Осведомленность Пользователя для Общих Хостов

Эта тема предоставляет информацию о настройке прозрачности пользователей для совместно используемых хостов.

Обзор

Universal ZTNA (UZTNA) delivers identity-based, least-privilege access to private applications, SaaS, and Internet resources through its global SASE platform. Он применяет согласованную сегментацию пользователя по приложениям, предотвращение угроз в реальном времени и проверки состояния устройства, обеспечивая безопасный доступ для пользователей в мобильных, филиальных и облачных средах.

Осведомленность_Пользователя_-__Общие_Хосты.png

С осведомленностью пользователя для совместно используемых хостов, Cato позволяет идентифицировать и отслеживать нескольких пользователей, подключающихся с одного устройства, например, сервера Windows Terminal Server, среды Citrix или Azure Virtual Desktop (AVD). Users connect to the shared device from their devices and can then access resources via the shared device according to your organization's policy.

User Awareness provides critical visibility into user activities, enabling more granular policy enforcement, improving security auditing, and enhancing threat detection. It ensures that access controls and monitoring remain effective, even in environments where multiple users share the same host.

Примечание

Примечание:

  • Cato рекомендует установить Клиент Cato для всех ваших пользователей, чтобы получить преимущества от осведомленности пользователя, состояния устройства и возможностей мониторинга пользовательского опыта.

  • Эта функция требует Клиент для Windows версии 5.15 или позднее

Поток информации

Пользователи подключаются со своих устройств к совместно используемому хосту, расположенному за сайтом (Socket, vSocket и т. д.), например, через сеанс RDP. Каждое пользовательское подключение к совместно используемому хосту помечается ключом, специфичным для этого пользователя. Когда трафик отправляется от совместно используемого хоста в облако Кейто через GRE-туннель, ключ сопоставляется с идентификатором пользователя, и трафик проверяется и мониторится в соответствии с политиками, применёнными к этому пользователю или группе пользователей. Например, пользователи из R&D могут иметь доступ к репозиторию, но не к Salesforce, в то время как инженеры отдела продаж будут иметь доступ к Salesforce, но не к репозиторию.

По умолчанию, трафик отправляется с использованием стандартного GRE IP протокола 47. Для сетей, где отправка GRE трафика невозможна (например, Microsoft Azure) или нежелательна из-за ограничений безопасности или других причин, возможно инкапсулировать GRE трафик в UDP. Это можно включить с помощью ключа реестра, как описано ниже. После включения весь трафик инкапсулируется в UDP и отправляется через порт 4754.

Примечание

Примечание: Трафик отправляется к системе Кейто от Клиентов, который по умолчанию 10.254.254.0/24, для завершения GRE туннеля. Таким образом, это назначение должно быть маршрутизировано к Socket в сети, которая хостит Клиентов.

Для трафика, который вы не хотите отправлять в облако Кейто, например, на DNS-сервер, можно настроить исключения, чтобы он не проходил через GRE-туннель. Это позволяет удерживать локальный трафик в LAN, чтобы он не выходил в PoP.

Настройка осведомленности пользователей о совместно используемых хостах

Чтобы включить прозрачность пользователей для совместно используемых хостов, нужно выполнить следующие действия:

  1. Настройте, какой трафик отправляется через совместно используемый хост, а какой нет

  2. Установите клиент Cato на совместно используемые хосты

Настройка трафика на совместно используемые хосты

Вы можете настроить, какие совместно используемые хосты могут взаимодействовать с облаком Cato через туннель GRE и исключаемый из него трафик. Например, интернет-трафик следует отправлять через туннель GRE, а DNS-трафик следует исключить.

shared-host-newRule.png

Настройка трафика на совместно используемые хосты

  1. Перейдите в Доступ > Осведомленность пользователей и на вкладке Terminal Server переведите переключатель в положение Совместно используемые хосты включены.

  2. Нажмите Новый > Новое правило.

    1. В поле IP-адрес выберите хост или CIDR, которому будет применяться правило.

      Диапазоны IP не поддерживаются, например 10.10.10.5-10.10.10.10.

    2. Определите исключения маршрутизации для трафика, который не должен отправляться через туннель GRE, например, на DNS сервер или Active Directory.

  3. Нажмите Сохранить.

Установите клиент Cato на совместно используемые хосты

Необходимо установить Cato Client на совместно используемых хостах для включения GRE-туннеля.

shared-hosts.png

Поддерживаются следующие операционные системы:

  • Windows Server 2019 и выше

  • Для Azure Virtual Desktop, Windows 10 или Windows 11

Чтобы установить клиент Cato

  1. Следуйте инструкциям по установке клиента Cato.

  2. При запуске установки добавьте следующий флаг

    CATO_INSTALL_UATS=1

  3. Для Windows 10 или Windows 11 Azure Virtual Desktop, после завершения установки:

    1. В реестре Windows перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN

    2. Создайте DWORD GREOverUDP и установите значение 1

  4. В той же локации в реестре Windows, чтобы убедиться, что установка прошла успешно, убедитесь, что ключ реестра GREMode создан и значение установлено на 1.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 6 из 7

0 комментариев