В этой статье объясняется, как использовать функции Cato для обеспечения пользователей удаленной безопасностью Интернета с одноразовой аутентификацией и безопасного приватного доступа по запросу.
Cato может предоставить пользователям безопасность удаленного доступа к Интернету после одноразовой аутентификации. Это означает, что пользователи всегда имеют интернет-соединение и защиту с минимальным взаимодействием с Клиентом. Доступ к вашей частной сети (WAN) может предоставляться по запросу.
Это настраивается путем определения уровня аутентификации, который пользователи требуют для безопасного доступа к Интернету или вашей частной сети (WAN). Например, вы можете всегда разрешать пользователям безопасный доступ к Интернету после их первоначальной аутентификации, но разрешать доступ к вашей частной сети (WAN) только после повторной аутентификации пользователя.
Кроме того, вы можете контролировать процесс повторной аутентификации пользователей. Запрос может быть отображен пользователям до или после истечения срока действия токена аутентификации.
Удаленная безопасность Интернета с одноразовой аутентификацией включена путем определения Уровней доверия пользователя и уровня доступа (Действие) в правилах Политики доступа клиента. Уровень доверия описывает, насколько надежна аутентификация пользователя. Действие определяет, может ли пользователь получить доступ к Интернету и частной сети (WAN) или только к Интернету.
Уровень доверия описывает, насколько надежна аутентификация пользователя. Уровни доверия включают:
-
Высокий: Пользователь аутентифицирован в Клиенте и токен Cato действителен
-
Низкий: Пользователь аутентифицировался на Клиенте, но срок действия токена Cato истек
-
Любой: Пользователь аутентифицировался на Клиенте, и токен Cato либо действителен, либо истек срок действия
Уровни доверия применяются к пользователям после аутентификации любым методом аутентификации. Токен Cato никогда не истекает для пользователей, которые аутентифицируются с Имя пользователя и Пароль или коды регистрации. Эти пользователи всегда имеют высокий уровень доверия.
Действие определяет уровень доступа, предоставляемый пользователю. Действия включают:
-
Разрешить WAN и Интернет: Пользователь имеет защищенный доступ в Интернет и может получить доступ к частной сети (WAN)
Примечание
Заметка: Этот вариант предоставляет разрешение пользователю на доступ к частной сети (WAN). Доступ пользователя к частной сети (WAN) зависит от правил в Межсетевой экран WAN.
-
Разрешить Интернет: Пользователь имеет только защищённый доступ в Интернет и не может получить доступ к частной сети (WAN)
Эта опция поддерживается только для Клиент для Windows v5.9 и выше. Другие ОС, инициирующие это действие, будут заблокированы.Примечание
Заметка: Этот вариант предоставляет разрешение пользователю на доступ в Интернет. Доступ пользователя к Интернету зависит от правил в Межсетевой экран Интернета.
-
Блокировать: Пользователь заблокирован от доступа к Интернету или WAN
Издательская компания имеет торговых представителей, которые работают удаленно и редко нуждаются в доступе к корпоративному WAN.
Компания создает эти правила для группы пользователей торговых представителей:
-
В своей Политике Always-On они обеспечивают подключение Клиента с любым работающим удаленно
-
В Политике подключения клиента они позволяют пользователям с Низким уровнем доверия доступ в Интернет
Когда торговые представители прибывают к потенциальным клиентам, они подключаются к Интернету безопасно, без взаимодействия с Клиентом Cato.
Банк имеет строгие требования безопасности Интернета и должен всегда удостоверяться, что удаленные пользователи, выходящие в Интернет и частную сеть (WAN), аутентифицированы.
Компания создает эти правила для всех удаленных пользователей:
-
В своей Политике Always-On, чтобы убедиться, что Клиент всегда подключен
-
В Политике подключения клиента они предоставляют доступ к Интернету и частной сети (WAN) пользователям с высоким уровнем доверия.
Когда пользователь подключается удаленно, он должен аутентифицироваться перед тем, как получить доступ в Интернет или частную сеть (WAN).
Следуйте этим шагам, чтобы включить удаленную безопасность Интернета с одноразовой аутентификацией:
-
Определите правило в своей Политике Всегда Включено, чтобы Клиент всегда подключался к облаку Cato, защищая пользователей и устройства.
-
Определите правило в своей Политике подключения клиента, которое определяет уровень доступа на основе Уровень доверия пользователя.
-
Настройте, как пользователям предлагается повторно аутентифицироваться, чтобы обеспечить лучший опыт для ваших пользователей.
Политика Всегда Включено повышает безопасность Интернета, определяя правила, когда пользователи или группы пользователей всегда подключаются к облаку Cato. Это обеспечивает, что весь трафик проходит через PoP, и движки безопасности Cato проверяют трафик, чтобы убедиться, что он соответствует вашим политикам безопасности.
Для получения дополнительной информации о том, как создать правило в вашей политике Всегда Включено, смотрите Защита пользователей с помощью безопасности Всегда Включено.
Если у вас уже есть правило для соответствующих групп пользователей в вашей Политике Всегда Включено, этот шаг не требуется.
Политика подключения клиента защищает вашу сеть, удостоверяясь, что устройства или пользователи подключаются только тогда, когда они соответствуют организационным требованиям безопасности.
Включение Уровня доверия и Действий в правило Политики подключения клиента позволяет вам определить доступ, доступный пользователям и группам пользователей на основе надежности их аутентификации.
Для получения дополнительной информации о том, как управлять сетевым доступом в вашей политике доступа клиента, смотрите Настройка политики доступа клиента.
Правила Политики подключения клиента можно применять только к пользователям с Лицензией SDP.
Чтобы настроить доступ на основе уровня доверия:
-
В навигационном меню нажмите Доступ > Политика подключения клиента.
-
Нажмите Новый. Откроется панель Новое Правило.
-
Настройте область действия правила:
-
Определите Уровень доверия
-
Определите Действие
-
-
Нажмите Применить, а затем нажмите Сохранить.
Примечание
Примечание: Как наилучшую практику, создайте финальное правило для любого Пользователя или Группы с уровнем доверия Любой и действие Разрешить Интернет. Это предоставляет любому пользователю, который не совпал с более приоритетным правилом, безопасный доступ в Интернет.
Вы можете выбрать, когда Клиент предлагает пользователям повторно аутентифицироваться. Например:
-
Если пользователю требуется только защищенный доступ в Интернет и не нужен регулярный доступ к вашей частной сети (WAN), его не нужно беспокоить предложениями повторной аутентификации.
-
Если пользователь всегда нуждается в доступе к вашей частной сети (WAN), он может получать запросы на повторную аутентификацию до и после истечения срока действия токена аутентификации, чтобы его доступ не был заблокирован.
Если вы настраиваете Любой или Низкий уровень доверия с действием Разрешить WAN и Интернет, пользователю не предлагается повторная аутентификация после истечения срока действия токена, и предоставляется полный доступ с истекшим токеном. Для получения дополнительной информации о доступных методах аутентификации смотрите Настройка политики аутентификации для клиентов Cato.
Чтобы определить, когда пользователи получают запрос на повторную аутентификацию:
-
В меню навигации нажмите Доступ > Аутентификация пользователей.
-
Нажмите на вкладку Дополнительные настройки.
-
Выберите, когда пользователи получают запрос на повторную аутентификацию.
Примечание: Вы можете выбрать один, оба или ни один из вариантов. Если вы оставите оба варианта неотмеченными, пользователь не получит никаких запросов на повторную аутентификацию.
-
Нажмите Сохранить.
Вы можете мониторить уровень доверия пользователей в любое время на странице Доступ > Пользователь. Текущий уровень доверия пользователя отображается на вкладке Справочник пользователей. Также создается событие всякий раз, когда политика подключения клиента позволяет пользователю подключиться. Для получения дополнительной информации смотрите Настройка политики доступа клиента.
Клиент отображает уровень доступа, разрешенный пользователю, исходя из надежности его аутентификации. В зависимости от разрешенного уровня доступа, защищенный частный доступ и защищенный доступ в Интернет перечисляются с галочкой или восклицательным знаком.
Включение удаленной безопасности Интернета с одноразовой аутентификацией влияет на другие функции.
Внутренний DNS для вашей учетной записи игнорируется для пользователей, которым предоставлен доступ только к Интернету.
Если пользователь имеет доступ только в Интернет, то Cato Интернет DNS (10.254.254.1) используется в качестве основного DNS, а вторичный DNS - 8.8.8.8.
Примечание: Правила пересылки DNS по умолчанию также применяются. Это поведение можно изменить для каждого пользователя или учетной записи. Для получения дополнительной информации, пожалуйста, свяжитесь с Поддержка Cato.
Режим офиса
Вы можете настроить пользователей с включенным режимом "Всегда Включено" так, чтобы требовалась аутентификация в Cato, когда клиент подключен в офисном режиме. Для получения дополнительной информации смотрите Защита пользователей с помощью безопасности Всегда Включено.
Пользователь, настроенный в правиле политики доступа клиента, которое позволяет доступ в Интернет с низким уровнем доверия (срок действия токена аутентификации Cato истек), не должен аутентифицироваться в офисном режиме. Конфигурация политики подключения клиента переопределяет конфигурацию "Всегда Включено" в офисном режиме.
Конфигурации предварительного входа не затронуты конфигурациями для удаленной безопасности Интернета с одноразовой аутентификацией. До аутентификации пользователей трафик маршрутизируется следующим образом:
-
Клиенты с включенным режимом "Всегда Включено" могут подключаться только к ресурсам, определенным в Разрешенных направлениях, трафик Интернета заблокирован.
-
Клиенты без включенного режима "Всегда Включено" могут подключаться к ресурсам, определенным в Разрешенных направлениях, и получать незащищенный доступ в Интернет.
Для получения дополнительной информации о Предварительном входе смотрите Использование Windows Pre Login и клиента SDP.
Удаленная безопасность интернета с одноразовой аутентификацией включена с использованием конфигураций в Политика Always-On и Политика доступа клиента,
После того как пользователи проходят аутентификацию и токен аутентификации действителен, весь трафик проходит через PoP Cato и инспектируется движками безопасности Cato в соответствии с вашими политиками безопасности.
После истечения срока действия токена аутентификации, вы можете разрешить Интернет-трафику продолжать проходить через Cato PoP. Это обеспечивает непрерывный защищенный доступ к Интернету, даже если пользователь не аутентифицирован. Для защищенного частного доступа пользователям по-прежнему требуется повторная аутентификация для получения доступа в соответствии с вашей политикой брандмауэра WAN.
0 комментариев
Войдите в службу, чтобы оставить комментарий.