Este artigo explica os diferentes certificados usados pela Cato Networks e suas finalidades.
A Cato utiliza dois tipos diferentes de certificados digitais para autenticar dispositivos e inspecionar o tráfego criptografado. Cada certificado tem uma finalidade distinta e é distribuído independentemente:
-
Certificado de Inspeção TLS da Cato – Implantado em navegadores e pontos finais para permitir que a Cato decripte e inspecione o tráfego HTTPS para DLP, Anti-Malware e controle de aplicações
-
Certificado de Dispositivo do Cliente Cato – Gerado automaticamente durante a instalação do Cliente para autenticar o dispositivo e aplicar políticas de acesso Zero Trust
Esses certificados não são intercambiáveis. O certificado de Inspeção TLS permite a inspeção segura dos fluxos de tráfego, enquanto o certificado de Dispositivo do Cliente valida e identifica o próprio endpoint. Juntos, eles suportam o acesso Zero Trust e fornecem visibilidade profunda do tráfego criptografado através da rede.
O certificado de Inspeção TLS permite que a Cato atue como um intermediário confiável para o tráfego HTTPS criptografado. O Root CA padrão da Cato é instalado automaticamente quando você faz o download e instala o Cliente Cato, ou você pode fazer upload do seu próprio certificado root CA para o Aplicativo de Gerenciamento Cato (CMA). [KM1] [YL2] O certificado deve ser instalado nos dispositivos do usuário para evitar alertas do navegador quando sessões TLS são inspecionadas e reassinadas pela Cato. O certificado deve ser instalado nos dispositivos do usuário para evitar alertas do navegador quando sessões TLS são inspecionadas e reassinadas pela Cato. [KM1]Eu inverteria esses predicados para que o Root CA padrão da Cato seja mencionado primeiro (já que é de longe o caso de uso mais comum), depois mencionaria o uso de root CA personalizado/"privado" como mais um complemento [YL2]@Kiki Mitchell Isso é melhor?
A ABC Company aplica políticas de segurança rigorosas para o tráfego web, incluindo inspeção TLS para DLP e varredura Anti-Malware. Para evitar erros de navegador em dispositivos dos usuários, o administrador faz upload de um certificado root CA personalizado para o CMA e o distribui para todos os dispositivos corporativos usando MDM. Quando os usuários navegam em sites HTTPS, as sessões TLS são decriptadas, inspecionadas e recriptadas pela Cato sem disparar avisos de certificado.
O certificado de Dispositivo do Cliente é usado para autenticação baseada em certificado e deve ser instalado em cada ponto final. No Aplicativo de Gerenciamento Cato (CMA), você faz upload de um Certificado de Assinatura que a Cato usa para verificar certificados de dispositivos em toda a organização. Os certificados de dispositivos devem ser gerados por uma autoridade confiável e implantados nos pontos finais usando ferramentas como MDM ou scripts de automação. Uma vez instalados, eles permitem que a Cato autentique o dispositivo, aplique verificações de postura, implemente políticas de Conectividade do Cliente e restrinja o acesso apenas a pontos finais confiáveis.
A ABC Company quer garantir que apenas laptops corporativos possam se conectar à rede usando o Cliente Cato. Quando um usuário instala o Cliente, ele gera automaticamente um certificado de dispositivo ligado àquele endpoint e conta. O administrador ativa a validação de certificado de dispositivo na Política de Conectividade do Cliente. Se um usuário copiar o Cliente para um dispositivo pessoal, o certificado estará ausente, e o dispositivo será bloqueado de se conectar – mesmo que o usuário tenha credenciais válidas.
0 comentário
Artigo fechado para comentários.