Информированность пользователей для общих хостов

Эта тема предоставляет информацию о настройке информированности пользователей для общих хостов.

Обзор

Универсальный ZTNA (UZTNA) обеспечивает идентифицированный доступ с наименьшими привилегиями к частным приложениям, SaaS и интернет-ресурсам через глобальную платформу SASE. Он применяет последовательное сегментирование пользователя для приложения, предотвращение угроз в реальном времени и проверку состояния устройств, обеспечивая безопасный доступ для пользователей в мобильной, филиальной и облачной средах.

User_Awareness_-__Shared_Hosts.png

С помощью информированности пользователей для общих хостов, Cato позволяет вам идентифицировать и отслеживать несколько пользователей, подключающихся с одного устройства, такого как Windows Terminal Server, Citrix или Azure Virtual Desktop (AVD). Пользователи подключаются к общему устройству со своих устройств и затем могут получить доступ к ресурсам через это общее устройство в соответствии с политикой вашей организации.

Информированность пользователей обеспечивает критическую видимость действий пользователей, что позволяет более детализированно выполнять политику, улучшать аудит безопасности и усиливать обнаружение угроз. Она гарантирует, что управление доступом и мониторинг остаются эффективными даже в средах, где несколько пользователей используют один и тот же хост.

Примечание

Примечание:

  • Cato рекомендует установить Клиент Cato для всех ваших пользователей, чтобы получить преимущества от осведомленности пользователя, состояния устройства и возможностей мониторинга пользовательского опыта.
  • Эта функция требует Клиент для Windows версии 5.15 или выше.

Информационный поток

Пользователи подключаются со своих устройств к общему хосту, расположенному за сайтом (Socket, vSocket и т.д.), например, через сессию RDP. Каждое подключение пользователя к общему хосту маркируется ключом, специфичным для этого пользователя. Когда трафик отправляется с общего хоста в Cato Cloud через GRE-туннель, ключ сопоставляется с идентификатором пользователя, и трафик проверяется и мониторится в соответствии с политиками, применёнными к этому пользователю или группе пользователей. Например, пользователи из НИОКР могут получить доступ к репозиторию, но не к Salesforce, тогда как инженеры по продажам получат доступ к Salesforce, но не к репозиторию.

По умолчанию трафик отправляется с использованием протокола GRE IP по умолчанию 47. Для сетей, в которых отправка трафика GRE невозможна (например, Microsoft Azure) или нежелательна из-за ограничений безопасности или других ограничений, возможно инкапсулировать трафик GRE в UDP. Это можно включить, используя ключ реестра, как описано ниже. После включения весь трафик инкапсулируется в UDP и отправляется через порт 4754.

Примечание

Примечание: Трафик отправляется в диапазон системы Cato с клиентов, по умолчанию 10.254.254.0/24, для завершения GRE-туннеля. Поэтому это направление должно быть маршрутизировано через Socket в сети, которая принимает клиентов.

Для трафика, который вы не хотите отправлять в Cato Cloud, например, к DNS-серверу, вы можете настроить исключения, чтобы он не проходил через GRE-туннель. Это позволяет вам хранить локальный трафик в LAN, чтобы он не выходил в PoP.

Настройка информированности пользователей для общих хостов

Чтобы включить информированность пользователей для общих хостов, вам необходимо выполнить следующее:

  1. Настроить, какой трафик отправляется через общий хост, а какой нет
  2. Установите Клиент Cato на общих хостах

Настройка трафика для общих хостов

Вы можете настроить, какие общие хосты могут общаться с Cato Cloud через GRE-туннель, и исключить определённый трафик. Например, интернет-трафик должен быть отправлен через GRE-туннель, но трафик DNS должен быть исключён.

shared-host-newRule.png

Настройте трафик на общие хосты

  1. Перейдите в Доступ к облаку > Осведомленность Пользователя и нажмите на вкладку Общие Хосты.
  2. Нажмите Создать > Новое правило.

    1. В поле IP-адрес выберите хост или CIDR, к которому следует применить правило.

      Диапазоны IP не поддерживаются, например, 10.10.10.5-10.10.10.10.

    2. Определить исключения маршрутизации для трафика, который не должен отправляться через туннель GRE, например, к DNS серверу или Active Directory.
  3. Нажмите Сохранить и Опубликовать для распространения изменений.

Установите клиент Cato на общие хосты

Вам необходимо установить клиент Cato на общие хосты, чтобы включить GRE-туннель.

shared-hosts.png

Поддерживаются следующие операционные системы:

  • Windows Server 2019 и выше
  • Для Azure Virtual Desktop, Windows 10 или Windows 11

К установке Клиента Cato

  1. Следуйте инструкциям, чтобы установить Клиент Cato.

  2. Установите через командную строку и выполните:

    .\<setup_file.exe>/props="CATO_INSTALL_UATS=1"

  3. Для Azure Virtual Desktop Windows 10 или Windows 11, после завершения установки:

    1. В реестре Windows перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
    2. Создайте DWORD GREOverUDP и установите значение в 1
  4. В том же местоположении в реестре Windows, чтобы убедиться, что установка прошла успешно, проверьте, что реестр GREMode создан и значение установлено в 1.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 6 из 7

0 комментариев