Este artigo discute como configurar sua política Sempre Ativa para aumentar a segurança na Internet para os usuários na sua conta.
A política Sempre Ativa melhora a segurança na Internet ao definir regras para quando usuários ou grupos de usuários sempre se conectam à Cato Cloud. Isso garante que todo o tráfego passe por um PoP, e os motores de segurança Cato inspecionem o tráfego para garantir que ele esteja em conformidade com suas políticas de segurança.
A rede da empresa ABC é usada por seus próprios empregados, que têm acesso aos recursos corporativos, e por contratados de terceiros, que não podem acessar esses recursos. Eles criam uma regra para ativar a política Sempre Ativa para seus empregados enquanto os contratados de terceiros podem acessar a Internet diretamente. Isso garante que todo o tráfego dos funcionários da empresa seja passado pelo Cato Cloud e esteja protegido pelas políticas de segurança.
A Empresa ABC instala o Cliente Cato em todos os seus dispositivos gerenciados e também permite que seus funcionários instalem o Cliente em seus dispositivos pessoais para que possam acessar os recursos da empresa, se necessário. A política de segurança corporativa exige que os dispositivos gerenciados estejam sempre conectados à rede.
A equipe de TI cria um perfil de Postura do Dispositivo que usa uma Verificação de Dispositivo que verifica se um certificado de assinatura está instalado no dispositivo.
Depois, eles criam regras na política Sempre Ativa para requerer Sempre Ativa apenas para dispositivos que correspondam ao perfil de Postura de Dispositivo para certificados.
A política Sempre Ativa é uma base de regras ordenada. As regras em sua política são aplicadas a um Usuário ou Grupo da seguinte forma:
- Quando encontram uma regra, o cliente segue a configuração estabelecida na regra
- Se não cumprirem nenhuma regra, eles podem se desconectar da rede
Esta seção descreve o fluxo de configuração para aplicar a política Sempre Ativa somente a dispositivos gerenciados usando uma Verificação de Dispositivo para certificados de assinatura.
-
Prepare dispositivos para usar Verificação de Dispositivo para o certificado de assinatura.
- Distribua o certificado para os dispositivos gerenciados. Veja artigos em Distribuindo e Instalando Certificados de Dispositivo.
- Carregue o certificado de assinatura no CMA. Veja Gerenciamento de Certificados de Assinatura para Acesso Remoto.
- Para identificar dispositivos gerenciados com base no certificado instalado, configure uma Verificação de Dispositivo para certificados e atribua-a a um Perfil de Dispositivo. Veja Criando Perfis de Postura de Dispositivo e Verificações de Dispositivo.
-
Na política Sempre Ativa, crie uma nova regra que exija que dispositivos gerenciados estejam sempre conectados à rede:
- Usuário/Grupos - Atribuir grupos de usuários ou usuários aos dispositivos gerenciados.
- Perfis de Postura de Dispositivo - Selecione o Perfil de Dispositivo que você criou na etapa 2.
- Conectado - Selecione Sempre Ativo.
-
Duplique a regra da etapa 3 e altere a configuração Conectado para On-Demand.
- Publique a política Sempre Ativa.
Com a política Sempre Ativa habilitada, você ainda pode fornecer aos usuários acesso direto à Internet de forma:
- Usando um método de desvio temporário
- Criando uma regra com o estado de conexão Sob Demanda
- Permitindo acesso à Internet no modo de Recuperação
Podem haver algumas situações em que os usuários precisam desviar temporariamente a Cato Cloud e acessar a Internet diretamente. Por exemplo, para acessar temporariamente um site que está bloqueado por uma regra de Firewall da Internet. Para cada regra, você pode configurar como os usuários ignoram temporariamente a Nuvem Cato.
No Windows v5.9 e superior, você também pode configurar quanto tempo os usuários podem desviar a Cato Cloud. Durante este período, o tráfego da Internet não passa pela Cato Cloud e não está seguro.
Quando o Cliente se desconecta temporariamente, são gerados eventos que mostram os detalhes do usuário e a duração pela qual o Cliente ficou desconectado. Para visualizar esses eventos, na página Eventos aplique um filtro para o sub-tipo VPN Never-Off Bypass. O Método de Desvio no evento exibe o método usado para desviar o Cliente. Para mais informações sobre eventos na sua conta, consulte Analisando Eventos na Sua Rede.
Os usuários podem desviar temporariamente a Cato Cloud usando uma das seguintes opções:
- Desvio controlado pelo administrador com um código de desvio
- Desvio controlado pelo usuário
Nota
Nota: Suportado em Windows, Android, Clientes iOS e Cliente macOS v5.4 e acima
Use esta opção para gerar uma senha de uso único (OTP) no Cato Management Application que você pode fornecer a qualquer usuário e permitir que ele desconecte temporariamente o Client. Em versões do Windows Client inferiores a 5,9 e outros sistemas operacionais suportados, o Client é desviado por até 15 minutos de cada vez. Cada código pode ser válido por até 15 minutos.
Além disso, você pode usar um aplicativo de autenticação (como o Google Authenticator) para escanear o código QR nesta tela. Então você pode sempre obter um OTP para usuários a partir do aplicativo de autenticação. O aplicativo de autenticação atualiza o código a cada 30 segundos, por isso cada código é válido apenas por 30 segundos.
Você pode usar o mesmo código de desvio para vários usuários, desde que o código ainda seja válido.
Nota
Nota: Suportado a partir de:
- Windows Client v5.9 e superior
- macOS Client v5.5 e superior
- Cliente iOS v5.6 e superior
Esta opção permite que os usuários desconectem temporariamente o Client sob demanda. No Cliente, o usuário deve fornecer um motivo para desconectar o Cliente em um campo de texto livre. e então pode imediatamente acessar a Internet diretamente. Este motivo é incluído no evento.
O Client está autorizado a se desconectar pela duração configurada em Duração da Desconexão.
O time de engenharia de uma empresa de varejo é responsável por garantir que o website tenha 100% de disponibilidade para receber Pedidos Online. Isso significa que eles sempre precisam de acesso a um aplicativo SaaS online necessário para solucionar problemas. O acesso ao aplicativo é necessário fora do horário de expediente e quando trabalham remotamente. A política de segurança da empresa afirma que todo acesso à Internet deve ser seguro.
Para cumprir com a política de segurança, o TI ativa o Sempre Ativo. Como precaução, para evitar uma situação em que durante uma potencial interrupção o Cliente não consiga se conectar à Nuvem da Cato, a equipe de TI fornece aos engenheiros uma maneira de acessar imediatamente a Internet. A equipe de TI criou uma regra em sua Política Sempre Ativa para o Grupo de Usuários de engenheiros, onde o Modo de Desvio é configurado para permitir que os usuários se desconectem temporariamente mediante solicitação.
Se um engenheiro precisar solucionar problemas do site no meio da noite, a equipe de TI pode ter certeza de que ele pode acessar o aplicativo SaaS de solução de problemas, mesmo que haja um problema com o Client. O engenheiro não precisa esperar pela aprovação da TI para contornar o Cato Cloud e começar a solucionar os problemas do site.
Se houver usuários que regularmente precisam de acesso direto à Internet, você pode adicioná-los a uma regra com o estado de conexão Sob Demanda. Esta configuração permite que os usuários conectem ou desconectem o Client conforme necessário.
Nota
Nota: Suportado a partir de:
- Cliente Windows v5.9 e superior
- Cliente macOS v5.5 e superior
- Cliente iOS v5.6 e superior
Você também pode escolher o comportamento do Cliente em um cenário em que uma conexão com o Cato Cloud não pode ser estabelecida. O Cliente pode ser configurado para:
- Permitir Internet (Configuração Padrão): Usuários podem acessar a Internet. O tráfego não flui pelo Cato Cloud e não é seguro até que uma conexão com o Cato Cloud seja estabelecida.
- Restringir o Acesso à Internet: Usuários não podem acessar a Internet até que uma conexão com a Nuvem da Cato e a Internet segura seja estabelecida.
A empresa ABC ativou o Always-On para todos os usuários. Seus executivos de alto escalão frequentemente viajam e se conectam à Internet a partir de aeroportos e hotéis. Ocasionalmente, o Cliente não detecta o portal cativo e não consegue estabelecer um túnel criptografado. Para garantir que a equipe de executivos possa continuar a trabalhar quando estiver viajando, a equipe de TI configura o Modo de Recuperação na regra Sempre Ativa para o Grupo de Usuários da equipe de executivos para permitir acesso à Internet.
Se o Cliente não detectar um portal cativo, os usuários executivos podem continuar a trabalhar, pois o Cliente permite o acesso à Internet de acordo com a política Always-On. Assim que o Cliente restabelece um túnel, o tráfego flui pela Nuvem da Cato como esperado.
Antes de habilitar sua Política Always-On, considere como o Always-On interage com outros recursos e versões do Cliente em seu ambiente. Esta seção fornece recomendações sobre como usar SSO, Conectividade do Cliente, Autenticação de Dispositivos e o Cliente Windows com sua Política Always-On.
Para contas que usam autenticação de Single Sign-On para usuários, você também pode configurar os Clientes suportados para sempre permanecerem conectados à Cato Cloud (Sempre Ativo). Esta configuração oferece aos usuários a simplicidade do SSO e a segurança do Sempre Ativo. O Cliente é capaz de acessar o provedor IdP e o acesso a outros recursos está de acordo com sua política de segurança.
Nota
Nota: Para ajudar os usuários que não conseguem autenticar no Cliente, recomendamos que você habilite um método de ignorar a Nuvem Cato e revise os eventos de bypass. Caso contrário, o dispositivo não autenticado não pode se conectar à Internet ou à Cato Cloud.
Esta seção contém práticas recomendadas e recomendações para implementar Always-On com SSO em sua conta.
- Comece ativando Always-On e SSO para um pequeno número de usuários para minimizar o impacto na sua conta
- Revise os eventos de contorno, para monitorar o uso de códigos de contorno em sua organização
- Como usuários não autenticados não têm conectividade com a Internet, certifique-se de que os usuários possam acessar o dispositivo sem depender da Internet
- Certifique-se de que todos os Clientes estejam atualizados para a versão mínima suportada para o sistema operacional relevante. Se for usado um Cliente de uma versão não suportada, o Cliente não pode reautenticar e o tráfego para a Internet é bloqueado.
- Para implantações que utilizam um proxy de terceiros, apenas a Autenticação do Navegador no Cliente é suportada para Sempre Ativo e SSO (para mais informações sobre Autenticação do Navegador, veja Configurando a Política de Autenticação para Clientes Cato)
Sua Política de Conectividade do Cliente e as configurações de Autenticação do Dispositivo aplicam Posturas e Verificações de Dispositivo realizadas nos dispositivos para os usuários. Se o dispositivo não estiver em conformidade com a política definida para o perfil, o usuário não poderá se conectar ao Cato Cloud. Sua Política de Conectividade do Cliente e configurações de Autenticação do Dispositivo têm precedência sobre sua Política Always-On.
Para equipes de TI, ao entregar ou enviar dispositivos novos para usuários em todo o mundo, podemos fornecer Segurança Always-On pronta para uso.
A partir do Cliente Windows v5.6, você pode aprimorar a segurança da Internet mesmo antes de um usuário se autenticar no Cato. A política Always-On está disponível pronta para uso, e o acesso à Internet só é permitido após o usuário autenticar na sua conta Cato.
Para habilitar esse recurso, basta adicionar uma chave de registro ao dispositivo Windows para habilitar o Always-On. Uma vez que o usuário é adicionado ao Cliente, as configurações Always-On definidas no Aplicativo de Gerenciamento Cato são aplicadas a esse usuário.
Para contas que utilizam o recurso de Pré-login, o dispositivo só tem permissão para acessar os Destinos Permitidos antes do usuário ser adicionado ao Cliente. Todo o outro acesso à Internet é bloqueado.
Também recomendamos adicionar a Chave de Registro que lança o Cliente na inicialização. Para mais informações, consulte Instalando o Cliente Cato.
Nota
Nota: Antes que os usuários sejam adicionados ao Cliente, não é possível contornar o Cato Cloud.
Esta seção explica como criar a Política Always-On.
A Política Sempre Ativa permite que você defina os Usuários ou Grupos de Usuários para Clientes que precisam sempre se conectar à Rede.
Para criar a Política Sempre Ativa:
- No menu de navegação, clique em Acesso > Política Sempre Ativa.
-
Clique em Novo.
O painel Nova Regra é aberto.
- Digite um Nome e defina a Ordem da Regra.
- Defina os Usuários & Grupos e Plataformas.
-
Defina o status Conectado e o Modo de Desvio para Sempre Ativo.
- Para Anti-Violação do SDP, determine qual ação tomar quando um usuário tentar fazer alterações. Por padrão, as alterações são permitidas. Para impedir que os usuários façam alterações, selecione Ativar.
Para mais informações, veja Trabalhando com Anti-Violação para o Cliente Cato. -
Determine por quanto tempo o Sempre Ativo e Anti-Violação estão desativados em Duração de Desconexão & Violação.
O temporizador para cada desvio começa quando um código é inserido. Por exemplo, a Duração está definida para 60 minutos. Se o código de desvio para Anti-Violação for inserido às 12:30, o temporizador começa, e o Anti-Violação será novamente ativado às 13:30. Um código de desvio para Sempre Ativo é inserido às 13:00 e expirará às 14:00.
- Configure como o Cliente opera quando em Modo de Recuperação.
- Clique em Aplicar.
- Repita as etapas 2-5 para cada regra na Política Sempre Ativa.
-
Habilite a Política Sempre Ativa e então clique em Salvar.
O controle deslizante
está verde quando a regra está ativada, e cinza quando a regra está desativada.
Nota
Nota: Suportado a partir de:
- Todos os Clientes Windows
- Cliente Linux v5.2 e acima
Você pode fornecer aos usuários um status de conectado On-Demand com segurança adicional ao configurar o Cliente para se conectar automaticamente durante a fase de inicialização. Uma vez conectados, os usuários podem optar por desconectar e reconectar o Cliente sempre que precisarem. Para os usuários com status de conexão Sempre Ativo, o Cliente se conecta automaticamente, sem essa configuração.
-
Se as opções Conectar ao inicializar ou Iniciar minimizado estiverem selecionadas no Cato Management Application:
- This is enforced on all Clients in your environment
- Users cannot disable this setting from the Client
-
Se as opções Conectar ao inicializar ou Iniciar minimizado não estiverem selecionadas no Cato Management Application:
- Users can choose to enable these features on the Settings tab in the Client
Nota: Com Conectar ao inicializar habilitado, se um usuário sair de sua sessão do Windows, o Cliente se conecta ao Cato Cloud. Isso é para fornecer acesso a um Controlador de Domínio, permitindo que o usuário faça login novamente.
Para configurar as configurações padrão para os Clientes:
- No menu de navegação, clique em Acesso > Política Sempre Ativa.
- Abra a Configurações aba.
-
Na seção Conectar ao Inicializar, defina as configurações padrão para Clientes Windows.
- Clique Salvar.
Nota
Nota: Suportado a partir de:
- Windows Client v5.8 e acima
- Linux Client v5.2 e acima
Quando um usuário se conecta atrás de um Socket Cato ou um site IPsec, o Cliente se conecta automaticamente a esse site no Modo Escritório. Para mais informações sobre o Modo Escritório, consulte Configurando o Modo Escritório.
Você pode configurar se usuários com sempre ligado habilitado são obrigados a autenticar no Cato quando o Cliente está conectado no Modo Escritório. Esta configuração não tem impacto nas políticas de segurança.
Um código de bypass é um código de 6 dígitos que é inserido no Cliente para permitir que usuários desconectem temporariamente do Cato Cloud.
Para gerar um código de bypass:
- No menu de navegação, clique em Acesso > Política Sempre Ligado.
- Abra a Configurações aba.
- Expanda a Mostrar código de desvio ou Mostrar código QR para aplicativo de autenticação seção.
- Determine quanto tempo antes de o código de desvio expirar.
Nota: Compatível com Cliente Windows 5.18 e Cliente macOS 5.10.6 - Você agora pode enviar o Código de Bypass ou Código QR para um usuário.
Um código de desvio Anti-Violação é um código de 6 dígitos que é inserido no Cliente para permitir que os usuários façam alterações temporárias no Cliente Cato, ou em sua capacidade de operar, por exemplo, alterando entradas de registro relevantes.
Para gerar um código de desvio:
- No menu de navegação, clique em Acesso > Política Sempre-Ativo.
- Abra a aba Configurações.
- Expanda a seção Mostrar código de desvio anti-tamper ou Mostrar código QR anti-tamper para aplicativo de autenticação. Cada código é válido por 15 minutos.
- Copie o código de desvio Anti-Violação ou código QR e envie para o usuário.
Dependendo do Modo de Bypass configurado na Aplicação de Gerenciamento Cato, os usuários podem desconectar temporariamente o Cliente usando um código de bypass ou inserindo uma razão para bypass.
O código de bypass é gerado por administradores e enviado a um usuário para ser inserido no Cliente. Depois de inserido um código válido, o Cliente contorna temporariamente o túnel criptografado e o usuário pode acessar a Internet. Clientes Windows abaixo da versão 5.9, macOS, iOS e Android podem ser temporariamente desconectados por um máximo de 15 minutos. Clientes Windows v5.9 e superiores podem ser desconectados pelo tempo configurado em Duração de Desconexão.
Usuários que se autenticam com SSO ou MFA precisam se reautenticar no Cliente Cato ao reconectar.
Nota
Nota: Ignorar a configuração Sempre Ativa não afeta a proteção Anti-Violação.
Para inserir um código de desvio:
- No Cliente Windows, os usuários podem clicar com o botão direito no ícone do Cliente na bandeja do sistema e selecionar Desvio Temporário
- No Cliente macOS, os usuários podem clicar com o botão direito no ícone do Cliente na bandeja do sistema e selecionar Desconexão Temporária
- No Cliente iOS, na tela inicial do Cliente, selecione Desvio Sempre Ativado
- No Cliente Android, no menu lateral, selecione Desvio Temporário
Nota
Nota: Suportado a partir de:
- Cliente Windows v5.9 e superior
- macOS Client v5.5 e superior
Os usuários podem temporariamente desconectar o Cliente depois de fornecerem um motivo. Após o usuário inserir o Motivo, o Cliente temporariamente ignora o Cato Cloud e o usuário pode acessar a Internet. O Cliente está desconectado pelo tempo configurado no Cato Management Application.
Usuários que se autenticam com SSO ou MFA precisam se reautenticar no Cato Client ao reconectar.
Para inserir um motivo de desvio:
- No Cliente Windows, os usuários podem clicar com o botão direito no ícone do Cliente na bandeja do sistema e selecionar Desvio Temporário.
- Forneça um motivo para desconectar temporariamente o Cliente.
-
Clique em Enter.
O Cliente está desconectado.
Nota
Nota: Suportado a partir do Cliente Windows v5.14 e superior
Os usuários podem temporariamente desativar a proteção Anti-Violação para o Cliente após receberem um código de um administrador.
Nota
Nota: Desativar a proteção Anti-Violação não afeta a configuração Sempre Ativa.
Para desativar a proteção Anti-Violação:
-
No Cliente, clique em Configurações.
Por padrão, a seção Desvio está oculta dos usuários. Para exibir o campo, use a sequência de teclas CTRL + SHIFT + O
- Entre em contato com um administrador e insira o código que eles recebem no campo liberação de violação SDP.
-
Clique em Enviar.
A Anti-Violação está desativada por tempo configurado por um administrador.
Você pode personalizar a Política Sempre-Ativo para um usuário individual.
Para configurar a Política Sempre-Ativo para um usuário específico:
- No menu de navegação, clique em Acesso > Política Sempre Ativa.
-
Clique em Novo.
O painel Nova Regra se abre.
- Insira um Nome e defina a Ordem da Regra.
- Na seção Usuário & Grupos, selecione Usuário SDP.
- Escolha o usuário específico.
- Defina as Plataformas e o status Conectado.
- Clique em Aplicar.
-
Habilite a Política Sempre-Ativo e depois clique em Salvar.
O controle deslizante
0 comentário
Por favor, entre para comentar.