TLS 검사 장치 조건 추가하기

이 문서에서는 장치의 실제 상태를 기반으로 세분화된 검사를 위해 TLS 검사 정책에 장치 조건을 추가하는 방법에 대해 다룹니다.

TLS 검사 장치 조건 개요

TLS 검사 정책의 장치 설정은 SDP 사용자의 실제 장치를 기반으로 트래픽을 검사하는 범위를 확장할 수 있는 기능을 제공합니다. TLS 검사 규칙이 적용되는 장치 요구 사항을 지정할 수 있습니다. 예시:

  • 지리적 위치를 기반으로 한 장치에 대해서만 트래픽 검사

  • 특정 운영 체제를 기반으로 장치가 TLS 검사를 우회할 수 있도록 허용

기본적으로 장치 설정은 모두 모든으로 설정되어 TLS 검사 정책에 영향을 미치지 않으며, 자동으로 모든 트래픽과 일치합니다.

필수 조건

  • 장치 검사는 Windows 및 macOS 클라이언트를 지원합니다. 각 검사에 대한 요구 사항에 대한 자세한 내용은 장치 상태 프로필 및 장치 검사 생성을 참조하세요.

  • 규칙의 장치 설정에 장치 프로필을 추가하기 전에:

    • 장치 프로필을 생성하고 구성해야 합니다

  • 알려진 제한 사항 - 장치 프로필을 사용하는 규칙은 사용자(소켓 뒤에 위치해 있는 경우에도)가 Cato 클라이언트로 연결될 때만 적용됩니다

장치 설정 구성하기

TLS 검사 규칙에 추가할 수 있는 장치 설정 조건은 다음과 같습니다:

  • 플랫폼 - 장치 운영 체제 (OS)

  • 국가 - 장치의 물리적 위치를 기반으로 한 연결 소스 국가 (IP 주소의 지리적 위치에 따라)

  • 프로필 - 장치 프로필 (자원 > 장치 자세에서 구성)

  • 연결 출처 - 장치의 지리적 위치 (원격 또는 사이트 뒤)

규칙에 여러 조건을 구성할 때, 그들은 그리고 관계를 가지며, 규칙은 트래픽이 모든 항목에서 정의된 기준을 충족해야만 일치합니다.

조건 내에서 (단일 셀), 항목은 또는 관계를 가집니다. 예를 들어, 플랫폼 조건이 WindowsmacOS인 규칙은 모든 Windows 또는 macOS 장치와 일치합니다.

이는 트래픽이 모든 장치 조건을 충족해야 하는 규칙의 예입니다: Windows 장치, 인도에 위치, 샘플 장치 프로필의 요구 사항을 충족.

FW_Device_Conditions.png

플랫폼 요구 사항 추가하기

TLS 검사 규칙의 플랫폼 조건을 통해 규칙과 일치하는 장치 OS를 정의할 수 있습니다. 예를 들어, 특정 네트워크 세그먼트의 경우 Windows, macOS 또는 Linux 장치의 트래픽 검사만 허용합니다.

국가 요구 사항 추가하기

국가 조건을 사용하면 장치의 IP 지리적 위치를 기반으로 규칙과 일치하는 트래픽의 소스를 정의할 수 있습니다. 예를 들어, 지사 사이트의 경우 iOS 및 Android 모바일 기기가 TLS 검사를 우회할 수 있도록 허용합니다.

장치 프로필 요구 사항 추가하기

프로필 조건을 사용하여 장치 프로필의 요구 사항을 충족하는 장치만 일치하도록 규칙을 제한할 수 있습니다. 이 조건은 장치가 포스처 요구 사항을 충족하는지 확인하는 장치 자세 기능 기반입니다.

참고

참고: 장치 모드(또는 터널 내 터널)를 사용하여 연결된 장치의 경우, TLS 검사 엔진은 장치 상태 프로필을 장치에 적용하지 않습니다. 이는 검사 규칙의 경우, 장치 상태 프로필의 요구 사항을 충족하지 않아도 장치 모드를 사용하는 장치는 검사되지 않음을 의미합니다.

지원되지 않는 Cato 클라이언트와 장치 프로필 사용

TLS 검사 엔진은 지원되는 클라이언트에 대해 클라이언트가 장치 프로필과 일치하는지 여부만 확인할 수 있습니다. 각 장치 검사마다 규칙의 다른 요구 사항을 충족하는 지원되지 않는 클라이언트의 동작을 정의할 수 있습니다:

  • 장치 검사 건너뛰기 - 지원되지 않는 클라이언트에 TLS 검사 작업 적용

  • 장치 검사 적용 - 클라이언트가 규칙과 일치할 때만 작업이 적용됩니다

다음 표는 연결이 규칙의 다른 설정과 모두 일치할 때 지원되지 않는 클라이언트에 대한 동작을 설명합니다. 동작은 장치 검사에서 지원되지 않는 SDP 클라이언트 버전에 대한 이 검사 건너뛰기 옵션이 활성화되었는지 아니면 비활성화되었는지에 따라 달라집니다.

지원되지 않는 클라이언트

TLS 검사 규칙 액션

클라이언트 동작

검사 건너뛰기 (활성화됨)

검사

지원되지 않는 클라이언트는 자동으로 장치 검사를 건너뛰고 트래픽이 검사됩니다

우회

지원되지 않는 클라이언트는 자동으로 장치 검사를 건너뛰고 TLS 검사를 우회합니다

검사 적용 (비활성화됨)

검사

지원되지 않는 클라이언트가 장치 검사에 일치하지 못하면, TLS 검사 엔진은 이 규칙을 건너뜁니다 (트래픽을 검사하지 않음)

우회

지원되지 않는 클라이언트가 장치 검사에 일치하지 못하면, TLS 검사 엔진은 이 규칙을 건너뜁니다 (검사를 우회하지 않음)

연결 출처 요구사항 추가

연결 출처 조건을 통해 규칙에 맞는 지리적 장치를 정의할 수 있습니다. 예를 들어, 사이트 뒤의 민감한 정보에 대한 접근을 허용하되, 원격 근무 시에는 허용하지 않습니다.

규칙에서 장치 조건 구성

새로운 또는 기존 TLS 검사 규칙에서 장치 설정을 구성할 수 있습니다.

규칙에 대한 장치 조건을 구성하려면:

  1. 네비게이션 메뉴에서 보안 > TLS 검사를 클릭하세요.

  2. 새로운 규칙을 만들려면 새로운을 클릭하거나, 기존 규칙의 장치 열에서 편집 아이콘 edit.png을 클릭하세요.

  3. 장치 섹션에서 이 규칙과 일치하도록 필요한 플랫폼, 국가, 장치 상태 프로필연결 출처를 구성하세요.

  4. 적용을 클릭하세요.

    해당 규칙에 대한 장치 조건이 구성되었습니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개