Segurança do Dispositivo de Confiança Zero com Cato

O que é Autenticação de Dispositivo?

A autenticação de dispositivo é o processo de verificar a identidade e postura de segurança de um dispositivo antes de permitir que ele acesse recursos de rede. A autenticação de dispositivo é implementada usando certificados digitais no Cato. É parte da estrutura de segurança de confiança zero para garantir que apenas dispositivos confiáveis possam acessar a rede e recursos específicos da rede.

Por que a necessidade de Autenticação de Dispositivo e por que é importante?

O princípio central da segurança de confiança zero é que nenhum dispositivo ou usuário deve ser automaticamente confiável. A confiança zero assume que cada solicitação de acesso, seja de dentro ou fora da rede, potencialmente vem de um ator malicioso ou dispositivo comprometido.

A autenticação de dispositivo garante que apenas dispositivos autorizados possam acessar recursos da rede. Ao verificar a identidade e a postura de segurança de cada dispositivo antes de conceder acesso, a confiança zero limita o risco de uma possível violação causada por um dispositivo comprometido ou não autorizado.

Como a Cato Implementa Autenticação de Dispositivo?

A Cato implementa autenticação de dispositivo usando a política de Conectividade do Cliente para impor validação baseada em certificado. Isso garante que apenas dispositivos com um certificado válido e confiável podem acessar a rede.

Quando um dispositivo tenta se conectar à rede (via um PoP da Cato) e a Verificação do Certificado do Dispositivo está configurada em uma regra de Conectividade do Cliente, o Cliente Cato verifica se um certificado válido está instalado no dispositivo. Caso contrário, o Cliente bloqueia o dispositivo de se conectar à rede.

Este é o fluxo de configuração para implementar a autenticação de dispositivo.

  1. Prepare dispositivos para usar Verificação de Dispositivo para o certificado de assinatura.

  2. Configurar uma Verificação de Dispositivo para o certificado de assinatura e atribuí-lo a um Perfil de Dispositivo. Ver Criando Perfis de Postura de Dispositivo e Verificações de Dispositivo.

  3. Crie uma regra de política de Conectividade do Cliente que permita conexões para dispositivos que têm o certificado de assinatura instalado.

    A regra final ANY ANY Block na política é aplicada a dispositivos que não têm o certificado instalado.

Como Funciona a Verificação de Certificado de Dispositivo?

A verificação de Certificado de Dispositivo é baseada em criptografia de chave assimétrica. A criptografia de chave assimétrica, também conhecida como criptografia de chave pública, é uma técnica criptográfica que utiliza um par de chaves matematicamente relacionadas para proteger informações. As duas chaves são chamadas de chave pública e chave privada. Cato não gera os certificados nem gerencia seu ciclo de vida.

Dados criptografados com a chave pública só podem ser descriptografados com a chave privada correspondente, e vice-versa. A chave pública pode ser compartilhada abertamente, enquanto a chave privada é mantida em segredo.

Este método de criptografia é seguro porque, embora a chave pública possa ser compartilhada abertamente, não pode ser usada para descriptografar mensagens que foram criptografadas com ela. Apenas a chave privada correspondente pode descriptografar a mensagem.

Autenticação_de_Dispositivo.png

  1. Carregar o certificado raiz de assinatura para o Aplicativo de Gerenciamento Cato (Acesso > Acesso do Cliente > Certificados de Assinatura). O certificado também contém a chave pública. A chave pública pode ser compartilhada abertamente.

  2. Faça o upload do certificado de dispositivo e a chave privada para o dispositivo. O dispositivo deve manter a chave privada em segredo. O Cliente Cato deve ser instalado no dispositivo. Quando o dispositivo se conecta ao PoP da Cato (Ponto de Presença), o Cliente verifica a autenticidade do certificado e checa se o certificado é válido e corresponde ao certificado de assinatura.

  3. Para verificar a autenticidade do dispositivo, a Cato envia um desafio criptografado. O desafio criptografado é uma mensagem aleatória gerada pela Cato e criptografada com a chave pública obtida do certificado raiz carregado na Cato no passo 1.

  4. O dispositivo usa sua chave privada para descriptografar o desafio criptografado e envia o desafio descriptografado para o Cato.

  5. Se o desafio descriptografado corresponder ao original, o dispositivo é autenticado e concedido acesso aos recursos definidos.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário