Что такое политика доступа клиента?

Эта статья объясняет, как использовать политику доступа клиента для обеспечения подключения устройств к вашей сети только при соответствии организационным требованиям безопасности.

Обзор

Часть реализации вашей политики безопасности корпоративного доступа сети Zero Trust (ZTNA) и снижения поверхности атаки заключается в проверке состояния устройств перед их подключением к сети. Политика доступа клиента позволяет создать правила, определяющие требования к устройству. После успешной аутентификации пользователя SDP, Клиент Cato выполняет проверки для подтверждения релевантных условий на устройстве. Например, Клиент подтверждает, что антивирус обновлен, иначе устройство не подключится к вашей сети.

Клиент может идентифицировать условия устройства на основе следующих элементов:

Профиль Проверки Положения Устройства: Это проверяет статус безопасности устройства для поддерживаемых Проверок Устройства, см. ниже Определение Требований к Положению Устройства.
Платформа: Это определяет операционную систему устройства. Например, вы можете требовать, чтобы только устройства Windows были разрешены для подключения.
Страны: Это определяет физическое местоположение устройства. Например, определите список стран, к которым Клиент не подключается к сети, если устройство находится в этой стране (на основе IP геолокации).
Уровень доверия: Это описывает надежность аутентификации пользователя. Для получения дополнительной информации см. Удаленная интернет-безопасность с одноразовой аутентификацией.

Политика Клиентской Связи контролирует доступ для удаленных пользователей, для получения дополнительной информации о контроле доступа для пользователей за сайтом см. Добавление Условий Устройства в Правила Межсетевого Экрана.

Пример использования

Компания ABC базируется в Великобритании и имеет сочетание корпоративных сотрудников и подрядчиков третьих сторон. Корпоративные сотрудники используют устройства Windows, но подрядчики третьих сторон используют свои собственные устройства. Для защиты сети компания хочет убедиться, что только устройства с следующими условиями могут подключаться:

Устройство находится в Великобритании
Устройства, используемые корпоративными сотрудниками, имеют требуемый сертификат устройства
Устройства, используемые третьими сторонами подрядчиков, имеют установленные Антивирус, Шифрование диска и ПО для Управления патчами

Для обеспечения соблюдения требований безопасности устройств, подключающихся к сети, компания создает следующие правила Политики доступа клиента Разрешить:

Правило 1 - Корпоративные сотрудники: На устройстве, используемом корпоративным сотрудником, Клиент проверяет соответствие устройства:
- Является устройством Windows
- Имеет действительный токен аутентификации
- Установлен требуемый сертификат
- Находится в Великобритании
Правило 2 - Подрядчики третьих сторон: На устройстве, используемом подрядчиком третьих сторон, Клиент проверяет соответствие устройства:
- Установлены Антивирус, Шифрование диска и ПО для Управления патчами
- Имеет действительный токен аутентификации
- Находится в Великобритании

Клиент подключается к сети только в том случае, если он идентифицирует, что устройство соответствует подходящим условиям для корпоративного сотрудника или подрядчика третьей стороны.

Контроль доступа устройства к вашей сети

Политика доступа клиента представляет собой упорядоченную базу правил, которая последовательно проверяет, соответствуют ли условия устройства требуемым условиям для пользователя SDP. Как только устройство соответствует правилу, оно может подключиться к вашей сети. Правила, указанные после соответствующего правила, к устройству не применяются. Если устройство не соответствует ни одному из правил, оно блокируется последним скрытым правилом политики (БЛОКИРОВКА ЛЮБОГО ЛЮБОГО).

Для получения дополнительной информации о определении правил для Политики Клиентской Связи см. Конфигурирование Политики Клиентской Связи.

Определение требований к состоянию устройства

Чтобы обеспечить соблюдение требований соответствия для пользователей SDP, сначала определите требования к состоянию устройства для сегментов пользователей в вашей организации. После этого вы можете использовать политику доступа клиента для реализации этих требований.

Каждое правило Политика доступа клиента может содержать Профиль состояния устройства. Это позволяет вам установить подробные требования к состоянию устройства (Проверки устройства) для устройств в вашей организации. Когда в один профиль включено несколько проверок, они имеют отношение И. Например, вы можете создать Профиль состояния устройства, который содержит проверки Антивируса, Файервола и Шифрования диска.

Вы можете создать разные проверки для каждой операционной системы и проверять наличие на устройстве определённых поставщиков и версий. Это позволяет Клиенту выполнять детальные проверки устройств для проверки состояния.

Проверки устройства поддерживаются для клиентов Windows и macOS. Для получения дополнительной информации о требованиях для каждой проверки см. Создание Профилей Положения Устройства и Проверок Устройства.

Определение дополнительных требований к соответствию

Вы можете запретить Клиенту подключение к вашей сети на основе операционной системы устройства и/или местоположения устройства. Каждое правило Политика доступа клиента содержит опции для включения Платформы и Страны. Если Клиент обнаружит, что устройство работает на не соответствующей операционной системе или находится в не соответствующем местоположении, оно не подключится к вашей сети.