Удаленная безопасность интернета с одноразовой аутентификацией

В этой статье объясняется, как использовать функции Cato для обеспечения пользователей удаленной безопасностью Интернета с одноразовой аутентификацией и безопасного приватного доступа по запросу.

Обзор

Cato может предоставить пользователям безопасный удаленный доступ к Интернету после одноразовой аутентификации. Это означает, что пользователи всегда имеют интернет-соединение и защиту с минимальным взаимодействием с Клиентом. Доступ к вашей частной сети (WAN) может предоставляться по запросу.

Это настраивается путем определения уровня аутентификации, который пользователи требуют для безопасного доступа к Интернету или вашей частной сети (WAN). Например, вы можете всегда разрешать пользователям безопасный доступ к Интернету после их первоначальной аутентификации, но разрешать доступ к вашей частной сети (WAN) только после повторной аутентификации пользователя.

Кроме того, вы можете контролировать процесс повторной аутентификации пользователей. Запрос может быть отображен пользователям до или после истечения срока действия токена аутентификации.

Конфигурации для защищенного доступа к Интернету или к приватной сети (WAN)

Удаленная безопасность Интернета с одноразовой аутентификацией включается путем определения уровней доверия пользователя и уровня доступа (действие) в правилах Политика доступа клиента. Уровень доверия описывает, насколько надежна аутентификация пользователя. Действие определяет, может ли пользователь получить доступ к Интернету и частной сети (WAN) или только к Интернету.

Понимание уровней доверия

Уровень доверия описывает, насколько надежна аутентификация пользователя. Уровни доверия включают:

  • Высокий: Пользователь аутентифицирован на Клиенте, и токен Cato действителен.

  • Низкий: Пользователь аутентифицировался на Клиенте, но срок действия токена Cato истек

  • Любой: Пользователь аутентифицирован на Клиенте, и токен Cato либо действителен, либо истек.

Уровни доверия применяются к пользователям после аутентификации любым методом аутентификации. Токен Cato никогда не истекает для пользователей, которые аутентифицировались с помощью имени пользователя и пароля или регистрационных кодов. Эти пользователи всегда имеют высокий уровень доверия.

Понимание действий

Действие определяет уровень доступа, предоставляемый пользователю. Действия включают:

  • Разрешить WAN и Интернет: Пользователь имеет защищенный доступ к Интернету и может иметь доступ к приватной сети (WAN).

    Заметка: Этот вариант предоставляет разрешение пользователю на доступ к частной сети (WAN). Доступ пользователя к частной сети (WAN) зависит от правил в Межсетевой экран WAN.

  • Разрешить только Интернет: Пользователь имеет защищенный доступ только к Интернету и не может получить доступ к приватной сети (WAN).

    Неподдерживаемые ОС и версии Клиента, вызывающие это действие, будут заблокированы.

    Заметка: Этот вариант предоставляет разрешение пользователю на доступ в Интернет. Доступ пользователя к Интернету зависит от правил в Межсетевой экран Интернета.

    Это действие также включает возможность завершить активные сессии WAN. Эта опция применяется, когда ранее пользователю был разрешен доступ к WAN по одному правилу, но его обстоятельства изменились и теперь он соответствует только правилу, разрешающему доступ в Интернет. В этом случае вы можете выбрать, следует ли завершить текущие сессии WAN пользователя.

    Например, пользователю предоставляется доступ к WAN на основе его уровня доверия. Если это условие позже изменится, например, когда токен истекает, пользователь больше не будет иметь доступ к WAN. Эта настройка определяет, будут ли его текущие сессии WAN отключены.

  • Заблокировать WAN и Интернет: Пользователь заблокирован от доступа к Интернету и WAN.

    Существующие сессии WAN всегда завершаются, как только пользователь соответствует правилу с этим действием.

Необходимые условия

  • Клиент для Windows v5.9 и выше или клиент macOS v5.10 (и выше)

  • Пользователям необходимо назначить лицензию SDP, чтобы иметь безопасный доступ к интернету.

  • Пользователи должны аутентифицироваться и иметь действительный токен хотя бы один раз, чтобы уровни доверия применялись

Использование случаев

Использование - Защищённый доступ к интернету после одноразовой аутентификации

Издательская компания имеет торговых представителей, которые работают удаленно и редко нуждаются в доступе к корпоративному WAN.

Компания создает эти правила для группы пользователей торговых представителей:

  • В своей Политике Always-On они обеспечивают подключение Клиента с любым работающим удаленно

  • В Политике подключения клиента разрешают пользователям с низким уровнем доверия доступ к интернету.

Когда торговые представители прибывают к потенциальным клиентам, они подключаются к Интернету безопасно, без взаимодействия с Клиентом Cato.

Low_Confidence_Level.png

Использование - Всегда требуется повторная аутентификация

Банк имеет строгие требования к безопасности в Интернете и должен всегда гарантировать, что пользователи, которые удаленно подключаются к Интернету и приватной сети (WAN), аутентифицированы.

Компания создает эти правила для всех удаленных пользователей:

  • В своей Политике Always-On, чтобы убедиться, что Клиент всегда подключен

  • В Политике подключения клиента они предоставляют доступ к Интернету и частной сети (WAN) пользователям с высоким уровнем доверия.

Когда пользователь подключается удаленно, он должен аутентифицироваться перед тем, как получить доступ в Интернет или частную сеть (WAN).

High_Confidence.png

Создание конфигурации удаленной безопасности интернета с одноразовой аутентификацией

Следуйте этим шагам, чтобы включить удаленную безопасность интернета с одноразовой аутентификацией:

  1. Определите правило в своей Политике Всегда Включено, чтобы Клиент всегда подключался к облаку Cato, защищая пользователей и устройства.

  2. Определите правило в своей Политике подключения клиента, которое определяет уровень доступа на основе Уровень доверия пользователя.

  3. Настройте, как пользователям предлагается повторно аутентифицироваться, чтобы обеспечить лучший опыт для ваших пользователей.

Шаг 1: Применение политики Всегда Включено для защиты удаленных пользователей

Политика Всегда Включено повышает безопасность Интернета, определяя правила, когда пользователи или группы пользователей всегда подключаются к облаку Cato. Это обеспечивает, что весь трафик проходит через PoP, и движки безопасности Cato проверяют трафик, чтобы убедиться, что он соответствует вашим политикам безопасности.

Для получения дополнительной информации о том, как создать правило в своей Политике Always On, см. Защита пользователей с помощью Always-On Security.

Если у вас уже есть правило для соответствующих групп пользователей в вашей Политике Всегда Включено, этот шаг не требуется.

Шаг 2: Настройка политики доступа клиента для предоставления доступа на основе уровня доверия

Политика подключения клиента защищает вашу сеть, удостоверяясь, что устройства или пользователи подключаются только тогда, когда они соответствуют организационным требованиям безопасности.

Включение Уровня доверия и Действий в правило Политики подключения клиента позволяет вам определить доступ, доступный пользователям и группам пользователей на основе надежности их аутентификации.

Для получения дополнительной информации о том, как управлять доступом к сети в Политике подключения клиента, см. Конфигурирование Политики подключения клиента.

Правила Политики подключения клиента можно применять только к пользователям с Лицензией SDP.

CCP.png

Чтобы настроить доступ на основе уровня доверия:

  1. В навигационном меню нажмите Доступ > Политика подключения клиента.

  2. Нажмите Новый. Откроется панель Новое Правило.

  3. Настройте область действия правила:

    1. Определите Уровень доверия

    2. Определите Действие

  4. Нажмите Применить, а затем нажмите Сохранить.

    Примечание

    Примечание: Как наилучшую практику, создайте финальное правило для любого Пользователя или Группы с уровнем доверия Любой и действие Разрешить Интернет. Это предоставляет любому пользователю, который не совпал с более приоритетным правилом, безопасный доступ в Интернет.

Шаг 3: Определите пользовательский опыт повторной аутентификации

Вы можете выбрать, когда Клиент предлагает пользователям повторно аутентифицироваться. Например:

  • Если пользователю требуется только защищенный доступ в Интернет и не нужен регулярный доступ к вашей частной сети (WAN), его не нужно беспокоить предложениями повторной аутентификации.

  • Если пользователь всегда нуждается в доступе к вашей частной сети (WAN), он может получать запросы на повторную аутентификацию до и после истечения срока действия токена аутентификации, чтобы его доступ не был заблокирован.

Если вы настраиваете Любой или Низкий уровень доверия с действием Разрешить WAN и Интернет, пользователю не предлагается повторная аутентификация после истечения срока действия токена, и предоставляется полный доступ с истекшим токеном. Для получения дополнительной информации о доступных методах аутентификации, см. Настройка политики аутентификации для клиентов Cato.

When_to_Auth.png

Чтобы определить, когда пользователи получают запрос на повторную аутентификацию:

  1. В меню навигации нажмите Доступ > Аутентификация пользователей.

  2. Нажмите на вкладку Дополнительные настройки.

  3. Выберите, когда пользователи получают запрос на повторную аутентификацию.

    Примечание: Вы можете выбрать один, оба или ни один из вариантов. Если вы оставите оба варианта неотмеченными, пользователь не получит никаких запросов на повторную аутентификацию.

  4. Нажмите Новый.

Мониторинг уровня доверия пользователей и доступа к сети

Вы можете следить за уровнем доверия пользователей в любое время на странице Доступ > Пользователи. Текущий уровень доверия пользователя отображается в вкладке Активность пользователей SDPO (столбец может быть скрыт).

Событие также создается всякий раз, когда политика доступа клиента разрешает пользователю подключаться. Для получения дополнительной информации см. Настройка политики подключения клиента.

Понимание пользовательского опыта

Клиент отображает уровень доступа, разрешенный пользователю, исходя из надежности его аутентификации. В зависимости от разрешенного уровня доступа, защищенный частный доступ и защищенный доступ в Интернет перечисляются с галочкой или восклицательным знаком.

Если Клиент имеет доступ как к частной сети (WAN), так и к Интернету

Если Клиент имеет доступ только к Интернету:

Internet_Only.jpg
Trust_Level_Client_Auth.jpg

Расширенная конфигурация

Включение удаленной безопасности Интернета с одноразовой аутентификацией влияет на другие функции.

Конфигурация DNS

Внутренний DNS для вашей учетной записи игнорируется для пользователей, которым предоставлен доступ только к Интернету.

Если у пользователя есть только доступ к интернету, используется Cato Internet DNS (10.254.254.1) в качестве основного DNS, а их вторичный DNS - 8.8.8.8.

Примечание: Правила пересылки DNS все равно применяются по умолчанию. Это поведение можно изменить для каждого пользователя или учетной записи. Для получения дополнительной информации, пожалуйста, свяжитесь с Поддержка.

Режим офиса

Вы можете настроить пользователей с включенным режимом "Всегда Включено" так, чтобы требовалась аутентификация в Cato, когда клиент подключен в офисном режиме. Для получения дополнительной информации см. Защита пользователей с включенной безопасностью "Всегда Включено".

Пользователь, настроенный в правиле политики доступа клиента, которое позволяет доступ в Интернет с низким уровнем доверия (срок действия токена аутентификации Cato истек), не должен аутентифицироваться в офисном режиме. Конфигурация политики подключения клиента переопределяет конфигурацию "Всегда Включено" в офисном режиме.

Предварительный вход

Конфигурации предварительного входа не затронуты конфигурациями для удаленной безопасности Интернета с одноразовой аутентификацией. До аутентификации пользователей трафик маршрутизируется следующим образом:

  • Клиенты с включенным режимом "Всегда Включено" могут подключаться только к ресурсам, определенным в Разрешенных направлениях, трафик Интернета заблокирован.

  • Клиенты без включенного режима "Всегда Включено" могут подключаться к ресурсам, определенным в Разрешенных направлениях, и получать незащищенный доступ в Интернет.

Для получения дополнительной информации о Предварительный вход смотрите Использование Windows Предварительный вход и Клиент SDP.

Технические детали

Удаленная безопасность Интернета с одноразовой Аутентификация включена с использованием конфигураций в Политика Always-On

После того как пользователи проходят аутентификацию и токен аутентификации действителен, весь трафик проходит через PoP Cato и инспектируется движками безопасности Cato в соответствии с вашими политиками безопасности.

После истечения срока действия токена аутентификации, вы можете разрешить Интернет-трафику продолжать проходить через Cato PoP. Пользователь имеет непрерывный безопасный доступ к Интернету, даже если он не аутентифицирован. Для защищенного частного доступа пользователям по-прежнему требуется повторная аутентификация для получения доступа в соответствии с вашей политикой брандмауэра WAN.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев