Segurança Remota da Internet com Autenticação de uma Vez

Este artigo explica como usar os recursos do Cato para fornecer aos usuários Segurança de Internet Remota com Autenticação de Uma Vez e acesso privado seguro sob demanda.

Visão geral

Cato pode fornecer aos usuários acesso à Internet segura após autenticação de uma vez. Isto significa que os usuários sempre têm conexão e proteção à Internet com interação mínima com o Cliente. O acesso à sua rede privada (WAN) pode ser fornecido sob demanda.

Isso é configurado ao definir o nível de autenticação que os usuários exigem para acesso seguro à Internet ou à sua rede privada (WAN). Por exemplo, você pode sempre permitir que os usuários tenham acesso seguro à Internet após sua autenticação inicial, mas só permitir o acesso à sua rede privada (WAN) após uma nova autenticação do usuário.

Além disso, você pode controlar a experiência de reautenticação do usuário. Um prompt pode ser exibido aos usuários antes ou depois que o token de autenticação expira.

Configurações para Acesso Seguro à Internet ou Rede Privada (WAN)

A Segurança de Internet Remota com Autenticação de Uma Vez é habilitada ao definir os Níveis de Confiança do usuário e o nível de acesso (Ação) nas regras da Política de Conectividade do Cliente. O Nível de Confiança descreve quão confiável é a autenticação do usuário. A Ação define se o usuário pode acessar a Internet e a rede privada (WAN) ou apenas a Internet.

Compreendendo os Níveis de Confiança

O Nível de Confiança descreve quão confiável é a autenticação do usuário. Os Níveis de Confiança são:

Alto: O usuário está autenticado no Cliente e o token Cato é válido.
Baixo: O usuário se autenticou no Cliente, mas o token Cato expirou
Qualquer: O usuário autenticou-se no Cliente, e o token Cato é válido ou expirado.

Os níveis de confiança são aplicados aos usuários após a autenticação com qualquer método de autenticação. O token Cato nunca expira para usuários que autenticam com um Nome de Usuário e Senha ou Códigos de Registro. Esses usuários sempre têm um nível de confiança Alto.

Compreendendo Ações

A Ação define o nível de acesso fornecido ao usuário. As Ações são:

Permitir WAN e Internet: O usuário possui acesso seguro à Internet e pode acessar a rede privada (WAN)

Nota: Esta opção fornece permissão para um usuário acessar a rede privada (WAN). O acesso de um usuário à rede privada (WAN) depende de regras no Firewall WAN.
Permitir apenas Internet: O usuário possui apenas acesso seguro à Internet e não pode acessar a rede privada (WAN)

Sistemas operacionais e versões de clientes não suportados que acionam esta ação serão bloqueados.

Nota: Esta opção fornece permissão para um usuário acessar a Internet. O acesso de um usuário à Internet depende de regras no Firewall de Internet.

Esta ação também inclui a opção de Encerrar sessões WAN ativas. Esta opção se aplica quando um usuário tinha acesso WAN permitido por uma regra, mas suas circunstâncias mudam e agora ele corresponde apenas a uma regra que permite o acesso à Internet. Nesse caso, você pode escolher se deseja encerrar as sessões WAN existentes do usuário.

Por exemplo, um usuário recebe acesso à WAN com base no seu nível de confiança. Se essa condição mudar, como quando o token expirar, o usuário não terá mais permissão para acessar a WAN. Esta configuração determina se as sessões WAN atuais serão desconectadas.
Bloquear WAN e Internet: O usuário não tem acesso à Internet e WAN

Sessões WAN existentes são sempre encerradas uma vez que o usuário encontra uma regra com esta ação.

Pré-requisitos

Cliente Windows v5.9 e superior, ou Cliente macOS v5.10 (e superior)
Os usuários devem possuir uma licença SDP para ter acesso seguro à internet
Os usuários devem se autenticar e ter um token válido pelo menos uma vez para que os níveis de confiança sejam aplicados

Casos de Uso

Caso de Uso - Acesso seguro à Internet Após Autenticação Uma Vez

Uma editora tem representantes de vendas que trabalham remotamente e raramente precisam de acesso à WAN da empresa.

A empresa cria estas regras para o grupo de usuários representantes de vendas:

Em sua política Sempre Ativo, asseguram que o Cliente se conecte com qualquer pessoa que trabalhe remotamente
Na Política de Conectividade do Cliente, eles permitem que usuários com baixo nível de confiança acessem a Internet

Quando os representantes de vendas chegam a um prospecto, eles são conectados de forma segura à Internet sem qualquer interação com o Cliente Cato.

Caso de Uso - Reautenticação Sempre Obrigatória

Um banco possui requisitos rigorosos de segurança na Internet e precisa garantir sempre que os usuários acessando remotamente a Internet e a rede privada (WAN) estejam autenticados.

A empresa cria estas regras para todos os usuários remotos:

Na Política Sempre Ativa, para garantir que o Cliente sempre se conecte
Na Política de Conectividade do Cliente, eles fornecem acesso à Internet e à rede privada (WAN) para usuários com um Alto Nível de Confiança.

Quando um usuário se conecta remotamente, ele deve autenticar-se antes de poder acessar a Internet ou a rede privada (WAN).

Configurando Segurança Remota da Internet com Autenticação de uma Vez

Siga estas etapas para ativar a Segurança Remota da Internet com Autenticação de uma Vez:

Defina uma regra na sua política Sempre Ativa para que o Cliente sempre se conecte ao Cato Cloud, protegendo usuários e dispositivos.
Defina uma regra na sua política de Conectividade do Cliente que define o nível de acesso baseado no Nível de Confiança do usuário.
Configure como os usuários são solicitados a se reautenticar para proporcionar a melhor experiência para seus usuários.

Etapa 1: Aplicar a Política Sempre Ativa para Sempre Proteger Usuários Remotos

A Política Sempre Ativa melhora a segurança da Internet definindo regras para quando os usuários ou grupos de usuários sempre se conectam ao Cato Cloud. Isso garante que todo o tráfego passe por um PoP e os motores de segurança da Cato inspecionem o tráfego para garantir que ele esteja em conformidade com suas políticas de segurança.

Para mais informações sobre como criar uma regra na sua política Sempre Ativa, consulte Proteger Usuários com Segurança Sempre Ativa.

Se você já tiver uma regra para os grupos de usuários relevantes na sua política Sempre Ativa, esta etapa não é necessária.

Etapa 2: Configurar Política de Conectividade do Cliente para Fornecer Acesso Baseado no Nível de Confiança

A política de Conectividade do Cliente protege sua rede garantindo que dispositivos ou usuários só se conectem quando atendem aos requisitos de segurança organizacional.

Incluir o Nível de Confiança e as Ações em uma regra da Política de Conectividade do Cliente permite que você defina o acesso disponível para os usuários e grupos de usuários com base na confiabilidade da autenticação deles.

Para mais informações sobre como gerenciar o acesso à rede na sua Política de Conectividade do Cliente, consulte Configurando a Política de Conectividade do Cliente.

As regras da Política de Conectividade do Cliente só podem ser aplicadas a usuários com uma Licença SDP.

Para configurar o acesso com base no Nível de Confiança:

No menu de navegação, clique em Acesso > Política de Conectividade do Cliente.
Clique em Novo. O painel Nova Regra será aberto.
Configure o escopo da regra:
1. Defina o Nível de Confiança
2. Defina a Ação
Clique em Aplicar e depois clique em Salvar.

Nota

Nota: Como melhor prática, crie uma regra final para qualquer Usuário ou Grupo com um Nível de Confiança de Qualquer e a ação Permitir Internet. Isso fornece a qualquer usuário que não tenha correspondido a uma regra de prioridade mais alta acesso seguro à Internet.

Etapa 3: Definir a Experiência do Usuário para Reautenticação

Você pode escolher quando o Cliente solicitará aos usuários que se reautentiquem. Por exemplo:

Se um usuário apenas precisa de acesso seguro à Internet e não precisa de acesso regular à sua rede privada (WAN), ele não precisa ser perturbado por solicitações de reautenticação.
Se um usuário sempre precisa acessar sua rede privada (WAN), ele pode receber solicitações de reautenticação antes e depois de o token de autenticação expirar, para que seu acesso não seja bloqueado.

Se você configurar Qualquer ou Baixo nível de confiança com a ação Permitir WAN e Internet, o usuário não é solicitado a se reautenticar após o token expirar e é concedido acesso total com um token expirado. Para mais informações sobre os métodos de autenticação disponíveis, consulte Configurando a Política de Autenticação para Clientes Cato.

Para definir quando os usuários são solicitados a se reautenticar:

No menu de navegação, clique em Acesso > Autenticação de Usuário.
Clique na guia Configurações Adicionais.
Escolha quando os usuários são solicitados a se reautenticar.

Nota: Você pode escolher uma, ambas ou nenhuma das opções. Se você deixar ambas as opções desmarcadas, o usuário não receberá nenhuma solicitação para se reautenticar.
Clique em Novo.

Monitoramento do Nível de Confiança do Usuário e Acesso à Rede

Você pode monitorar o nível de confiança dos usuários a qualquer momento na página Acesso > Usuários. O nível de confiança atual de um usuário é exibido na aba Atividade de Usuários SDPO (a coluna pode estar oculta).

Também é criado um evento sempre que a Política de Acesso do Cliente permite que um usuário se conecte. Para mais informações, veja Configurando a Política de Conectividade do Cliente.

Compreendendo a Experiência do Usuário

O Cliente exibe o nível de acesso permitido ao usuário com base na confiabilidade de sua autenticação. Dependendo do nível de acesso permitido, Acesso Privado Seguro e Acesso Seguro à Internet são listados com um cheque ou ponto de exclamação.


Se o Cliente tem acesso tanto à rede privada (WAN) quanto à Internet	Se o Cliente tem acesso apenas à Internet:

Configurações Avançadas

Habilitar Segurança da Internet Remota com Autenticação de Uma Vez tem impactos em outros recursos.

Configuração de DNS

O DNS interno para sua conta é ignorado para usuários que possuem acesso apenas à Internet.

Se um usuário possui apenas acesso à Internet, o DNS da Internet Cato (10.254.254.1) é usado como DNS primário e o DNS secundário é 8.8.8.8.

Nota: As Regras de Encaminhamento DNS ainda são aplicadas por padrão. Esse comportamento pode ser alterado por usuário ou por conta. Para mais informações, por favor, contate Suporte.

Modo Escritório

Você pode configurar usuários com Sempre Ativo habilitado para exigir autenticação na Cato quando o Cliente estiver conectado no Modo Escritório. Para mais informações, veja Protegendo Usuários com Segurança Sempre Ativa.

Um usuário configurado em uma regra de Política de Acesso do Cliente que permite acesso à Internet com Nível de Confiança Baixo (token de Autenticação da Cato expirado) não precisa autenticar no Modo Escritório. A configuração da Política de Acesso do Cliente sobrepõe a configuração Sempre Ativo no Modo Escritório.

Pré Login

As configurações de Pré Login não são impactadas por configurações para Segurança da Internet Remota com Autenticação de Uma Vez. Antes dos usuários se autenticarem, o tráfego é roteado da seguinte forma:

Clientes com Sempre Ativo habilitado só podem se conectar a recursos definidos em Destinos Permitidos, o tráfego da Internet é bloqueado.
Clientes sem Sempre Ativo habilitado podem se conectar a recursos definidos em Destinos Permitidos e acessar a Internet não segura.

Para mais informações sobre Pré Login, veja Usando Windows Pré Login e o Cliente SDP.

Detalhes Técnicos

A Segurança da Internet Remota com Autenticação de Uma Vez é habilitada usando configurações na Política Sempre Ativa e a Política de Acesso do Cliente,

Após os usuários se autenticarem e o token de autenticação ser válido, todo o tráfego passa pelo PoP da Cato e é inspecionado pelos motores de segurança da Cato de acordo com suas políticas de segurança.

Após o token de autenticação expirar, você pode permitir que o tráfego da Internet continue passando pelo PoP da Cato. Isso proporciona acesso contínuo à Internet seguro, mesmo que o usuário não esteja autenticado. Para acesso privado seguro, os usuários ainda devem se re-autenticar para obter acesso de acordo com sua política de Firewall WAN.