Conscientização do Usuário para Hosts Compartilhados

Este tópico fornece informações sobre como configurar a conscientização do usuário para hosts compartilhados.

Visão geral

Universal ZTNA (UZTNA) oferece acesso de menor privilégio baseado em identidade a aplicações privadas, SaaS e recursos da Internet através de sua plataforma global SASE. Aplica segmentação consistente de usuário para aplicação, prevenção de ameaças em tempo real e verificações de postura de dispositivo, permitindo acesso seguro para usuários em ambientes móveis, filiais e em nuvem.

User_Awareness_-__Shared_Hosts.png

Com conscientização do usuário para hosts compartilhados, a Cato permite que você identifique e rastreie vários usuários conectando-se a partir de um único dispositivo, como um Windows Terminal Server, ambiente Citrix ou Azure Virtual Desktop (AVD). Os usuários conectam-se ao dispositivo compartilhado a partir de seus dispositivos e podem acessar recursos através do dispositivo compartilhado de acordo com a política da sua organização.

A conscientização do usuário fornece visibilidade crítica nas atividades do usuário, permitindo a aplicação mais granular de políticas, aprimoramento de auditoria de segurança e melhoria na detecção de ameaças. Certifica-se de que os controles de acesso e monitoramento permaneçam eficazes, mesmo em ambientes onde vários usuários compartilham o mesmo host.

Nota

Nota:

  • Cato recomenda que você instale o Cliente Cato para todos os seus usuários e obtenha os benefícios de Consciência do Usuário, Postura do Dispositivo e capacidades de Monitoramento de Experiência.
  • Este recurso requer o Cliente Windows v5.15 ou posterior.

Fluxo de Informações

Os usuários conectam-se de seus dispositivos ao host compartilhado localizado atrás de um site (Socket, vSocket, etc), por exemplo, via uma sessão RDP. Cada conexão de usuário ao host compartilhado é sinalizada com uma chave específica para aquele usuário. Quando o tráfego é enviado do host compartilhado para a Cato Cloud através do túnel GRE, a chave é combinada com a identidade do usuário, e o tráfego é inspecionado e monitorado com base nas políticas aplicadas àquele usuário ou grupo de usuários. Por exemplo, usuários de P&D podem ter acesso a um repositório, mas não ao Salesforce, enquanto engenheiros de vendas terão acesso ao Salesforce, mas não ao repositório.

Por padrão, o tráfego é enviado usando o protocolo IP GRE padrão 47. Para redes onde enviar tráfego GRE não é possível (por exemplo, Microsoft Azure) ou não é desejável devido a restrições de segurança ou outras, é possível encapsular o tráfego GRE dentro de UDP. Isso pode ser ativado usando a Chave de Registro, como descrito abaixo. Uma vez habilitado, todo o tráfego é encapsulado em UDP e enviado pela porta 4754.

Nota

Nota: O tráfego é enviado para o sistema Cato a partir dos Clientes, que por padrão é 10.254.254.0/24, para terminar o túnel GRE. Portanto, este destino deve ser roteado para um Socket dentro da rede que hospeda os Clientes.

Para tráfego que você não deseja enviar para a Cato Cloud, por exemplo, para um servidor DNS, você pode configurar exceções para que ele não passe pelo túnel GRE. Isso permite que você mantenha o tráfego local na LAN para que ele não precise sair para o PoP.

Configurando Conscientização do Usuário para Hosts Compartilhados

Para habilitar a conscientização do usuário para hosts compartilhados, você precisa fazer o seguinte:

  1. Configure qual tráfego é enviado através do host compartilhado e qual não é.
  2. Instale o Cliente Cato nos anfitriões compartilhados.

Configurando o Tráfego para os Hosts Compartilhados

Você pode configurar quais hosts compartilhados podem se comunicar com a Cato Cloud via túnel GRE, e o tráfego a excluir. Por exemplo, o tráfego da internet deve ser enviado via túnel GRE, mas o tráfego DNS deve ser excluído.

shared-host-newRule.png

Configurar o tráfego para os anfitriões compartilhados.

  1. Navegue para Acesso à Nuvem > Consciência do Usuário e clique na aba Anfitriões Compartilhados .
  2. Clique em Novo > Nova Regra.

    1. No campo Endereço IP, selecione o host ou CIDR para o qual aplicar a regra.

      Intervalos de IP não são suportados, por exemplo, 10.10.10.5-10.10.10.10.

    2. Definir Exceções de Roteamento para tráfego que não deve ser enviado através do túnel GRE, por exemplo, para um servidor DNS ou Active Directory.
  3. Clique em Salvar e Publicar para propagar as mudanças.

Instale o Cliente Cato nos Hosts Compartilhados

Você precisa instalar o Cliente Cato nos hosts compartilhados para habilitar o túnel GRE.

shared-hosts.png

Os seguintes sistemas operacionais são suportados:

  • Windows Server 2019 e superior.
  • Para Azure Virtual Desktop, Windows 10 ou Windows 11.

Para instalar o Cliente Cato.

  1. Siga as instruções para instalar o Cliente Cato.

  2. Instale via o comando de linha e execute:

    .\<setup_file.exe>/props="CATO_INSTALL_UATS=1"

  3. Para Azure Virtual Desktop Windows 10 ou Windows 11, após a instalação ser concluída:

    1. No Registro do Windows, navegue até HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN.
    2. Crie o DWORD GREOverUDP e defina o valor como 1.
  4. No mesmo local do Registro do Windows, para verificar se a instalação foi bem-sucedida, certifique-se de que o registro GREMode foi criado e o valor está definido como 1.

Esse artigo foi útil?

Usuários que acharam isso útil: 6 de 7

0 comentário