관리 - 샘플 패치 MGMT
디스크 암호화 - 샘플 디스크 암호화

특정 디바이스 체크 및 기능 사용

특정 장치 검사와 기능에 대한 중요한 정보는 아래 섹션에 설명되어 있습니다．

디바이스 인증서 체크 사용

계정에 정의된 엔드 유저 장치에 설치된 인증서를 대상으로 장치 검사를 생성할 수 있습니다. 검사는 장치에 사용자 인증서 키 쌍이 설치되어 있으며 계정과 연관된 인증 기관 중 하나에 의해 서명 및 발급되었음을 확인합니다. 자세 확인이 인증서를 감지하려면 로컬 머신 개인 인증서 저장소에 결합된 키 쌍 사용자 인증서로 설치되어야 합니다.

장치 상태에는 RSA 인증서만 유효합니다.

디스크 암호화 체크 사용

암호화된 하나 이상의 드라이브 경로를 정의할 수 있습니다 (전체 루트 경로가 암호화됨, 예: C:\)． 소프트웨어 기반 암호화만 지원되며, 하드웨어 기반 암호화는 지원되지 않습니다．

여러 파티션이 있는 장치의 경우, 어떤 파티션이 암호화되어 있는지 지정할 수 있습니다． 장치에 대해 여러 드라이브 경로를 정의한 경우, 검사는 모든 경로가 암호화되어 있는지 확인합니다．

Cato 클라이언트 버전 체크 사용

최종 사용자 장치에 설치된 클라이언트 버전에 대해 장치 검사를 생성할 수 있습니다．

정확한 클라이언트 버전을 허용하려면 Equals 연산자를 사용하십시오
특정 클라이언트 버전을 허용하려면 Equals or higher 연산자를 사용하십시오.

실행 중인 프로세스 체크 사용

실행 중인 프로세스 검사는 Windows 및 macOS 장치에서 지원됩니다.

Windows 디바이스에서 실행 중인 프로세스 체크

디바이스 검사를 생성하여 프로세스가 디바이스에서 실행 중인지 확인하고, 지정된 인증서 ID로 서명되었는지 검증할 수 있습니다. 이 검사를 구성하려면 프로세스 이름 또는 프로세스 전체 경로를 포함시킬 수 있으며, 서명자 인증서 지문을 선택적으로 포함할 수 있습니다.

프로세스의 속성에서 서명 인증서 지문을 식별할 수 있습니다． 예를 들어, 프로세스 CatoClient.exe의 서명 인증서 지문은 81d821c152fa98db1c950b87d435122e5a0b451d입니다．

서명 인증서 지문을 식별하는 방법:

프로세스를 오른쪽 클릭하고 속성을 선택하십시오.
디지털 서명 탭에서 필요한 인증서를 선택하고 세부 정보를 클릭합니다．

디지털 서명 세부 정보 창이 표시됩니다．
인증서 보기를 클릭하십시오.
세부 정보 탭에서 지문을 클릭하십시오．

서명 인증서 지문이 표시됩니다．

참고: 프로세스 이름과 프로세스 경로는 대/소문자를 구분하지 않습니다．

macOS 디바이스에서 실행 중인 프로세스 체크

디바이스 검사를 생성하여 프로세스가 디바이스에서 실행 중인지 확인하고, 지정된 팀 ID로 서명되었는지 검증할 수 있습니다. 팀 ID를 식별하려면 터미널에서 전체 프로세스 경로에 이어 codesign 명령을 실행합니다． 팀 ID가 반환됩니다． 예를 들어 프로세스 /Applications/CatoClient.app/Contents/MacOS/CatoClient의 경우 팀 ID는 CKGSB8CH43입니다：

프로세스 이름에는 유니코드 문자를 포함할 수 있으며 대/소문자를 구분합니다．

macOS 디바이스의 프로세스 체크에 대한 알려진 제한사항

애플리케이션 검사는 지원되지 않으며 구성에 전체 프로세스 경로를 포함시켜야 합니다.

레지스트리 키 체크 사용

레지스트리 키에 대한 검사를 생성하려면 다음을 지정해야 합니다：

전체 레지스트리 키 경로
값 이름 (기본 값 또는 특정 값을 확인할 수 있습니다)
값 데이터 (모든 값 또는 특정 값을 확인할 수 있습니다)

참고

참고: 레지스트리 키 또는 값 이름에 대한 비ASCII 문자는 지원되지 않습니다．

모든 데이터 유형이 지원됩니다． 다중 문자열 레지스트리 키에서는 수직 바 기호 (| )로 줄을 구분합니다. 이진 값 또는 이진 값 유형의 데이터 형식은 처음 16바이트의 HEX 표현입니다. 예를 들어, 0102030405060708090A0B0C0D0E0F10.

값 이름 및 값 데이터를 식별하려면 레지스트리 편집기에서 확인하고 있는 레지스트리 키를 두 번 클릭하십시오. 아래 예에서는 키 값 이름이 start_minimized이고 키 값 데이터는 0입니다.

속성 리스트 체크 사용

To create a check for a Property List file (plist) you need to specify the full file path of the plist to check for. You can configure the Check to verify that:

특정 키가 존재하는 plist에서 모든 값을 선택합니다.
특정 키 및 값이 plist에서 존재하는 경우 특정을 선택합니다.

To identify the key name and value within a plist, open the file with a text editor. In the example below, the key name is Label and the value is com.catonetworks.mac.CatoClient.helper.

지원되는 속성 리스트 데이터 유형

These plist data types are supported:

문자열
정수
These nested data types:
- 문자열
- 정수

속성 리스트 체크의 알려진 제한사항

경로 이름에는 UTF-8 문자만 포함 가능합니다.
사용자 폴더에 위치한 plist 파일은 지원되지 않습니다.

실시간 보호 사용

In the Criteria section, you can also choose to enable Real time protection, and a connected device is continuously verified that it matches the Device Check.

지원되지 않는 Cato 클라이언트 사용

Sometimes you need to accommodate Clients in your organization that currently don't support Device Posture, and allow these Clients the access the network. When you configure a Device Check, the Criteria section lets you choose the behavior for Clients that don't support Device Posture.

When an unsupported Client matches the settings for a rule except for the profile, these are the behavior options:

장치 검사를 건너뛰고 지원되지 않는 클라이언트가 네트워크에 연결하도록 허용하십시오.
장치 검사의 요구 사항을 충족할 수 없으므로 지원되지 않는 클라이언트를 차단하십시오.

We recommend that you minimize the scope and impact of Device Checks that allow unsupported Clients in your organization. The fewer unsupported Clients that are allowed, the stronger the Client Connectivity Policy is.

클라이언트별 지원되는 Opswat 버전

Cato 클라이언트는 다음 OPSWAT 버전을 사용합니다:

Windows 클라이언트

Windows 클라이언트 v5.17은 OPSWAT v4.3.4761을 사용합니다.
Windows 클라이언트 v5.16은 OPSWAT v4.3.4582을 사용합니다.
Windows 클라이언트 v5.15은 OPSWAT v4.3.4548을 사용합니다.
Windows 클라이언트 v5.14.5은 OPSWAT v4.3.4373을 사용합니다.
Windows 클라이언트 v5.14은 OPSWAT v4.3.4487을 사용합니다.
Windows 클라이언트 v5.13은 OPSWAT v4.3.4373을 사용합니다.
Windows 클라이언트 v5.12은 OPSWAT v4.3.4195을 사용합니다.
Windows 클라이언트 v5.11은 OPSWAT v4.3.3896을 사용합니다.

macOS 클라이언트

macOS 클라이언트 v5.11은 OPSWAT v4.3.4222을 사용합니다.
macOS 클라이언트 v5.10은 OPSWAT v4.3.4086을 사용합니다.
macOS 클라이언트 v5.9은 OPSWAT v4.3.4025을 사용합니다.
macOS 클라이언트 v5.8.5은 OPSWAT v4.3.3952을 사용합니다.
macOS 클라이언트 v5.8.0은 OPSWAT v4.3.3952을 사용합니다.
macOS 클라이언트 v5.7은 OPSWAT v4.3.3479을 사용합니다.
macOS 클라이언트 v5.6은 OPSWAT v4.3.3479을 사용합니다.

Linux 클라이언트

Linux 클라이언트 v5.5은 OPSWAT v4.3.3700을 사용합니다.
Linux 클라이언트 v5.4은 OPSWAT v4.3.3558을 사용합니다.
Linux 클라이언트 v5.3은 OPSWAT v4.3.3509을 사용합니다.
Linux 클라이언트 v5.2은 OPSWAT v4.3.2690을 사용합니다.
Linux 클라이언트 v5.1은 OPSWAT v4.3.2690을 사용합니다.