Configurando a Política de Conectividade do Cliente

Este artigo discute como configurar regras para a Política de Conectividade do Cliente como parte da implementação e imposição do Acesso à Rede com Confiança Zero (ZTNA) em sua conta Cato.

Para mais informações, veja O que é a Política de Acesso do Cliente?.

Visão geral

Use a Política de Conectividade do Cliente para aplicar os requisitos de sua política ZTNA que o Cliente Cato realiza em dispositivos para usuários, como: Posturas de Dispositivo e Verificações, nível de confiança, sistema operacional do dispositivo e mais. Se o dispositivo não estiver em conformidade com a política definida para o perfil, o usuário não consegue se conectar à Cato Cloud.

Por exemplo, você pode permitir que somente usuários remotos acessem recursos internos quando estiverem em conformidade com as políticas de Postura de Dispositivo. Isso pode aumentar sua confiança nos dispositivos que estão conectados aos seus recursos internos.

Você também pode usar a Política de Conectividade do Cliente para fornecer aos usuários acesso seguro à Internet de forma remota após uma autenticação única. Para mais informações, veja Segurança da Internet Remota com Autenticação Única.

Compreensão das Ações

A Ação define o nível de acesso fornecido ao usuário. As Ações são:

Permitir WAN e Internet: O usuário tem acesso seguro à Internet e pode acessar a rede privada (WAN)

Nota

Nota: Esta opção fornece permissão para um usuário acessar a rede privada (WAN). O acesso de um usuário à rede privada (WAN) depende de regras no Firewall WAN.
Permitir Apenas Internet: O usuário tem apenas acesso seguro à Internet e não pode acessar a rede privada (WAN)

Nota

Nota: Esta opção fornece permissão para um usuário acessar a Internet. O acesso de um usuário à Internet depende de regras no Firewall da Internet.

Esta Ação também inclui a opção de Encerrar sessões WAN ativas. Esta opção se aplica quando um usuário remoto foi anteriormente permitido acesso WAN sob uma regra, mas suas circunstâncias mudam e eles agora correspondem apenas a uma regra que permite acesso à Internet. Neste caso, você pode escolher se deseja encerrar as sessões WAN existentes do usuário remoto.

Por exemplo, um usuário remoto recebe acesso WAN com base em seu nível de confiança. Se essa condição mudar posteriormente, como quando o token expira, o usuário remoto não tem mais permissão para acessar a WAN. Esta configuração determina se suas sessões WAN atuais são desconectadas. Esta opção não se aplica no Modo Escritório.
Bloquear WAN e Internet: O usuário é bloqueado de acessar a Internet e a WAN

As sessões WAN existentes são sempre encerradas quando um usuário atende a uma regra com esta ação.

Pré-requisitos

Verificações de Dispositivo são suportadas para Clientes Windows e macOS. Para mais informações sobre os requisitos para cada verificação, consulte Criação de Perfis de Postura de Dispositivo e Verificações de Dispositivo.

Preparando-se para Implementar a Política de Conectividade do Cliente

O objetivo da política é confiar apenas em dispositivos que correspondam à política. Portanto, defina regras que bloqueiem todos os dispositivos não confiáveis para que NÃO tenham permissão para se conectar à rede.

Antes de habilitar a Política de Conectividade do Cliente, certifique-se de decidir qual é o comportamento para usuários com Clientes e sistemas operacionais não suportados. Você deseja permitir que esses usuários se conectem à sua conta? Por exemplo, usuários com Clientes Linux ou Cliente Windows v4.7 e anteriores.

Recursos Suportados da Política de Conectividade

Configurando verificações para uma variedade de fornecedores de Anti-Malware e Firewalls de Endpoint, para garantir que o software relevante esteja instalado e em execução para permitir acesso remoto com o Cliente.
Recomendamos não habilitar conectividade Sempre-Ativa com Verificações em Tempo Real, pois se um dispositivo não atender aos requisitos da política, o Cliente pode se desconectar abruptamente da rede. Isso pode proporcionar uma má experiência ao usuário.

Você pode revisar a lista de fornecedores e versões suportadas para Verificações em Tempo Real aqui.
A Política de Conectividade é uma política ordenada, portanto, você pode adicionar usuários a vários perfis ou regras. No entanto, a primeira regra correspondente é aplicada ao usuário.

Política de Conectividade do Cliente e Política Sempre-Ativa no Escritório

Esta seção discute o uso da Política de Conectividade do Cliente quando você está impondo a política Sempre-Ativa atrás de um site e requer que usuários remotos autentiquem mesmo quando estão no escritório. A configuração Sempre-Ativa Exigir autenticação no escritório força o Cliente a cumprir com a Política de Conectividade do Cliente antes dos usuários se conectarem.

Lembre-se de que a Política de Acesso do Cliente precisará permitir que esses usuários se conectem tanto à WAN quanto à Internet, mesmo quando o dispositivo estiver localizado no escritório por trás de um site.
Se o Cliente entrar no modo para ignorar Sempre Ativo, a política de Firewall WAN e Internet para o site é aplicada ao usuário. Esta política pode ser diferente da que é aplicada quando o usuário se conecta remotamente.

Para mais informações, veja Protegendo Usuários com Segurança Sempre Ativa.

Configurando a Política de Conectividade do Cliente e Configurações

Esta seção explica como criar a Política de Conectividade do Cliente e adicionar um ou mais perfis a cada regra.

Criando a Política de Conectividade do Cliente

A Política de Conectividade do Cliente é uma base de regras ordenadas, e cada regra escopo de usuários a que a regra se aplica, incluindo: geolocalização (Países), e sistema operacional do dispositivo. Quando usuários ou grupos correspondem à regra, a Cato Cloud gerencia as conexões da seguinte forma:

Quando eles atendem aos requisitos de Perfil do Dispositivo para uma regra, eles estão autorizados a se conectar à sua conta.
Quando eles não atendem aos requisitos do Perfil do Dispositivo para uma regra, a Cato Cloud continua a inspecionar a postura de acordo com as regras de prioridade inferior na política.
O dispositivo de qualquer usuário ou grupo que não corresponder a nenhuma regra é bloqueado pela regra implícita final da política (BLOQUEIO QUALQUER QUALQUER).

Para criar as regras para a política de Conectividade do Cliente:

No menu de navegação, clique em Acesso > Política de Conectividade do Cliente.
Clique em Novo.

O painel Nova Regra é aberto.
Configure o escopo da regra:
1. Defina os Usuários/Grupos, Nível de Confiança, Plataformas, Intervalo de IP do ISP Público e Países para esta regra.
Expanda a seção Perfis de Postura de Dispositivo e selecione os perfis para esta regra.

Se vários Perfis estiverem incluídos em uma única regra de Política, há um OU implícito entre eles.

Nota: Selecionar Qualquer Perfil de Postura de Dispositivo significa que nenhum Perfil de Postura de Dispositivo está incluído na regra.
Selecione a Ação para a regra. Para mais informações sobre as ações disponíveis, consulte Remote Internet Security with One Time Authentication.
Clique em Aplicar.
Repita as etapas 2-5 para cada regra na política de Conectividade do Cliente.
Habilite a Política de Conectividade do Cliente e clique em Salvar.

O controle deslizante fica verde quando a regra está ativada e cinza quando a regra está desativada.

Política de Conectividade do Cliente de Exemplo

Esta seção mostra um exemplo de uma Política de Conectividade do Cliente e como as regras são aplicadas.

O escopo da regra 1 são os grupos de P&D para África e Europa com dispositivos Windows.
- Quando esses usuários tentam se conectar à Cato Cloud, eles têm permissão para se conectarem apenas se atenderem aos requisitos do perfil RnD Africa ou do perfil RnD Europe.
  
  Caso contrário, o motor verifica o usuário e o dispositivo para a regra 2.
O escopo da regra 2 são os grupos de P&D para África e Europa com dispositivos Windows que NÃO atenderam aos requisitos do Perfil de Postura de Dispositivo na regra 1.
- Quando esses usuários tentam se conectar à Cato Cloud, eles coincidem com o Perfil de Postura do Dispositivo Qualquer, e são bloqueados. Eles não conseguem se conectar à Cato Cloud.
- A Regra 2 não se aplica a usuários que não são membros dos grupos de P&D para África e Europa, e esses usuários continuam com a regra 3.
O escopo da regra 3 é qualquer usuário ou grupo de usuários com um dispositivo Windows.

Quando os usuários tentam se conectar à Cato Cloud, eles têm permissão para se conectarem apenas à Internet e não ao WAN se atenderem aos requisitos do perfil Exemplo.

Caso contrário, os usuários são bloqueados pela regra implícita final ANY ANY Block.

Experiência do Usuário com Postura de Dispositivo

Quando os dispositivos correspondem às Verificações de Dispositivo, eles podem se conectar à Cato Cloud, e a experiência para o usuário é que o Cliente mostra que está Conectado. Esta é a mesma experiência do usuário que quando não há política de Postura de Dispositivo para a conta.

Quando um dispositivo não corresponde a uma Verificação de Dispositivo, o Cliente não se conecta à Cato Cloud, e o Cliente mostra uma mensagem de erro ao usuário. Se um dispositivo falhar em uma verificação periódica, depois que o Cliente estiver conectado, o Cliente se desconecta e a mesma mensagem de erro é exibida.

Este é um exemplo da mensagem de erro:

Clique em Detalhes para mostrar os requisitos específicos que o dispositivo não atende. Também é gerado um evento que mostra os mesmos detalhes.

Experiência do Usuário com Versões de Cliente Não Suportadas

Quando você cria uma política de Conectividade do Cliente para um SO, recomendamos fortemente que você garanta que todos os Clientes instalados em todos os dispositivos sejam atualizados para a versão mínima suportada do Cliente. Para regras que não permitem acesso para versões de Cliente anteriores (não suportadas), esta é a experiência do usuário final:

Windows SO - nenhuma mensagem é mostrada ao usuário, e o Cliente tenta continuamente se conectar ao túnel criptografado.
macOS, iOS, Android e Linux - os usuários recebem uma mensagem que diz que este dispositivo está bloqueado para a rede (por exemplo, conectar a partir deste SO é proibido)

Entendendo Eventos para a Política de Conectividade do Cliente

O Aplicativo de Gerenciamento Cato gera dois tipos de eventos relacionados à Política de Conectividade do Cliente:

Sempre que usuários ou grupos de Usuários cumprem os requisitos de uma regra de Política de Conectividade do Cliente, e estão autorizados a se conectar à rede.
Sempre que usuários ou grupos de Usuários são bloqueados de se conectar à rede porque não cumprem os requisitos da Política de Conectividade do Cliente.

A tabela a seguir explica alguns dos campos de evento de um evento de ação Permitir:

Campo	Explicação
Perfil de Postura do Dispositivo	O nome do Perfil de Postura do Dispositivo com o qual o dispositivo está em conformidade.
Regra	O nome da regra da Política de Conectividade do Cliente que permitiu que o dispositivo se conectasse.
Método de Autenticação	O método de autenticação usado pelo usuário para autenticar no Cliente.

A tabela a seguir explica os diferentes eventos de Conectividade com a ação de Bloqueio e a razão pela qual a conexão foi bloqueada.

Subtipo de Evento	Motivo do Bloqueio	Descrição da Mensagem do Evento
Política de Conectividade do Cliente	O dispositivo não atende à Verificação de Dispositivo	Mostra os detalhes do Anti-Malware ou do Firewall instalado no dispositivo, e o que é necessário para a Verificação de Dispositivo.
Política de Conectividade do Cliente	Cliente não suportado	O dispositivo está se conectando usando um SO ou versão do Cliente não suportado, e a regra de correspondência não permite que um Cliente não suportado se conecte.
Política de Conectividade do Cliente	O dispositivo falha em corresponder a qualquer regra.	O dispositivo não corresponde ao escopo de qualquer regra na Política de Conectividade do Cliente. Portanto, a conexão foi bloqueada pela regra implícita final.

DevicePostureSupported_AM.txt70 kB