Эта статья объясняет различные сертификаты, используемые Cato Networks, и их назначение.
Cato использует два разных типа цифровых сертификатов для обеспечения аутентификации устройства и инспекции зашифрованного трафика. Каждый сертификат служит определенной цели и распространяется независимо:
-
Сертификат инспекции TLS Cato – Загружается в браузеры и конечные точки, чтобы Cato мог расшифровывать и инспектировать HTTPS трафик для DLP, антивируса и контроля приложений
-
Сертификат устройства клиента Cato – Автоматически генерируется во время установки клиента для аутентификации устройства и обеспечения политики доступа Zero Trust
Эти сертификаты не взаимозаменяемы. Сертификат инспекции TLS позволяет безопасный анализ потоков трафика, в то время как сертификат устройства клиента подтверждает и идентифицирует саму конечную точку. Вместе они поддерживают доступ Zero Trust и обеспечивают глубинную видимость зашифрованного трафика в сети.
Сертификат инспекции TLS позволяет Cato действовать как надежный посредник для зашифрованного HTTPS трафика. По умолчанию корневой сертификат Cato автоматически устанавливается при загрузке и установке клиента Cato, или вы можете загрузить свой собственный корневой сертификат в приложение Управления Cato (CMA). [KM1] [YL2] Сертификат должен быть установлен на пользовательских устройствах, чтобы избежать предупреждений браузеров при инспекции и повторной подписи TLS сессий Cato. [KM1]Я бы поменял эти предикаты местами так, чтобы сначала упоминался корневой сертификат Cato (так как это самый распространенный случай использования), а затем упоминалось использование пользовательского/"приватного" корневого сертификата как второстепенное.[YL2]@Kiki Mitchell Это лучше?
Компания ABC внедряет строгие политики безопасности для веб-трафика, включая инспекцию TLS для DLP и антивирусного сканирования. Чтобы избежать ошибок браузера на пользовательских устройствах, администратор загружает пользовательский корневой сертификат в CMA и распределяет его на все корпоративные устройства, используя MDM. Когда пользователи просматривают HTTPS сайты, TLS сессии расшифровываются, инспектируются и заново шифруются Cato без запуска предупреждений сертификата.
Сертификат устройства клиента используется для аутентификации на основе сертификата и должен быть установлен на каждой конечной точке. В приложении Управления Cato (CMA) вы загружаете сертификат подписи, который Cato использует для проверки сертификатов устройств в вашей организации. Сертификаты устройств должны быть сгенерированы доверенной организацией и внедрены в конечные точки с использованием инструментов, таких как MDM или автоматизированные скрипты. После установки они позволяют Cato аутентифицировать устройство, применять проверки состояния, внедрять политики подключения клиента и ограничивать доступ только к доверенным конечным точкам.
Компания ABC хочет обеспечить, чтобы только выданные корпорацией ноутбуки могли подключаться к сети, используя клиента Cato. Когда пользователь устанавливает клиента, он автоматически генерирует сертификат устройства, связанный с этой конечной точкой и аккаунтом. Администратор включает проверку сертификата устройства в политике подключения клиента. Если пользователь копирует клиента на личное устройство, сертификат отсутствует, и устройству запрещено подключение, даже если у пользователя есть действительные учетные данные.
0 комментариев
Статья закрыта для комментариев.