Современные предприятия работают в условиях, где пользователи, устройства и приложения высоко распределены, и решения по доступу должны постоянно адаптироваться к изменяющимся условиям риска. Статическая, моментальная аутентификация недостаточна для защиты от развивающихся угроз, таких как компрометация учетных данных, неправильная конфигурация устройства и риски, вызванные действиями пользователя.
Адаптивный доступ — это архитектурный подход, который позволяет принимать динамичные решения по доступу на основе постоянно оцениваемых контекстуальных сигналов, включая:
- Уровень риска пользователя
- Состояние устройства
- Уверенность в аутентификации
- Сеть и местоположение
- Контекст приложения и ресурсов
- Целостность сессии
- Контекст угрозы
В платформе Cato SASE адаптивные возможности доступа реализуются на нескольких уровнях управления и применяются в PoP. Адаптивный доступ применяется в различных методах доступа, гарантируя, что контекстно-зависимые политики последовательно применяются соответствующим политиками Cato. Это позволяет гарантированное, идентификационное и контекстуальное применение для подключения, доступа к приложениям и сетевого трафика без полагания на статические предположения о доверии.
Сочетая непрерывную оценку сигналов с применением политики, организации могут снизить риск для скомпрометированных пользователей и устройств, соблюдать минимальный уровень доступа и активировать дополнительную аутентификацию, когда требуется более высокая уверенность. В то же время администраторы получают видимость рисков пользователей, соответствия устройств и состояния сессий, что позволяет принимать обоснованные операционные и защитные решения.
Организациям требуется адаптивный доступ для замены статического доверия на непрерывные, учитывающие контекст решения для пользователей, устройств и сессий. Условия доверия могут изменяться после входа в систему, и контроль доступа должен реагировать на эти изменения.
Начальная аутентификация и сетевое местоположение недостаточны против кражи учетных данных, неуправляемых конечных точек и быстро изменяющихся условий угрозы.
Cato реализует адаптивный доступ через четыре столпа:
- Постройте доверие на сильных сигналах: Адаптивный доступ зависит от сигналов, которые являются актуальными, надежными и постоянно обновляемыми. Эти сигналы формируют основу для принятия политических решений при установлении сессии и в течение всего жизненного цикла сессии.
- Единое доверие через агрегацию сигналов: Сигналы коррелируют в PoP для отражения текущего состояния сессии. Атрибуты идентификации, результаты состояния и поведенческие индикаторы оцениваются вместе для каждого запроса.
- Применение доверия на разных плоскостях управления: Политики применяются в PoP в онлайн-режиме для подключения, доступа к приложениям и сетевого трафика. Тот же самый контекст применяется последовательно к соединениям клиента, ZTNA и решениям файервола.
- Видимость доверия для анализа и реагирования: Приложение управления Cato предоставляет централизованную видимость политических решений и сигналов, лежащих в их основе. Единый консоль управления помогает администраторам исследовать сессии, подтверждать результаты и применять последовательные изменения политик на всех плоскостях управления.
Такой подход обеспечивает непрерывное, ориентированное на риск применение, согласованное с принципами Zero Trust, без зависимости от статических предположений о доверии.
Адаптивные возможности доступа в платформе Cato поддерживают сценарии, где решения о доступе должны изменяться при изменении условий пользователя, устройства или сессии.
-
Доступ к частным приложениям, основанный на риске: Контролируйте доступ к внутренним приложениям на основе текущего состояния пользовательской сессии и устройства.
- Пример: Пользователю разрешено доступ к внутреннему HR-приложению, когда устройство проходит проверки состояния, и уровень риска пользователя остается в допустимом диапазоне. Тот же пользователь может быть заблокирован от этого приложения в середине сессии, если уровень риска увеличивается. Например, они загрузят вредоносное ПО или подключаются к известному командно-управляющему домену.
-
Контроль соединений, основанный на устройстве: Обеспечьте, чтобы только соответствующие и безопасные устройства могли устанавливать соединение с Cato Cloud.
- Пример: Управляемый корпоративный ноутбук с необходимым агентом защиты конечных точек разрешен для подключения к Cato Cloud. То же устройство может быть заблокировано, если защита конечных точек не обновлена до последней версии.
-
Дополнительная аутентификация для доступа к чувствительным ресурсам: Требуется повторная аутентификация, когда пользователи получают доступ к чувствительным ресурсам или когда уверенность в сессии недостаточна.
- Пример: Пользователю разрешено просматривать стандартные внутренние ресурсы с существующей сессией. Когда пользователь пытается открыть чувствительное финансовое приложение, политика может требовать повторной аутентификации перед разрешением доступа.
-
Контролируемый удаленный доступ для пользователей: Определите, какие пользователи допущены к удаленному подключению, и ограничьте других доступом только через офис.
- Пример: Сотрудникам в утвержденных пользовательских группах разрешен удаленный доступ к частным приложениям через клиент Cato. Пользователи, ограниченные доступом только из офиса, блокируются при попытке удаленного подключения.
-
Операционная видимость для администраторов: Обеспечьте видимость сессий пользователей и решений по доступу для поддержки устранения неисправностей и валидации политик.
- Пример: Администраторы могут просмотреть, почему пользователю было разрешено, отказано или предъявлено требование с помощью анализа активности пользователя и событий в CMA. Например, на странице справочника пользователей можно фильтровать пользователей по уровню риска (например, Высокий или Критический) и быстро идентифицировать пользователей, требующих расследования.
Адаптивные решения о доступе основываются на контекстных сигналах, описывающих текущее состояние пользователя, устройства и сессии. Эти сигналы оцениваются непрерывно и используются политиками CMA для определения, должен ли доступ быть разрешен, ограничен или подвергнут вызову.
-
Оценка риска пользователя: Представляет текущий уровень риска безопасности пользовательской сессии. Оценка постоянно обновляется на основе поведенческой активности и выявленных угроз, включая:
- Индикаторы систем, которые уже были скомпрометированы
- Индикаторы заблокированных попыток, которые могут привести к заражению
- Нарушения политик или рискованные действия, которые потенциально могут привести к компрометации
-
Состояние устройства: Представляет состояние безопасности конечной точки. В CMA состояние определяется с помощью профилей состояния устройства и проверок устройства. Клиент Cato применяет эти проверки на устройстве до и во время доступа, и полученное состояние может быть использовано в нескольких политиках, требующих соответствия устройства.
- Проверки устройства оценивают специфические условия на конечной точке (например, статус защиты конечных точек, версия ОС, сертификаты или конфигурация).
- Профили состояния устройства объединяют одну или несколько проверок в перезагружаемые профили, представляющие требуемую базовую линию безопасности.
- Внешнее соответствие MDM: Расширяет состояние устройств сигналами из внешних систем, таких как Microsoft Intune. Эти сигналы указывают, соответствует ли устройство организационным политикам, таким как шифрование или уровень обновлений.
- Уверенность в аутентификации: Представляет актуальность и достоверность токена аутентификации пользователя. Он производится от токена Cato и указывает, соответствует ли сессия требуемому уровню уверенности в аутентификации.
Эти сигналы оцениваются в PoP и предоставляются движку политики, позволяя принимать непрерывные решения о доступе с учетом риска в течение всего жизненного цикла сессии.
Адаптивное применение доступа выполняется в PoP Cato, где сигналы пользователя, устройства и сессии оцениваются как при установке сессии, так и при последующей деятельности.
- Аутентификация пользователя и установление сессии: Пользователь подключается к ближайшему PoP Cato, который пересылает запрос аутентификации в настроенного поставщика идентификационных данных (IdP). После успешной аутентификации PoP устанавливает сессию и извлекает атрибуты идентификации пользователя и группы.
- Первоначальная оценка политики: При установлении сессии PoP оценивает соответствующие контекстные сигналы по отношению к настроенным политикам. Это устанавливает первоначальное решение о доступе для сеанса пользователя и определяет, позволено ли пользователю подключиться.
- Получение доступа к приложению: Когда пользователь пытается получить доступ к приложению, PoP оценивает соответствующие условия политики для данного запроса.
- Дополнительная аутентификация: Если политика требует усиленной аутентификации, PoP перенаправляет пользователя к настроенному IdP. После успешной повторной аутентификации сессия продолжается с требуемым уровнем уверенности.
- Непрерывное применение: После предоставления доступа PoP продолжает оценивать условия сессии. Если риск увеличивается, состояние устройства становится неудовлетворительным или уровень уверенности в аутентификации более не является достаточным, политика может заблокировать доступ или требовать повторной аутентификации пользователя.
Адаптивный доступ в платформе Cato осуществляется через несколько политик CMA, которые применяют решения о доступе к соединениям, доступу к приложениям и сетевому трафику. Каждая политика оценивает контекстные сигналы и применяет контроль на разных этапах пользовательской сессии.
Политика подключения клиента определяет, разрешено ли устройству пользователя устанавливать соединение с Cato Cloud. Эта политика применяет принципы Zero Trust в момент подключения, проверяя устройство и сессию перед предоставлением доступа.
Администраторы используют эту политику для предотвращения подключения неуправляемых или несоответствующих устройств и для соблюдения требований аутентификации перед установкой сессии.
Cato Private Access позволяет обеспечить безопасный доступ к частным приложениям, основанный на идентификации, без расширения вашей сети на пользователей. Вместо предоставления прямой сетевой связности, как традиционный VPN, вы требуете минимально необходимый доступ к приложениям на основе идентификации пользователя и контекста.
Политика частного доступа контролирует доступ к частным приложениям и применяет минимальный доступ только к пользователям для подключения к конкретным частным приложениям, которые они используют.
Политика Always-On позволяет администраторам определить, какие пользователи и устройства должны оставаться постоянно подключенными к Cato Cloud, чтобы их трафик всегда инспектировался и контролировался политиками безопасности. Это подробная политика, которая поддерживает различные требования к подключению для разных групп пользователей. Например, сотрудники или управляемые устройства могут быть обязаны оставаться подключенными, в то время как подрядчики или неуправляемые устройства могут иметь доступ по запросу или прямое подключение к Интернету.
Always-On позволяет организациям согласовывать применение политик подключения с учетом риска и доверия. Сценарии с высоким доверием или высоким риском могут требовать постоянной инспекции, в то время как сценарии с меньшим риском могут позволять более гибкое подключение без ущерба для общего состояния безопасности.
В следующей таблице суммированы контекстные сигналы, которые поддерживаются каждой политикой Cato, упомянутой в предыдущих разделах. Каждая строка представляет политику, а каждый столбец - контекстный сигнал. Эта таблица предоставляет быстрый справочник по применению адаптивных сигналов доступа в платформе Cato.
| Имя политики | Оценка риска пользователя | Состояние устройства | Внешнее соответствие | Уверенность в аутентификации |
|---|---|---|---|---|
| Политика подключения клиента | Нет | Да | Да | Да |
| Политика частного доступа (ZTNA) | Да | Да | Да | Нет |
| Политика Always-On | Нет | Да | Да | Нет |
| Политика Интернет файервола | Да | Да | Да | Да |
| Политика WAN файервола | Да | Да | Да | Нет |
| Контроль приложений и политика DLP | Нет | Да | Да | Нет |
0 комментариев
Войдите в службу, чтобы оставить комментарий.