Este artigo discute como adicionar condições para dispositivos na política de Inspeção TLS para inspeção granular com base no estado atual do dispositivo.
A configuração de Dispositivo para a política de Inspeção TLS permite ampliar o escopo para inspecionar o tráfego com base no dispositivo real do usuário SDP. Você pode especificar os requisitos para dispositivos aos quais as regras de Inspeção TLS se aplicam. Por exemplo:
-
Inspecionar tráfego apenas para dispositivos baseados em localização geográfica
-
Permitir apenas que dispositivos ignorem a Inspeção TLS com base no sistema operacional específico
Por padrão, as configurações de Dispositivo não impactam a política de Inspeção TLS, pois estão definidas para Qualquer Qualquer e correspondem automaticamente a todo o tráfego.
-
Verificações de Dispositivo são suportadas para Clientes Windows e macOS. Para mais informações sobre os requisitos para cada verificação, consulte Criação de Perfis de Postura de Dispositivo e Verificações de Dispositivo.
-
Antes de você poder adicionar um Perfil de Dispositivo às configurações de Dispositivo para uma regra:
-
Você deve criar e configurar o Perfil de Dispositivo
-
-
Limitação conhecida - Regras que usam Perfis de Dispositivo são aplicadas apenas quando o usuário está conectado com o Cliente Cato (mesmo que estejam localizados atrás de um Socket)
Estas são as condições de configurações de Dispositivo que você pode adicionar a uma regra de Inspeção TLS:
-
Plataformas - Sistema Operacional do Dispositivo (SO)
-
Países - País de origem para a conexão com base na localização física do dispositivo (de acordo com a geolocalização do endereço IP)
-
Perfis - Perfis de Dispositivo (configurado em Recursos > Postura do Dispositivo)
-
Origem da Conexão - A geolocalização do dispositivo (Remoto ou atrás de um site)
Quando você configura múltiplas condições para uma regra, elas têm uma relação E, a regra é correspondida somente se o tráfego corresponder aos critérios definidos em todos os itens.
Dentro de uma condição (uma única célula), os itens têm uma relação OU. Por exemplo, uma regra que tem a condição de Plataformas de Windows e macOS, corresponde a todos os dispositivos Windows ou macOS.
Este é um exemplo de uma regra em que o tráfego deve atender a todas estas condições de Dispositivo: dispositivos Windows, localizados na Índia, que atendem aos requisitos do Perfil de Dispositivo Exemplo.
A condição de Plataformas para uma regra de Inspeção TLS permite definir o sistema operacional do dispositivo que corresponde à regra. Por exemplo, para um segmento de rede específico, permitir apenas a inspeção de tráfego para dispositivos Windows, macOS ou Linux.
A condição de Países permite definir a origem do tráfego que corresponde à regra com base na geolocalização IP do dispositivo. Por exemplo, para um site que é uma filial, permitir que dispositivos móveis iOS e Android ignorem a Inspeção TLS.
A condição de Perfis permite restringir a regra para corresponder apenas a dispositivos que atendem aos requisitos do Perfil de Dispositivo. Esta condição é baseada no recurso de Postura do Dispositivo, que verifica se o dispositivo atende aos requisitos de postura.
Nota
Nota: Para dispositivos que estão conectados usando o Modo de Escritório (ou túnel no túnel), o motor de Inspeção TLS não aplica perfis de Postura do Dispositivo aos dispositivos. Isso significa que, para uma regra de Inspeção, dispositivos usando o Modo de Escritório não são inspecionados, mesmo que não atendam aos requisitos do perfil de Postura do Dispositivo.
O motor de Inspeção TLS só pode determinar se um Cliente corresponde ao Perfil de Dispositivo para Clientes suportados. Para cada Verificação de Dispositivo, você pode definir o comportamento para Clientes não suportados que correspondem a outros requisitos na regra:
-
Pular a Verificação de Dispositivo - aplicar a ação de Inspeção TLS aos Clientes não suportados
-
Aplicar a Verificação de Dispositivo - a ação é aplicada apenas quando o Cliente corresponde à regra
A tabela a seguir explica o comportamento para Clientes não suportados quando a conexão corresponde a todas as outras configurações da regra. O comportamento depende se a opção Pular esta verificação para versão do Cliente SDP não suportada está ativada ou desativada (desmarcada) na Verificação de Dispositivo.
|
Clientes Não Suportados |
Ação da Regra de Inspeção TLS |
Comportamento do Cliente |
|---|---|---|
|
Pular verificação (Ativado) |
Inspecionar |
Clientes não suportados automaticamente pulam a Verificação de Dispositivo e o tráfego é inspecionado |
|
Ignorar |
Clientes não suportados automaticamente pulam a Verificação de Dispositivo e ignoram a Inspeção TLS |
|
|
Aplicar Verificação (Desativado) |
Inspecionar |
Clientes não suportados falham na correspondência da Verificação de Dispositivo, o motor de Inspeção TLS ignora esta regra (não inspeciona o tráfego) |
|
Ignorar |
Clientes não suportados falham na correspondência da Verificação de Dispositivo, o motor de Inspeção TLS ignora esta regra (não ignora a inspeção) |
A condição Origem da Conexão permite definir o dispositivo de geolocalização que corresponde à regra. Por exemplo, permita acesso a informações sensíveis atrás de um site, mas não quando estiver trabalhando remotamente.
Você pode configurar as configurações do Dispositivo em uma nova ou existente regra de Inspeção TLS.
Para configurar as condições do Dispositivo para uma regra:
-
No menu de navegação, clique em Segurança > Inspeção TLS.
-
Clique em Novo para criar uma nova regra, ou clique no ícone de Editar
na coluna Dispositivo para uma regra existente.
-
Na seção Dispositivo, configure as Plataformas, Países, Perfis de Postura de Dispositivo, e Origem da Conexão necessários para corresponder a esta regra.
-
Clique em Aplicar.
As condições de Dispositivo estão configuradas para a regra.
0 comentário
Por favor, entre para comentar.