Configurando a Política de Conectividade do Cliente

Este artigo discute como configurar regras para a Política de Conectividade do Cliente como parte da implementação e aplicação do Acesso à Rede com Confiança Zero (ZTNA) em sua conta Cato.

Para mais informações, veja O que é a Política de Conectividade do Cliente?

Visão Geral

Use a Política de Conectividade do Cliente para aplicar os requisitos da sua política ZTNA que o Cato Client executa em dispositivos para usuários, como: Posturas e Verificações de Dispositivos, nível de confiança, sistema operacional do dispositivo e mais. Se o dispositivo não cumprir a política definida para o perfil, o usuário não pode se conectar à Nuvem Cato.

Por exemplo, você pode permitir apenas que usuários remotos acessem recursos internos quando estiverem em conformidade com as políticas de Postura do Dispositivo. Isso pode aumentar sua confiança nos dispositivos que estão conectados aos seus recursos internos.

Você também pode usar a Política de Conectividade do Cliente para fornecer aos usuários acesso remoto seguro à Internet após uma autenticação única. Para mais informações, veja Remote Internet Security with One Time Authentication.

Compreendendo Ações

A Ação define o nível de acesso fornecido ao usuário. As Ações são:

Permitir WAN e Internet: O usuário tem acesso à Internet seguro e pode acessar a rede privada (WAN)

Nota

Nota: Esta opção fornece permissão para um usuário acessar a rede privada (WAN). O acesso de um usuário à rede privada (WAN) depende das regras no Firewall WAN.
Permitir Internet: O usuário tem apenas acesso à Internet seguro e não pode acessar a rede privada (WAN)

Nota

Nota: Esta opção fornece permissão para um usuário acessar a Internet. O acesso de um usuário à Internet depende das regras no Firewall de Internet.
Bloquear: O usuário é bloqueado de acessar a Internet e WAN.

Pré-requisitos

Verificações de Dispositivo são suportadas para Clientes Windows e macOS. Para mais informações sobre os requisitos para cada verificação, consulte Criação de Perfis de Postura de Dispositivo e Verificações de Dispositivo.

Preparando para Implementar a Política de Conectividade do Cliente

O objetivo da política é confiar apenas nos dispositivos que atendem à política. Portanto, defina regras que bloqueiem todos os dispositivos não confiáveis, para que eles NÃO sejam permitidos a se conectar à rede.

Antes de habilitar a Política de Conectividade do Cliente, certifique-se de decidir qual será o comportamento para usuários com Clientes e sistemas operacionais não compatíveis. Você deseja permitir que esses usuários se conectem à sua conta? Por exemplo, usuários com Cliente Linux ou Cliente Windows v4.7 e anteriores.

Recursos da Política de Conectividade Suportados

Configurando verificações para uma variedade de fornecedores de Anti-Malware e Firewall de endpoint, para garantir que o software relevante esteja instalado e em funcionamento para permitir acesso remoto com o Cliente.
Recomendamos que você não habilite a conectividade Always-On com Verificações em Tempo Real, pois se um dispositivo não atender aos requisitos da política, o Cliente pode desconectar abruptamente da rede. Isso pode proporcionar uma má experiência para o usuário.

Você pode revisar a lista de fornecedores e versões compatíveis para Verificações em Tempo Real aqui.
A Política de Conectividade é uma política ordenada, portanto, você pode adicionar usuários a múltiplos perfis ou regras. No entanto, a primeira regra correspondente é aplicada ao usuário.

Política de Conectividade do Cliente e Política Always-On no Escritório

Esta seção discute o uso da Política de Conectividade do Cliente quando você está aplicando a Política Sempre Ativa por trás de um site e necessita que usuários remotos se autentiquem mesmo quando estiverem no escritório. A configuração Sempre Ativa Exigir autenticação no escritório força o Cliente a cumprir a Política de Conectividade do Cliente antes que os usuários possam se conectar.

Lembre-se que a Política de Conectividade do Cliente precisará permitir que esses usuários se conectem ao WAN ou à Internet, mesmo quando o dispositivo estiver localizado no escritório por trás de um site.
Se o Cliente entrar no modo de ignorar Sempre Ligado, a política de Firewall WAN e Internet para o site é aplicada ao usuário. Esta política pode ser diferente da que é aplicada quando o usuário se conecta remotamente.

Para mais informações, veja Protegendo Usuários com Segurança Sempre Ativa (EA Anti-Tampering).

Configurando a Política de Conectividade do Cliente e Configurações

Esta seção explica como criar a Política de Conectividade do Cliente e adicionar um ou mais perfis a cada regra.

Trabalhando com a Política de Conectividade do Cliente Ordenada

Se um dispositivo corresponder aos Usuários/Grupos, Plataformas, Países e ao Perfil de Postura do Dispositivo para uma regra, então a ação da regra é aplicada ao dispositivo.

Para regras com a ação Permitir, dispositivos são permitidos a se conectar à rede
Para regras com a ação Bloquear, dispositivos são bloqueados e não podem conectar-se à rede

Criando a Política de Conectividade do Cliente

A Política de Conectividade do Cliente é uma base de regras ordenada, e cada regra abrange o escopo dos usuários aos quais a regra se aplica, incluindo: geolocalização (Países) e sistema operacional do dispositivo. Quando usuários ou grupos correspondem à regra, a Nuvem Cato gerencia as conexões da seguinte forma:

Quando eles atendem aos requisitos do Perfil de Dispositivo para uma regra, é permitido que eles se conectem à sua conta.
Quando eles não atendem aos requisitos do Perfil de Dispositivo para uma regra, a Nuvem Cato continua a inspecionar a postura de acordo com as regras de prioridade inferior na política.
O dispositivo para qualquer usuário ou grupo que não corresponda a nenhuma regra é bloqueado pela regra implícita final da política (QUALQUER QUALQUER bloquear).

Para criar as regras para a Política de Acesso do Cliente:

No menu de navegação, clique em Acesso > Política de Acesso do Cliente.
Clique em Novo.

O painel Nova Regra é aberto.
Configure o escopo da regra:
1. Defina os Usuários/Grupos, Nível de Confiança, Plataformas, Intervalo de IP Público ISP e Países para esta regra.
Expandir a Seção Perfis de Postura de Dispositivo e selecionar os perfis para esta regra.

Se vários Perfis estiverem incluídos em uma única regra de Política, há um OU implícito entre eles.

Nota: Selecionar Qualquer Perfil de Postura do Dispositivo significa que nenhum Perfil de Postura do Dispositivo é incluído na regra.
Selecione a Ação para a regra. Para mais informações sobre as ações disponíveis, consulte Remote Internet Security with One Time Authentication.
Clique em Aplicar.
Repita os passos 2-5 para cada regra na Política de Acesso do Cliente.
Ative a Política de Acesso do Cliente e então clique em Salvar.

O seletor fica verde quando a regra está ativada, e cinza quando a regra está desativada.

Exemplo de Política de Acesso do Cliente

Esta seção mostra um exemplo de uma Política de Acesso do Cliente e como as regras são aplicadas.

O escopo da regra 1 são os grupos de P&D para África e Europa com dispositivos Windows.
- Quando esses usuários tentam se conectar à nuvem Cato, eles só podem se conectar se atenderem aos requisitos do perfil de P&D África ou do perfil de P&D Europa.
  
  Caso contrário, o mecanismo verifica o usuário e o dispositivo para a regra 2.
O escopo da regra 2 são os grupos de P&D para África e Europa com dispositivos Windows que NÃO atenderam aos requisitos do Perfil de Postura do Dispositivo na regra 1.
- Quando esses usuários tentam se conectar ao Cato Cloud, eles correspondem ao Perfil de Postura de Dispositivo Qualquer, e são bloqueados. Eles não podem se conectar à nuvem Cato.
- A regra 2 não se aplica a usuários que não são membros dos grupos de P&D para África e Europa, e esses usuários continuam com a regra 3.
O escopo da regra 3 é qualquer usuário ou grupo de usuários com um dispositivo Windows.

Quando os usuários tentam se conectar à nuvem Cato, eles só podem se conectar à Internet e não à WAN se atenderem aos requisitos do perfil de exemplo.

Caso contrário, os usuários são bloqueados pela regra final implícita QUALQUER QUALQUER Bloquear.

Experiência do Usuário com Postura do Dispositivo

Quando os dispositivos correspondem às Verificações de Dispositivo, eles podem se conectar ao Cato Cloud, e a experiência para o usuário é que o Cliente mostra que está Conectado. Esta é a mesma experiência do usuário de quando não há política de Postura do Dispositivo para a conta.

Quando um dispositivo não corresponde a uma Verificação de Dispositivo, o Cliente não se conecta ao Cato Cloud, e o Cliente mostra uma mensagem de erro para o usuário. Se um dispositivo falhar em uma verificação periódica após o Cliente estar conectado, o Cliente se desconecta, e a mesma mensagem de erro é exibida.

Este é um exemplo da mensagem de erro:

Clique em Detalhes para mostrar os requisitos específicos que o dispositivo não atende. Um evento também é gerado mostrando os mesmos detalhes.

User Experience with Unsupported Client Versions

Quando você cria uma política de Conectividade do Cliente para um SO, recomendamos fortemente que você certifique-se de que todos os Clientes instalados em todos os dispositivos estejam atualizados para a versão mínima do Cliente suportada. Para regras que não permitem acesso para versões mais antigas (não suportadas) do Cliente, esta é a experiência do usuário final:

Windows SO - nenhuma mensagem é exibida para o usuário, e o Cliente tenta continuamente conectar-se ao túnel criptografado
macOS, iOS, Android e Linux - os usuários veem uma mensagem dizendo que este dispositivo está bloqueado da rede (por exemplo, conectar a partir deste SO é proibido)

Entendendo Eventos para a Política de Acesso do Cliente

O Aplicativo de Gerenciamento Cato gera dois tipos de eventos relacionados à Política de Acesso do Cliente:

Sempre que usuários ou Grupos de Usuários cumprem os requisitos de uma regra de Política de Conectividade do Cliente, e são permitidos se conectar à rede.
Sempre que Usuários ou grupos de Usuários são bloqueados de se conectar à rede porque não atendem aos requisitos da Política de Acesso do Cliente.

A tabela a seguir explica alguns dos Campos do Evento de uma Ação Permitir:

Campo	Explicação
Perfil de Postura do Dispositivo	O nome do Perfil de Postura de Dispositivo que o dispositivo cumpre.
Regra	O Nome da Regra da Política de Acesso do Cliente que permitiu a conexão do dispositivo.
Método de Autenticação	O Método de Autenticação usado pelo usuário para Autenticar no Cliente.

A tabela a seguir explica os diferentes Eventos de Conectividade com a Ação Bloquear e o Motivo da Conexão ter sido Bloqueada.

Subtipo de Evento	Motivo do Bloqueio	Descrição da Mensagem do Evento
Política de Acesso do Cliente	Dispositivo falhou ao atender a Verificação de Dispositivo	Mostra os Detalhes do Anti-Malware ou do Firewall Instalado no Dispositivo, e o que é Obrigatório para a Verificação de Dispositivo.
Política de Conectividade do Cliente	Cliente Não Suportado	O dispositivo está se conectando usando um Cliente SO ou versão que não é suportada, e a regra correspondente não permite que um Cliente não suportado se conecte.
Política de Conectividade do Cliente	Dispositivo falhou ao corresponder a qualquer regra	O dispositivo não correspondeu ao Escopo de nenhuma Regra na Política de Acesso do Cliente. Portanto, a Conexão foi Bloqueada pela Regra Implícita Final.

DevicePostureSupported_AM.txt70 kB