Este artigo explica como você pode usar a Política de Conectividade do Cliente para garantir que os dispositivos só possam se conectar à sua rede quando estiverem em conformidade com os requisitos de segurança organizacional.
Parte da implementação da política de segurança corporativa de Acesso à Rede Zero Trust (ZTNA) e da redução da superfície de ataque é verificar a postura dos dispositivos antes de se conectarem à rede. A Política de Conectividade do Cliente permite criar as regras que definem os requisitos no dispositivo. Após um usuário SDP autenticar-se com sucesso, o Cliente Cato executa verificações para verificar as condições relevantes no dispositivo. Por exemplo, o Cliente verifica se o software anti-malware está atualizado, caso contrário, ele não se conecta à sua rede.
O Cliente pode identificar as condições do dispositivo, por exemplo:
- Perfil de Postura do Dispositivo: Isso verifica a postura de segurança do dispositivo para as Verificações de Dispositivo suportadas, veja abaixo Definindo Requisitos de Postura de Dispositivo.
- Plataforma: Isso identifica o sistema operacional do dispositivo. Por exemplo, você pode exigir que apenas dispositivos Windows sejam permitidos conectar.
- Países: Isso identifica a localização física do dispositivo. Por exemplo, defina uma lista de países que o Cliente não se conecta à rede se o dispositivo estiver localizado naquele país (com base na geolocalização por IP).
- Nível de Confiança: Isso descreve o quão confiável é a autenticação do usuário. Para mais informações, veja Remote Internet Security with One Time Authentication.
A Política de Acesso do Cliente também ajuda os administradores a manter o nível de acesso correto quando o contexto do usuário ou do dispositivo muda durante uma sessão. Se o Cliente não corresponder mais aos requisitos para acesso completo à rede, a política pode limitar a sessão para acesso seguro à Internet ou bloquear a conexão, dependendo da regra configurada. Isso ajuda a reduzir a exposição causada por dispositivos que se tornam não conformes, mantendo o acesso disponível quando a conexão ainda atende aos requisitos de segurança da organização.
A Política de Conectividade do Cliente controla o acesso para usuários remotos, para mais informações sobre o controle de acesso para usuários atrás de um site, veja Adicionando Condições de Dispositivo às Regras de Firewall.
A empresa ABC está localizada no Reino Unido e tem uma combinação de funcionários corporativos e contratantes de terceiros. Os funcionários corporativos usam dispositivos Windows, mas os contratantes de terceiros usam seus próprios dispositivos. Para proteger a rede, a empresa deseja garantir que apenas dispositivos com as seguintes condições possam se conectar:
- O dispositivo está localizado no Reino Unido
- Dispositivos usados por funcionários corporativos têm o certificado de dispositivo obrigatório
- Dispositivos usados por contratados terceirizados têm software anti-malware, criptografia de disco e software de gerenciamento de patches instalados no dispositivo
Para garantir que os dispositivos que se conectam à sua rede estejam em conformidade com seus requisitos de segurança, a empresa cria as seguintes regras de Permissão na Política de Conectividade do Cliente:
-
Regra 1 - Funcionários Corporativos: Em um dispositivo usado por um funcionário corporativo, o Cliente verifica que o dispositivo:
- É um dispositivo Windows
- Tem um token de autenticação válido
- Tem o certificado obrigatório instalado
- Está localizado no Reino Unido
-
Regra 2 - Contratantes de terceiros: Em um dispositivo usado por um contratante de terceiros, o Cliente verifica que o dispositivo:
- Tem software Anti-Malware, criptografia de disco e software de gerenciamento de patches instalados
- Tem um token de autenticação válido
- Está localizado no Reino Unido
O Cliente só se conecta à rede se identificar que o dispositivo está em conformidade com as condições apropriadas para o funcionário corporativo ou contratante de terceiros.
A Política de Conectividade do Cliente é uma base de regras ordenada que verifica sequencialmente se as condições do dispositivo correspondem às condições necessárias para o usuário SDP. Uma vez que um dispositivo corresponde a uma regra, ele pode se conectar à sua rede. Regras listadas após a regra correspondente não são aplicadas ao dispositivo. Se um dispositivo não corresponder a nenhuma regra, ele é bloqueado pela regra implícita final da política (QUALQUER QUALQUER bloqueio).
Para mais informações sobre como definir regras na Política de Conectividade do Cliente, veja Configurando a Política de Acesso do Cliente.
Para impor requisitos de conformidade para usuários SDP, primeiro decida os requisitos de postura do dispositivo para segmentos de usuário em sua organização. Você pode então usar a Política de Conectividade do Cliente para implementar esses requisitos.
Cada regra da Política de Conectividade do Cliente pode conter um Perfil de Postura do Dispositivo. Isso permite que você defina requisitos de postura detalhados do dispositivo (Verificações de Dispositivo) para dispositivos em sua organização. Quando você inclui várias verificações em um único perfil, elas têm uma relação E. Por exemplo, você pode criar um Perfil de Postura do Dispositivo que contém verificações de Anti-Malware, Firewall e Criptografia de Disco.
Você pode criar diferentes verificações por sistema operacional e verificar a presença de fornecedores e versões específicos instalados em um dispositivo. Isso permite que o Cliente realize verificações granuladas de dispositivos para validar a postura.
As Verificações de Dispositivo são suportadas para Clientes Windows e macOS. Para mais informações sobre os requisitos para cada verificação, consulte Criando Perfis de Postura de Dispositivo e Verificações de Dispositivo.
Você pode impedir que o Cliente se conecte à sua rede com base no sistema operacional do dispositivo e/ou na localização do dispositivo. Cada regra da Política de Conectividade do Cliente contém opções para incluir Plataformas e Países. Se o Cliente identificar que o dispositivo está executando um sistema operacional não compatível ou localizado em uma localização não compatível, ele não se conecta à sua rede.
0 comentário
Por favor, entre para comentar.