Аутентификация устройства — это процесс проверки идентичности и безопасности устройства перед разрешением доступа к сетевым ресурсам. Аутентификация устройства осуществляется с использованием цифровых сертификатов в системе Cato. Это часть фреймворка безопасности нулевого доверия, чтобы гарантировать, что только доверенные устройства имеют доступ к сети и к определенным сетевым ресурсам.
Основной принцип безопасности нулевого доверия заключается в том, что никакое устройство или пользователь не должны автоматически доверяться. Нулевое доверие предполагает, что каждый запрос на доступ, вне зависимости от того, исходит ли он изнутри сети или снаружи, потенциально может исходить от вредоносного субъекта или скомпрометированного устройства.
Аутентификация устройства обеспечивает доступ к сетевым ресурсам только для авторизованных устройств. Путем верификации идентичности и безопасности каждого устройства перед предоставлением доступа нулевое доверие снижает риск потенциального нарушения безопасности из-за скомпрометированного или неавторизованного устройства.
Cato реализует аутентификацию устройства, используя политику клиентского подключения для применения проверки на основе сертификатов. Это гарантирует, что только устройства с действующим и доверенным сертификатом могут получить доступ к сети.
Когда устройство пытается подключиться к сети (через Cato PoP) и проверка сертификата устройства настроена в правиле клиентского подключения, Cato Client проверяет наличие установленного действующего сертификата на устройстве. В противном случае Клиент блокирует подключение устройства к сети.
Это поток настройки для реализации аутентификации устройства.
-
Подготовьте устройства к использованию проверки устройства для подписи сертификата.
-
Распределите сертификат на управляемые устройства. Смотрите статьи в разделе Распределение и установка сертификатов устройств.
-
Загрузите подписи сертификата в CMA. Смотрите Управление подписанием сертификатов для удаленного доступа.
-
-
Настройте проверку устройства для подписи сертификата и назначьте её профилю устройства. Смотрите Создание профилей позиции устройства и проверок устройства.
-
Создайте правило политики клиентского подключения, разрешающее подключения для устройств, на которых установлен сертификат подписи.
Окончательное правило ANY ANY Block в политике применяется к устройствам, на которых не установлен сертификат.
Проверка сертификата устройства основана на асимметричном шифровании ключа. Шифрование с асимметричными ключами, также известное как криптография с открытым ключом, — это криптографическая техника, использующая пару математически связанных ключей для защиты информации. Эти два ключа называются открытым ключом и закрытым ключом. Cato не генерирует сертификаты и не управляет их жизненным циклом.
Данные, зашифрованные открытым ключом, могут быть расшифрованы только соответствующим закрытым ключом, и наоборот. Открытый ключ можно свободно распространять, в то время как закрытый ключ должен оставаться секретным.
Этот метод шифрования безопасен, потому что даже несмотря на то, что открытый ключ можно свободно распространять, его нельзя использовать для расшифровки сообщений, зашифрованных с его помощью. Только соответствующий закрытый ключ может расшифровать сообщение.
-
Загрузите корневой сертификат подписи в Cato Management Application (Доступ > Доступ клиента > Сертификаты подписи). Сертификат также содержит открытый ключ. Открытый ключ можно свободно распространять.
-
Загрузите сертификат устройства и закрытый ключ на устройство. Устройство должно хранить закрытый ключ в секрете. Cato Client должен быть установлен на устройстве. Когда устройство подключается к Cato PoP (Точка присутствия), Клиент проверяет подлинность сертификата и проверяет, что сертификат действителен и соответствует сертификату подписи.
-
Чтобы проверить подлинность устройства, Cato отправляет зашифрованный вызов. Зашифрованный вызов представляет собой случайное сообщение, которое создается Cato и зашифровывается с использованием открытого ключа, полученного из загруженного на Cato корневого сертификата на шаге 1.
-
Устройство использует свой закрытый ключ для расшифровки зашифрованного вызова и отправляет расшифрованный вызов Cato.
-
Если расшифрованный вызов соответствует оригиналу, устройство удостоверяется и получает доступ к определённым ресурсам.
0 комментариев
Войдите в службу, чтобы оставить комментарий.