Эта статья объясняет, как можно использовать политику подключения клиентов, чтобы обеспечить подключение устройств к вашей сети только при соблюдении организационных требований безопасности.
Часть реализации политики безопасности корпоративного доступа к сети Zero Trust Network Access (ZTNA) и уменьшения поверхности атаки заключается в проверке состояния устройств перед их подключением к сети. Политика подключения клиентов позволяет создавать правила, определяющие требования к устройству. После успешной аутентификации пользователя SDP клиент Cato выполняет проверки для верификации соответствующих условий на устройстве. Например, клиент проверяет актуальность анти-малуэрного программного обеспечения, в противном случае не подключается к вашей сети.
Клиент может определить условия устройства, например:
- Профиль состояния устройства: Это подтверждает состояние безопасности устройства для поддерживаемых проверок устройства, см. ниже.
- Платформа: Это определяет операционную систему устройства. Например, вы можете требовать, чтобы подключались только устройства Windows.
- Страны: Это определяет физическое местоположение устройства. Например, определите список стран, к которым Клиент не подключается, если устройство расположено в этой стране (на основе геолокации IP).
- Уровень доверия: Это описывает, насколько надежна аутентификация пользователя. Для получения дополнительных сведений см. Удаленная безопасность интернета с аутентификацией за раз.
Политика доступа клиента также помогает администраторам поддерживать правильный уровень доступа, когда контекст пользователя или устройства изменяется во время сеанса. Если клиент больше не соответствует требованиям для полного доступа к сети, политика может ограничить сеанс доступом к защищенному Интернету или заблокировать соединение, в зависимости от настроенного правила. Это помогает снизить воздействие от устройств, которые становятся несоответствующими требованиям, при этом сохраняя доступ, когда соединение по-прежнему соответствует требованиям безопасности организации.
Политика подключения клиентов управляет доступом для удаленных пользователей, для получения дополнительной информации о контроле доступа для пользователей за сайтом см. Добавление условий устройства в правила брандмауэра.
Компания ABC базируется в Великобритании и включает в себя как корпоративных сотрудников, так и сторонних подрядчиков. Корпоративные сотрудники используют устройства Windows, а сторонние подрядчики используют свои собственные устройства. Чтобы защитить сеть, компания хочет убедиться, что подключение возможно только для устройств, соответствующих следующим условиям:
- Устройство расположено в Соединённом Королевстве.
- Устройства, используемые корпоративными сотрудниками, имеют обязательный сертификат устройства.
- Устройства, используемые сторонними подрядчиками, установлено программное обеспечение для защиты от вредоносных программ, шифрования диска и управления патчами.
Чтобы гарантировать, что устройства, подключающиеся к её сети, соответствуют её требованиям безопасности, компания создает следующие правила Политики подключения клиента чтобы разрешить подключения:
-
Правило 1 - Корпоративные сотрудники: На устройстве, используемом корпоративным сотрудником, клиент проверяет, что устройство:
- Является устройством Windows.
- Имеет действительный токен аутентификации.
- Установлен обязательный сертификат.
- Устройство расположено в Соединённом Королевстве.
-
Правило 2 - Сторонние подрядчики: На устройстве, используемом сторонним подрядчиком, клиент проверяет, что устройство:
- Установлено программное обеспечение для защиты от вредоносных программ, шифрования диска и управления патчами.
- Имеет действительный токен аутентификации.
- Устройство расположено в Соединённом Королевстве.
Клиент подключается к сети только в том случае, если он определяет, что устройство соответствует соответствующим условиям для корпоративного сотрудника или стороннего подрядчика.
Политика подключения клиента - это упорядоченная база правил, которая последовательно проверяет, соответствуют ли условия устройств требуемым условиям для пользователя SDP. После того как устройство соответствует правилу, оно может подключаться к вашей сети. Правила, расположенные после совпадающего правила, к устройству не применяются. Если устройство не соответствует ни одному правилу, оно блокируется конечным неявным правилом политики (ЛЮБОЕ ЛЮБОЕ блок).
Для получения дополнительной информации о определении правил для Политики доступа клиента см. Настройка Политики доступа клиента.
Чтобы обеспечить выполнение требований к соответствию для пользователей SDP, сначала определите требования к состоянию устройства для пользовательских сегментов в вашей организации. Затем вы можете использовать политику подключения клиента для внедрения этих требований.
Каждое правило политики подключения клиента может содержать Профиль состояния устройства. Это позволяет определять детализированные требования к состоянию устройства (Проверки устройств) для устройств в вашей организации. Когда вы включаете несколько проверок в один профиль, они имеют отношение И. Например, вы можете создать Профиль состояния устройства, содержащий проверки Анти-Малвер, Брандмауэр и Шифрование диска.
Вы можете создать разные проверки для каждой операционной системы и проверять наличие определенных поставщиков и версий, установленных на устройстве. Это позволяет клиенту выполнять детализированные проверки устройств для валидации их состояния.
Проверки устройств поддерживаются для клиентов Windows и macOS. Для получения дополнительной информации о требованиях каждой проверки, см. Создание профилей состояния устройства и проверок устройства.
Вы можете предотвратить подключение клиента к вашей сети на основе операционной системы устройства и/или местоположения устройства. Каждое правило Политики подключения клиента содержит опции для включения Платформы и Страны. Если клиент определяет, что устройство работает на несоответствующей операционной системе или находится в несоответствующем местоположении, оно не подключается к вашей сети.
0 комментариев
Войдите в службу, чтобы оставить комментарий.