Empresas modernas operam em ambientes onde usuários, dispositivos e aplicações estão altamente distribuídos, e as decisões de Acesso à Nuvem devem se adaptar continuamente às condições de risco em alteração. A autenticação estática em um ponto no tempo é insuficiente para proteger contra ameaças em evolução, como comprometimento de credenciais, configuração incorreta do dispositivo e riscos impulsionados pelo usuário.
O acesso adaptável é uma abordagem arquitetônica que permite decisões dinâmicas de Acesso à Nuvem baseadas em sinais contextuais avaliados continuamente, incluindo:
- Pontuação de Risco do Usuário
- Postura do Dispositivo
- Confiança de Autenticação
- Rede e Localização
- Contexto de Aplicação e Recurso
- Integridade da Sessão
- Contexto de Ameaça
Dentro da plataforma Cato SASE, as capacidades de acesso adaptativo são implementadas em planos de controle múltiplos e forçadas no PoP. Acesso adaptativo é aplicado em uma variedade de Métodos de Acesso, garantindo que os controles baseados em contexto sejam consistentemente impostos pelas Políticas de Implantação da Cato. Isso permite a aplicação consistente, ciente de identidade e de contexto para conectividade, Acesso à Nuvem de aplicações, e tráfego de rede, sem depender de suposições de confiança estáticas.
Ao combinar a avaliação contínua de sinais com a aplicação de políticas, as organizações podem reduzir a exposição a usuários e dispositivos comprometidos, impor um acesso de menor privilégio e acionar autenticação de elevação quando uma garantia maior é necessária. Ao mesmo tempo, os administradores ganham visibilidade no risco do usuário, conformidade do dispositivo e estado da sessão, permitindo decisões informadas operacionais e de segurança.
As organizações precisam de acesso adaptativo para substituir a confiança estática por decisões contínuas e conscientes do contexto em toda a extensão de usuários, dispositivos e sessões. As condições de confiança podem mudar após o login, e o controle de acesso deve reagir a essas mudanças.
Autenticação inicial e localização da rede são insuficientes contra roubo de credenciais, pontos finais não gerenciados e rápidas mudanças nas condições de ameaça.
Cato implementa acesso adaptativo através de quatro pilares:
- Construa Confiança com Sinais Fortes: O acesso adaptativo depende de sinais que são atuais, confiáveis e continuamente atualizados. Esses sinais criam a base para as decisões de política durante o estabelecimento da sessão e ao longo do ciclo de vida da sessão.
- Confiança Unificada através da Agregação de Sinais: Os sinais são correlacionados no PoP para refletir o estado atual da sessão. Os atributos de identidade, resultados de postura e indicadores comportamentais são avaliados juntos para cada solicitação.
- Forçar pela Confiança em Planos de Controle: As políticas são aplicadas inline no PoP, através de conectividade, acesso a aplicações e tráfego de rede. O mesmo contexto é aplicado consistentemente à Conectividade do Cliente, ZTNA e decisões de firewall.
- Visibilidade da Confiança para Análise e Resposta: O Aplicativo de Gerenciamento da Cato (CMA) fornece visibilidade centralizada em decisões de política e os sinais por trás delas. Um único console de gerenciamento ajuda os administradores a investigar sessões, validar resultados e aplicar mudanças de política consistentes em planos de controle.
Essa abordagem permite uma aplicação contínua, consciente do risco, alinhada com Zero Trust, sem depender de suposições estáticas de confiança.
Capacidades de acesso adaptável na plataforma Cato suportam cenários onde decisões de acesso devem mudar quando condições de usuário, dispositivo ou sessão mudam.
-
Acesso com Base em Risco para Aplicações Privadas: Controla o acesso a aplicações internas com base no estado atual da sessão do usuário e dispositivo.
- Exemplo: Um usuário tem permissão para acessar uma aplicação interna de RH quando o dispositivo passa nas verificações de postura, e a pontuação de risco do usuário permanece dentro da faixa aceitável. O mesmo usuário pode ser bloqueado dessa aplicação no meio da sessão se a pontuação de risco aumentar. Por exemplo, ao baixar malware ou conectar a um domínio de comando-e-controle conhecido.
-
Controle de Conectividade Consciente de Dispositivo: Assegure que apenas dispositivos seguros e em conformidade possam estabelecer conectividade com a Cato Cloud.
- Exemplo: Um laptop corporativo gerenciado com o agente de proteção de endpoint necessário tem permissão para se conectar com a Cato Cloud. O mesmo dispositivo pode ser bloqueado se a proteção de endpoint não estiver rodando a versão mais nova.
-
Autenticação Step-up para Acesso Sensível: Requerer reautenticação quando usuários acessam recursos sensíveis ou quando a garantia da sessão é insuficiente.
- Exemplo: Um usuário tem permissão para navegar por recursos internos padrão com a sessão existente. Quando o usuário tenta abrir uma aplicação financeira sensível, a política pode exigir reautenticação antes que o acesso seja permitido.
-
Acesso Remoto Controlado para Usuários: Defina quais usuários têm permissão para conectividade remota e restrinja outros ao acesso baseado em escritório.
- Exemplo: Funcionários em grupos de usuários aprovados têm permissão para acesso remoto a aplicações privadas através do Cliente Cato. Usuários restritos ao acesso apenas ao escritório são bloqueados quando tentam se conectar remotamente.
-
Visibilidade Operacional para Administradores: Forneça visibilidade das sessões de usuário e decisões de acesso para suportar solução de problemas e validação de política.
- Exemplo: Os administradores podem revisar por que um usuário foi permitido, bloqueado ou desafiado ao examinar as atividades do usuário e eventos no CMA. Por exemplo, a página do Diretório de Usuários permite que você filtre usuários por nível de risco (como Alto ou Crítico), e identifique rapidamente usuários que requerem investigação.
Decisões de acesso adaptativo são baseadas em sinais contextuais que descrevem o estado atual do usuário, dispositivo e sessão. Esses sinais são avaliados continuamente e utilizados pelas políticas do CMA para determinar se o acesso deve ser permitido, restrito ou desafiado.
-
Pontuação de Risco do Usuário: Representa o risco de segurança atual da sessão do usuário. A pontuação é continuamente atualizada com base em atividade comportamental e detecções de segurança, incluindo:
- Indicadores de sistemas que já foram comprometidos
- Indicadores de tentativas bloqueadas que podem levar à infecção
- Violações de política ou atividades arriscadas que podem potencialmente levar a um comprometimento
-
Postura do Dispositivo: Representa o estado de segurança do endpoint. No CMA, a postura é definida usando Perfis de Postura de Dispositivo e Verificações de Dispositivo. O Cliente Cato impõe essas verificações no dispositivo antes e durante o acesso, e o estado da postura resultante pode ser referenciado em várias políticas que exigem conformidade do dispositivo.
- Verificações de dispositivo avaliam condições específicas no endpoint (por exemplo, status de proteção de endpoint, versão do SO, certificados ou configuração).
- Perfis de Postura de Dispositivo agrupam uma ou mais verificações em perfis reutilizáveis que representam uma base de segurança necessária.
- Conformidade Externa de MDM: Estende a postura do dispositivo com sinais de sistemas externos como Microsoft Intune. Esses sinais indicam se o dispositivo está em conformidade com políticas organizacionais, como criptografia ou nível de patch.
- Confiança na Autenticação: Representa a frescura e validade do token de autenticação do usuário. É derivado do token Cato e indica se a sessão ainda atende ao nível de garantia de autenticação necessário.
Esses sinais são avaliados no PoP e fornecidos ao motor de políticas, permitindo decisões de acesso contínuas e conscientes do risco ao longo do ciclo de vida da sessão.
A aplicação do acesso adaptativo é realizada no PoP da Cato, onde identidade, dispositivo e sinais de sessão são avaliados tanto no estabelecimento quanto na atividade contínua da sessão.
- Autenticação do usuário e estabelecimento da sessão: Um usuário conecta ao PoP da Cato mais próximo, que encaminha a solicitação de autenticação ao provedor de identidade configurado (IdP). Após a autenticação bem-sucedida, o PoP estabelece a sessão e recupera os atributos de identidade e grupo do usuário.
- Avaliação inicial de política: Quando a sessão é estabelecida, o PoP avalia os sinais contextuais relevantes contra as políticas configuradas. Isso estabelece a decisão inicial de acesso para a sessão do usuário e determina se o usuário está autorizado a conectar.
- Acessando uma aplicação: Quando o usuário tenta acessar uma aplicação, o PoP avalia as condições de política relevantes para essa solicitação.
- Autenticação Step-up: Se a política exigir autenticação mais forte, o PoP redireciona o usuário para o IdP configurado. Após a reautenticação bem-sucedida, a sessão continua com o nível de garantia necessário.
- Aplicação contínua: Após o acesso ser concedido, o PoP continua a avaliar as condições da sessão. Se o risco aumentar, a postura falhar ou a garantia de autenticação não for mais suficiente, a política pode bloquear o acesso ou exigir que o usuário autentique novamente.
O acesso adaptativo na plataforma Cato é implementado através de políticas múltiplas do CMA que aplicam decisões de acesso em conectividade, acesso a aplicações e tráfego de rede. Cada política avalia sinais contextuais e aplica controles em diferentes estágios da sessão do usuário.
A Política de Conectividade do Cliente controla se um dispositivo do usuário está autorizado a estabelecer conexão com a Cato Cloud. Esta política aplica os princípios de Confiança Zero no ponto de conexão, validando o dispositivo e a sessão antes que o acesso seja concedido.
Os administradores usam esta política para impedir dispositivos não gerenciados ou não conformes de se conectar, e para impor requisitos de autenticação antes que uma sessão seja estabelecida.
O Acesso Privado da Cato permite que você forneça acesso seguro e baseado em identidade a aplicações privadas sem estender sua rede aos usuários. Ao invés de conceder conectividade em nível de rede como uma VPN tradicional, você aplica acesso específico de aplicação com menor privilégio com base na identidade do usuário e contexto.
A Política de Acesso Privado controla o acesso às aplicações privadas e impõe acesso de menor privilégio apenas aos usuários para conectar às aplicações privadas específicas que eles usam.
A Política Sempre Ativa permite que os administradores definam quais usuários e dispositivos devem permanecer continuamente conectados à Cato Cloud para que seu tráfego seja sempre inspecionado e controlado por políticas de segurança. Esta é uma política granular que suporta diferentes requisitos de conectividade para diferentes populações de usuários. Por exemplo, pode-se exigir que funcionários ou dispositivos gerenciados permaneçam conectados, enquanto contratantes ou dispositivos não gerenciados podem ter permissão para conectividade sob demanda ou acesso direto à Internet.
Sempre Ativo permite que as organizações alinhem a aplicação da conectividade com risco e confiança. Cenários de alta confiança ou alto risco podem exigir inspeção contínua, enquanto cenários de menor risco podem permitir conectividade mais flexível sem comprometer a postura geral de segurança.
A tabela a seguir resume quais sinais contextuais são suportados por cada política Cato discutida nas seções anteriores. Cada linha representa uma política, e cada coluna representa um sinal contextual. Esta tabela fornece uma referência rápida de onde sinais de acesso adaptativo são aplicados em toda a plataforma Cato.
| Nome da Política | Pontuação de Risco do Usuário | Postura do Dispositivo | Conformidade Externa | Confiança na Autenticação |
|---|---|---|---|---|
| Política de Conectividade do Cliente | Não | Sim | Sim | Sim |
| Política de Acesso Privado (ZTNA) | Sim | Sim | Sim | Não |
| Política Sempre Ativa | Não | Sim | Sim | Não |
| Política de Firewall de Internet | Sim | Sim | Sim | Sim |
| Política de Firewall WAN | Sim | Sim | Sim | Não |
| Controle de Aplicativos & Política de DLP | Não | Sim | Sim | Não |
0 comentário
Por favor, entre para comentar.