Este artigo discute como configurar sua política Sempre Ativa para aumentar a segurança na Internet para os usuários na sua conta.
A política Sempre Ativa melhora a segurança na Internet ao definir regras para quando usuários ou grupos de usuários sempre se conectam à Cato Cloud. Isso garante que todo o tráfego passe por um PoP e os motores de segurança da Cato inspecionem o tráfego para garantir que ele esteja em conformidade com suas políticas de segurança.
Caso de Uso - Personalizar a Política Sempre Ativa para Funcionários e Prestadores de Serviço Terceirizados
A rede da empresa ABC é usada por seus próprios empregados, que têm acesso aos recursos corporativos, e por contratados de terceiros, que não podem acessar esses recursos. Eles criam uma regra para ativar a política Sempre Ativa para seus empregados enquanto os contratados de terceiros podem acessar a Internet diretamente. Isso garante que todo o tráfego proveniente dos empregados da empresa passe pela Cato Cloud e esteja protegido pelas políticas de segurança.
A política Sempre Ativa é uma base de regras ordenada. As regras em sua política são aplicadas a um Usuário ou Grupo da seguinte forma:
-
Quando encontram uma regra, o cliente segue a configuração estabelecida na regra
-
Se não cumprirem nenhuma regra, eles podem se desconectar da rede
Com a Política Sempre Ativa ativada, você ainda pode fornecer aos usuários acesso direto à Internet por meio de:
-
Usando um método de desvio temporário
-
Criando uma regra com o estado de conexão Sob Demanda
-
Permitindo acesso à Internet no modo de Recuperação
Podem haver algumas situações em que os usuários precisam desviar temporariamente a Cato Cloud e acessar a Internet diretamente. Por exemplo, para acessar temporariamente um site que está bloqueado por uma regra de Firewall da Internet. Para cada regra, você pode configurar como os usuários ignoram temporariamente a Nuvem Cato.
No Windows v5.9 e superior, você também pode configurar quanto tempo os usuários podem desviar a Cato Cloud. Durante este período, o tráfego da Internet não passa pela Cato Cloud e não está seguro.
Quando o Cliente se desconecta temporariamente, são gerados eventos que mostram os detalhes do usuário e a duração pela qual o Cliente ficou desconectado. Para visualizar esses eventos, na página Eventos aplique um filtro para o sub-tipo VPN Never-Off Bypass. O Método de Desvio no evento exibe o método usado para desviar o Cliente. Para mais sobre eventos na sua conta, veja Analisando Eventos na Sua Rede.
Os usuários podem desviar temporariamente a Cato Cloud usando uma das seguintes opções:
-
Desvio controlado pelo administrador com um código de desvio
-
Desvio controlado pelo usuário
Nota
Nota: Suportado em Windows, Android, Clientes iOS e Cliente macOS v5.4 e acima
Use esta opção para gerar uma senha de uso único (OTP) no Cato Management Application que você pode fornecer a qualquer usuário e permitir que ele desconecte temporariamente o Client. Em versões do Windows Client inferiores a 5,9 e outros sistemas operacionais suportados, o Client é desviado por até 15 minutos de cada vez. Cada código pode ser válido por até 15 minutos.
Além disso, você pode usar um aplicativo de autenticação (como o Google Authenticator) para escanear o código QR nesta tela. Então você pode sempre obter um OTP para usuários a partir do aplicativo de autenticação. O aplicativo de autenticação atualiza o código a cada 30 segundos, por isso cada código é válido apenas por 30 segundos.
Você pode usar o mesmo código de desvio para vários usuários, desde que o código ainda seja válido.
Nota
Nota: Suportado a partir de:
-
Windows Client v5.9 e superior
-
macOS Client v5.5 e superior
Esta opção permite que os usuários desconectem temporariamente o Client sob demanda. No Cliente, o usuário deve fornecer um motivo para desconectar o Cliente em um campo de texto livre. e então pode acessar imediatamente a Internet diretamente. Este motivo é incluído no evento.
O Client está autorizado a se desconectar pela duração configurada em Duração da Desconexão.
O time de engenharia de uma empresa de varejo é responsável por garantir que o website tenha 100% de disponibilidade para receber Pedidos Online. Isso significa que eles sempre precisam de acesso a um aplicativo SaaS online necessário para solucionar problemas. O acesso ao aplicativo é necessário fora do horário de expediente e quando trabalham remotamente. A política de segurança da empresa afirma que todo acesso à Internet deve ser seguro.
Para cumprir com a política de segurança, o TI ativa o Sempre Ativo. Como precaução, para evitar uma situação em que durante uma potencial interrupção o Cliente não consiga se conectar à Nuvem da Cato, a equipe de TI fornece aos engenheiros uma maneira de acessar imediatamente a Internet. A equipe de TI criou uma regra em sua Política Sempre Ativa para o Grupo de Usuários de engenheiros, onde o Modo de Desvio é configurado para permitir que os usuários se desconectem temporariamente mediante solicitação.
Se um engenheiro precisar solucionar problemas do site no meio da noite, a equipe de TI pode ter certeza de que ele pode acessar o aplicativo SaaS de solução de problemas, mesmo que haja um problema com o Client. O engenheiro não precisa esperar pela aprovação da TI para contornar o Cato Cloud e começar a solucionar os problemas do site.
Se houver usuários que regularmente precisam de acesso direto à Internet, você pode adicioná-los a uma regra com o estado de conexão Sob Demanda. Esta configuração permite que os usuários conectem ou desconectem o Client conforme necessário.
Nota
Nota: Suportado a partir de:
-
Cliente Windows v5.9 e superior
-
Cliente macOS v5.5 e superior
Você também pode escolher o comportamento do Cliente em um cenário em que uma conexão com o Cato Cloud não pode ser estabelecida. O Cliente pode ser configurado para:
-
Permitir Internet (Configuração Padrão): Usuários podem acessar a Internet. O tráfego não flui pelo Cato Cloud e não é seguro até que uma conexão com o Cato Cloud seja estabelecida.
-
Restringir o Acesso à Internet: Usuários não podem acessar a Internet até que uma conexão com a Nuvem da Cato e a Internet segura seja estabelecida.
A empresa ABC ativou o Always-On para todos os usuários. Seus executivos de alto escalão frequentemente viajam e se conectam à Internet a partir de aeroportos e hotéis. Ocasionalmente, o Cliente não detecta o portal cativo e não consegue estabelecer um túnel criptografado. Para garantir que a equipe de executivos possa continuar a trabalhar quando estiver viajando, a equipe de TI configura o Modo de Recuperação na regra Sempre Ativa para o Grupo de Usuários da equipe de executivos para permitir acesso à Internet.
Se o Cliente não detectar um portal cativo, os usuários executivos podem continuar a trabalhar, pois o Cliente permite o acesso à Internet de acordo com a política Always-On. Assim que o Cliente restabelece um túnel, o tráfego flui pela Nuvem da Cato como esperado.
Antes de habilitar sua Política Always-On, considere como o Always-On interage com outros recursos e versões do Cliente em seu ambiente. Esta seção fornece recomendações sobre como usar SSO, Conectividade do Cliente, Autenticação de Dispositivos e o Cliente Windows com sua Política Always-On.
Para contas que usam a autenticação de Single Sign-On para usuários, você também pode configurar os Clientes suportados para permanecer sempre conectados ao Cato Cloud (Always-On). Esta configuração oferece aos usuários a simplicidade do SSO e a segurança do Always-On. O Cliente pode acessar o provedor IdP e o acesso a outros recursos está de acordo com sua política de segurança.
Nota
Nota: Para ajudar os usuários que não conseguem autenticar no Cliente, recomendamos que você habilite um método de ignorar a Nuvem Cato e revise os eventos de bypass. Caso contrário, o dispositivo não autenticado não consegue se conectar à Internet ou ao Cato Cloud).
Esta seção contém práticas recomendadas e recomendações para implementar Always-On com SSO em sua conta.
-
Comece ativando Always-On e SSO para um pequeno número de usuários para minimizar o impacto na sua conta
-
Revise os eventos de contorno, para monitorar o uso de códigos de contorno em sua organização
-
Como usuários não autenticados não têm conectividade com a Internet, certifique-se de que os usuários possam acessar o dispositivo sem depender da Internet
-
Certifique-se de que todos os Clientes estejam atualizados para a versão mínima suportada para o sistema operacional relevante. Se for usado um Cliente de uma versão não suportada, o Cliente não pode reautenticar e o tráfego para a Internet é bloqueado.
-
Para implantações que utilizam um proxy de terceiros, apenas a Autenticação por Navegador Externo no Cliente é suportada para Sempre Ativo e SSO (para mais Autenticação por Navegador Externo, veja Configurando a Política de Autenticação para Clientes Cato)
Sua Política de Conectividade do Cliente e as configurações de Autenticação de Dispositivo aplicam Posturas de Dispositivo e Verificações realizadas em dispositivos para usuários. Se o dispositivo não estiver em conformidade com a política definida para o perfil, o usuário não poderá se conectar ao Cato Cloud. Sua Política de Conectividade do Cliente e configurações de Autenticação do Dispositivo têm precedência sobre sua Política Always-On.
Para equipes de TI, ao entregar ou enviar dispositivos novos para usuários em todo o mundo, podemos fornecer Segurança Always-On pronta para uso.
A partir do Cliente Windows v5.6, você pode aprimorar a segurança da Internet mesmo antes de um usuário se autenticar no Cato. A política Always-On está disponível pronta para uso, e o acesso à Internet só é permitido após o usuário autenticar na sua conta Cato.
Para habilitar esse recurso, basta adicionar uma chave de registro ao dispositivo Windows para habilitar o Always-On. Uma vez que o usuário é adicionado ao Cliente, as configurações Always-On definidas no Aplicativo de Gerenciamento Cato são aplicadas a esse usuário.
Para contas que usam o recurso de Pré Login, o dispositivo só tem permissão para acessar os Destinos Permitidos antes que o usuário seja adicionado ao Cliente. Todo o outro acesso à Internet é bloqueado.
Também recomendamos adicionar a Chave de Registro que lança o Cliente na inicialização. Para mais informações, veja Instalando o Cliente Cato.
Nota
Nota: Antes que os usuários sejam adicionados ao Cliente, não é possível contornar o Cato Cloud.
Esta seção explica como criar a Política Always-On.
A Política Sempre Ativa permite que você defina os Usuários ou Grupos de Usuários para Clientes que precisam sempre se conectar à Rede.
Para criar a Política Sempre Ativa:
-
No menu de navegação, clique em Acesso > Política Sempre Ativa.
-
Clique em Novo.
O painel Nova Regra é aberto.
-
Digite um Nome e defina a Ordem da Regra.
-
Defina os Usuários & Grupos e Plataformas.
-
Defina o status de Conectado, Modo de Desvio, Duração da Desconexão e Modo de Recuperação.
-
Clique em Aplicar.
-
Repita as etapas 2-5 para cada regra na Política Sempre Ativa.
-
Habilite a Política Sempre Ativa e então clique em Salvar.
O controle deslizante
fica verde quando a regra está habilitada e cinza quando a regra está desabilitada.
Nota
Nota: Suportado a partir de:
-
Todos os Clientes Windows
-
Cliente Linux v5.2 e acima
Você pode fornecer aos usuários um status de conectado On-Demand com segurança adicional ao configurar o Cliente para se conectar automaticamente durante a fase de inicialização. Uma vez conectados, os usuários podem optar por desconectar e reconectar o Cliente sempre que precisarem. Para os usuários com status de conexão Sempre Ativo, o Cliente se conecta automaticamente, sem essa configuração.
-
Se as opções Conectar ao inicializar ou Iniciar minimizado estiverem selecionadas no Cato Management Application:
-
This is enforced on all Clients in your environment
-
Users cannot disable this setting from the Client
-
-
Se as opções Conectar ao inicializar ou Iniciar minimizado não estiverem selecionadas no Cato Management Application:
-
Users can choose to enable these features on the Settings tab in the Client
-
Nota: Com Conectar ao inicializar habilitado, se um usuário sair de sua sessão do Windows, o Cliente se conecta ao Cato Cloud. Isso é para fornecer acesso a um Controlador de Domínio, permitindo que o usuário faça login novamente.
Para configurar as configurações padrão para os Clientes:
-
No menu de navegação, clique em Acesso > Política Sempre Ativa.
-
Abra a Configurações aba.
-
Na seção Conectar ao Inicializar, defina as configurações padrão para Clientes Windows.
-
Clique Salvar.
Nota
Nota: Suportado a partir de:
-
Windows Client v5.8 e acima
-
Linux Client v5.2 e acima
Quando um usuário se conecta atrás de um Socket Cato ou um site IPsec, o Cliente se conecta automaticamente a esse site no Modo Escritório. Para mais informações sobre Modo de Escritório, veja Configurando Modo de Escritório.
Você pode configurar se usuários com sempre ligado habilitado são obrigados a autenticar no Cato quando o Cliente está conectado no Modo Escritório. Esta configuração não tem impacto nas políticas de segurança.
Um código de bypass é um código de 6 dígitos que é inserido no Cliente para permitir que usuários desconectem temporariamente do Cato Cloud.
Dependendo do Modo de Bypass configurado na Aplicação de Gerenciamento Cato, os usuários podem desconectar temporariamente o Cliente usando um código de bypass ou inserindo uma razão para bypass.
O código de bypass é gerado por administradores e enviado a um usuário para ser inserido no Cliente. Depois de inserido um código válido, o Cliente contorna temporariamente o túnel criptografado e o usuário pode acessar a Internet. Clientes Windows abaixo da versão 5.9, macOS, iOS e Android podem ser temporariamente desconectados por um máximo de 15 minutos. Clientes Windows v5.9 e superiores podem ser desconectados pelo tempo configurado em Duração de Desconexão.
Usuários que se autenticam com SSO ou MFA precisam se reautenticar no Cliente Cato ao reconectar.
Para inserir um código de desvio:
-
No Cliente Windows, os usuários podem clicar com o botão direito no ícone do Cliente na bandeja do sistema e selecionar Desvio Temporário
-
No Cliente macOS, os usuários podem clicar com o botão direito no ícone do Cliente na bandeja do sistema e selecionar Desconexão Temporária
-
No Cliente iOS, na tela inicial do Cliente, selecione Desvio Sempre Ativado
-
No Cliente Android, no menu lateral, selecione Desvio Temporário
Nota
Nota: Suportado a partir de: Cliente Windows v5.9 e superior
-
Cliente Windows v5.9 e superior
-
macOS Client v5.5 e superior
Os usuários podem temporariamente desconectar o Cliente depois de fornecerem um motivo. Após o usuário inserir o Motivo, o Cliente temporariamente ignora o Cato Cloud e o usuário pode acessar a Internet. O Cliente está desconectado pelo tempo configurado no Cato Management Application.
Usuários que se autenticam com SSO ou MFA precisam se reautenticar no Cato Client ao reconectar.
Você pode personalizar a Política Sempre-Ativo para um usuário individual.
Para configurar a Política Sempre-Ativo para um usuário específico:
-
No menu de navegação, clique em Acesso > Política Sempre-Ativo.
-
Clique em Novo.
O painel Nova Regra se abre.
-
Insira um Nome e defina a Ordem da Regra.
-
Na seção Usuário & Grupos, selecione Usuário SDP.
-
Escolha o usuário específico.
-
Defina as Plataformas e o status Conectado.
-
Clique em Aplicar.
-
Habilite a Política Sempre-Ativo e depois clique em Salvar.
O controle deslizante
0 comentário
Por favor, entre para comentar.