Este artigo discute como adicionar condições para critérios de dispositivo às bases de regras de firewall WAN e Internet para maior segurança e proteção.
A configuração de Dispositivo para as regras de firewall WAN e Internet oferece a capacidade de expandir o escopo da sua política de segurança de firewall para incluir acesso condicional baseado em atributos do dispositivo real de um usuário final ou outros dispositivos que se comunicam na sua rede, como IoT/OT. Você pode especificar os requisitos de acesso para dispositivos na rede. Por exemplo:
-
Firewall WAN -
- Especificar a fonte da regra para que se aplique apenas a dispositivos que atendem à postura pré-definida ou com base na geolocalização.
- Permitir acesso a um dispositivo OT crítico apenas para usuários específicos.
-
Firewall de Internet -
- Defina regras para uma aplicação SaaS que limitam o acesso com base nas configurações do dispositivo e na localização.
- Bloquear o acesso à Internet para câmeras IP na rede.
Por padrão, as configurações do dispositivo não impactam o tráfego porque estão definidas como Qualquer Qualquer e automaticamente correspondem a todo o tráfego.
Para mais informações sobre o firewall WAN e Internet da Cato, consulte os artigos da Base de Conhecimento em Cato Firewalls.
- Antes de poder adicionar um Perfil de Dispositivo às configurações de Dispositivo para uma regra, você deve criar e configurar o Perfil de Dispositivo.
- Para ver quais Verificações de Dispositivo são suportadas para o SO do Cliente e sua versão, veja Criando Perfis de Postura de Dispositivo e Verificações de Dispositivo.
-
As regras que usam Perfis de Dispositivo são aplicadas apenas quando o Cliente Cato está instalado no dispositivo e usado como um agente de identidade, tanto remotamente quanto quando localizado atrás de um Socket.
Para mais informações, consulte Usando Agentes de Identidade Cato para Consciência do Usuário (Autenticação EA sem uma Licença ZTNA).
Nota: Clientes Licenciados automaticamente são usados como agentes de identidade.
Estas são as configurações de Dispositivo que você pode adicionar a uma regra de firewall:
- Atributos do Dispositivo - Atributos de dispositivos conforme identificado pelo motor de detecção de Inventário de Dispositivos.
- Plataformas - Sistema operacional (SO) do dispositivo.
- Países - País de origem da conexão com base na localização física do dispositivo (de acordo com a geolocalização do endereço IP).
- Perfis de Postura de Dispositivo - Perfis de Dispositivo (configurados em Acesso > Postura do Dispositivo).
- Origem da Conexão - A geolocalização do dispositivo. Você pode configurar a regra com base em se o dispositivo está conectando por trás de um Side ou remotamente via Cliente, Extensão do Navegador, ou Navegador Empresarial (cada opção de conexão remota pode ser selecionada separadamente).
- Atributos do Usuário: O Nível de Risco e Nível de Confiança do usuário logado no dispositivo.
Quando você configura múltiplas condições para uma regra, elas têm uma relação E, a regra é correspondida apenas se o tráfego corresponder aos critérios definidos em todos os itens.
Dentro de uma condição (uma única célula), os itens têm uma relação OU. Por exemplo, uma regra que tem a condição de Plataformas de Windows e macOS, corresponde a todos os dispositivos Windows ou macOS.
Este é um exemplo de uma regra onde o Tráfego deve atender a todas essas condições de Dispositivo: dispositivos Windows, localizados na Índia, que atendem aos requisitos do Perfil de Postura de Dispositivo 1.
Use a condição de Atributos do Dispositivo para definir regras para dispositivos que foram detectados na rede pelo motor de Inventário de Dispositivos. Você pode usar os seguintes atributos em uma regra de firewall: Categoria, Tipo, Modelo, SO, Fabricante, Versão do SO.
Selecione um Tipo de Atributo do Dispositivo, em seguida selecione os valores na lista suspensa. A lista é automaticamente preenchida com valores de dispositivos detectados na rede. Você pode selecionar múltiplos Tipos de Atributos do Dispositivo em uma regra, e os atributos têm uma relação E entre eles. Por exemplo, se você selecionar SO como Windows e Fabricante como Dell, a condição se aplica apenas a dispositivos Dell com um sistema operacional Windows.
No entanto, quando você seleciona múltiplos valores dentro de um Tipo de Atributo do Dispositivo, há uma relação OU entre eles. Por exemplo, se você selecionar Fabricante com os valores de Dell e HP, a condição corresponderá para dispositivos Dell ou HP.
É necessária uma licença separada de Inventário de Dispositivos para páginas e funcionalidades de Inventário de Dispositivos. Para mais informações sobre a compra de uma licença, por favor, contate seu representante Cato.
A condição de Plataformas para uma regra de firewall permite definir os sistemas operacionais do dispositivo que correspondem à regra. Por exemplo, para um segmento de rede específico, permita o acesso somente a dispositivos Windows, macOS ou Linux.
A condição de Países permite definir a origem do tráfego que corresponde à regra com base na geolocalização IP do dispositivo. Por exemplo, restrinja o acesso a um site para um escritório filial, para que apenas dispositivos localizados no mesmo país que o escritório possam se conectar.
A condição de Perfis permite restringir a regra a somente corresponder os dispositivos que atendem aos requisitos do Perfil do Dispositivo. Esta condição é baseada no recurso de Postura do Dispositivo, que verifica se o dispositivo atende aos requisitos de postura. Por exemplo, apenas dispositivos que possuem a versão mais recente do software Anti-Malware atendem aos requisitos de postura.
Os Perfis de Dispositivo atualmente não são suportados em todas as versões do Cliente, para mais informações veja Criando Perfis de Postura de Dispositivo e Verificações de Dispositivo.
O firewall só pode determinar se um Cliente corresponde à Verificação de Dispositivo para Clientes suportados. Para cada Verificação de Dispositivo, você pode definir o comportamento para Clientes não suportados que correspondem à outra regra de firewall (Fonte, App/Categoria, etc.):
- Pule a Verificação de Dispositivo e aplique a ação de firewall aos Clientes não suportados
- Aplique a Verificação de Dispositivo, e o Cliente não corresponde à regra de firewall e a ação não é aplicada
A tabela a seguir explica o comportamento para Clientes não suportados quando a conexão corresponde a todas as outras configurações da regra de firewall. O comportamento depende de se a opção Pular esta verificação para a versão do Cliente SDP não suportada está ativada ou desativada (desabilitada) na Verificação de Dispositivo.
| Clientes Não Suportados | Ação da Regra de Firewall | Comportamento do Cliente |
|---|---|---|
| Pular verificação (Ativado) | Bloquear | Clientes não suportados automaticamente pulam a Verificação de Dispositivo e são bloqueados (eles não podem se conectar) |
| Permitir | Clientes não suportados automaticamente pulam a Verificação de Dispositivo e são permitidos (eles podem conectar) | |
| Aplicar Verificação (Desabilitado) | Bloquear | Clientes não suportados falham em corresponder à Verificação de Dispositivo, o firewall pula esta regra (não aplica a ação de bloqueio à conexão) |
| Permitir | Clientes não suportados falham em corresponder à Verificação de Dispositivo, o firewall pula esta regra (não aplica a ação de permitir à conexão) |
A condição de Origem da Conexão permite definir a localização geográfica do dispositivo que corresponde à regra. Por exemplo, permita o acesso à informação sensível por trás de um site, mas não quando trabalhando remotamente.
A condição de Atributo do Usuário permite definir critérios baseados na Pontuação de Risco ou Nível de Confiança do usuário. Por exemplo, permitir acesso ao Salesforce apenas quando o Nível de Confiança do usuário é Alto.
Usar o atributo Nível de Confiança permite aplicar um requisito para um nível mais alto de autenticação (autenticação escalonada) ao acessar recursos sensíveis. Ao bloquear o acesso, você pode aplicar um modelo personalizado informando o usuário por que foi bloqueado e o que precisa fazer para obter o acesso.
Você pode configurar as configurações de critérios do dispositivo em uma nova ou existente regra de firewall.
Para configurar as condições de Dispositivo para uma regra de firewall:
- Na seção Segurança do painel de navegação, selecione Firewall de Internet ou Firewall WAN.
- Clique em Novo para criar uma nova regra, ou clique no ícone Editar
na coluna Critérios para uma regra existente.
- In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
-
Clique em Aplicar.
As condições de Critérios são configuradas para a regra.
Este é um exemplo de uma Regra de Firewall WAN que permite tráfego em Ambas as Direções para todos os Usuários SDP que correspondem a todas as seguintes condições de Dispositivo: usando um dispositivo com SO Windows, localizado fisicamente na Coreia do Sul, e que atende aos requisitos do Perfil do Dispositivo de Teste.
Este é um exemplo de regra de firewall da Internet que é uma exceção à regra que bloqueia a categoria Social. A exceção permite tráfego que corresponde às seguintes condições de Dispositivo: usando um dispositivo com Windows ou macOS e localizado fisicamente nos Estados Unidos.
Este é um exemplo de regra de firewall de Internet que bloqueia o tráfego para Salesforce para todos os usuários com Nível de Confiança Baixo.
Quando um usuário é bloqueado, ele é apresentado a uma página de bloqueio dedicada informando o que precisa fazer para obter acesso ao Salesforce.
- Adicionar a Perfis de Postura do Dispositivo às regras com a ação de permitir
- Defina o Perfil do Dispositivo com os requisitos mínimos para permitir que os Dispositivos se conectem (Dispositivos que não atendem a esses requisitos são Bloqueados)
0 comentário
Por favor, entre para comentar.