В этой статье обсуждается, как можно использовать политику доступа клиента в рамках внедрения и применения технологии сетевого доступа Zero Trust (ZTNA) в аккаунте Cato.
Используйте политику доступа клиента, чтобы применять состояния и проверки устройств, выполняемые облаком Cato на устройствах пользователей. Если устройство не соответствует политике, установленной для профиля, пользователь не может подключиться к облаку Cato.
Например, вы можете разрешить удаленным пользователям доступ к внутренним ресурсам только в том случае, если они соответствуют политике состояния устройства. Это может повысить вашу уверенность в устройствах, подключенных к вашим внутренним ресурсам.
Вы также можете использовать политику доступа клиента, чтобы предоставить пользователям защищенный удаленный доступ в Интернет после одноразовой аутентификации. Для получения дополнительной информации, см. Remote Internet Security with One Time Authentication.
Действие определяет уровень доступа, предоставляемый пользователю. Действия включают:
-
Разрешить WAN и Интернет: У пользователя есть защищенный доступ в Интернет и он может получить доступ к частной сети (WAN)
Примечание
Примечание: Эта опция предоставляет пользователю разрешение на доступ к частной сети (WAN). Доступ пользователя к частной сети (WAN) зависит от правил в межсетевом экране WAN.
-
Разрешить Интернет: У пользователя есть только защищенный доступ в Интернет, и он не может получить доступ к частной сети (WAN)
Примечание
Примечание: Эта опция предоставляет пользователю разрешение на доступ в Интернет. Доступ пользователя в Интернет зависит от правил в межсетевом экране Интернета.
-
Блокировка: Пользователь блокируется от доступа в Интернет или WAN
Поддерживаются проверки устройств для клиентов Windows и macOS. Для получения дополнительной информации о требованиях для каждой проверки, см. Создание профилей состояния устройства и проверок устройств.
Цель политики - доверять только тем устройствам, которые соответствуют политике. Таким образом, определите правила, которые блокируют все ненадежные устройства, чтобы им НЕ было разрешено подключаться к сети.
Прежде чем включить политику доступа клиента, убедитесь, что вы решили, каким будет поведение для пользователей с неподдерживаемыми клиентами и операционными системами. Вы хотите разрешить этим пользователям подключаться к вашему аккаунту? Например, пользователи с Клиент для Windows версии 4.7 и ранее.
-
Настройка проверок для различных поставщиков антивирусного и межсетевого экрана для конечных устройств, чтобы убедиться, что соответствующее программное обеспечение установлено и работает с целью обеспечения удаленного доступа через Клиент.
-
Мы рекомендуем не включать режим Always-On с проверками в реальном времени, так как если устройство не соответствует требованиям политики, Клиент может внезапно отключиться от сети. Это может привести к негативному пользовательскому опыту.
Вставьте отпечаток сертификата 40 символов Вставьте отпечаток сертификата 40 символов.
-
Политика подключения является упорядоченной политикой, поэтому вы можете добавить пользователей к нескольким профилям или правилам. Однако первым примененным пользователю является совпадающее правило.
Политика подключения клиента и политика Always-On в офисе
Этот раздел обсуждает использование политики подключения клиента, если вы применяете политику Always-On за сайтом и требуете удаленной аутентификации пользователей даже в офисе. Настройка требования аутентификации в офисе режима Always-On направляет весь трафик через Клиент, и политика подключения клиента применяется к этим пользователям.
- Не забывайте, что политика подключения клиента должна разрешать подключение пользователя, даже если устройство находится в офисе за сайтом.
- Если пользователь запросит обход режима Always-On, на пользователя применяется политика межсетевого экрана WAN и Интернета для сайта. Эта политика может отличаться от той, которая применяется при удаленном подключении пользователя.
В этом разделе объясняется, как создать политику доступа клиента и добавить один или несколько профилей к каждому правилу.
Если устройство соответствует Пользователям/Группам, Платформам, Странам и Профилю проверки устройства в правиле, то действие правильно применяется к устройству.
Политика подключения клиента - это упорядоченная база правил, и каждый объем правила определяется пользователями, к которым оно применяется, включая: геолокацию (Страны) и операционную систему устройства. Когда пользователи или группы соответствуют правилу, Cato Cloud управляет соединениями следующим образом:
-
Когда они соответствуют требованиям Профиля устройства для правила, им разрешается подключиться к вашей учетной записи.
-
Когда они не соответствуют требованиям Профиля устройства для правила, Cato Cloud продолжает проверку состояния в соответствии с правилами более низкого приоритета в политике.
-
Устройство для любого пользователя или группы, которые не соответствуют ни одному правилу, блокируется последним неявным правилом политики (ЛЮБОЙ ЛЮБОЙ блок).
Чтобы создать правила для Политики подключения клиента:
-
В меню навигации нажмите Доступ > Политика подключения клиента.
-
Нажмите Новый.
Открывается панель Новое Правило.
-
Настройте область действия правила:
-
Определите Пользователи/Группы, Уровень доверия, Платформы и Страны для этого правила.
-
-
Разверните раздел Профили состояния устройства и выберите профили для этого правила.
Если в одно правило Политики включено несколько профилей, между ними по умолчанию действует ИЛИ.Примечание: Выбор Любой Профиль состояния устройства означает, что в правило не включены Профили состояния устройства.
-
Выберите Действие для правила. Для получения дополнительной информации о доступных действиях смотрите Remote Internet Security with One Time Authentication.
-
Нажмите Применить.
-
Повторите шаги 2-5 для каждого правила в Политике подключения клиента.
-
Активируйте Политика подключения клиента и затем нажмите Сохранить.
Ползунок
зелёный, когда правило включено, и серый, когда правило отключено.
Этот раздел показывает пример Политики подключения клиента и как применяются правила.
-
Область применения правила 1 - это группы R&D для Африки и Европы с устройствами Windows.
-
Область действия правила 2 - это группы R&D для Африки и Европы с устройствами Windows, которые НЕ соответствовали требованиям Профиля состояния устройства в правиле 1.
-
Когда эти пользователи пытаются подключиться к Cato Cloud, они соответствуют Профиль состояния устройства Любое, и блокируются. Они не могут подключиться к Cato Cloud.
-
Правило 2 не применяется к пользователям, которые не являются членами групп R&D для Африки и Европы, и эти пользователи продолжают следовать правилу 3.
-
-
Область действия правила 3 - любой пользователь или группы с устройством Windows.
Когда пользователи пытаются подключиться к Cato Cloud, им разрешается подключение только в Интернет, но не в WAN, если они соответствуют требованиям Пример профиля.
В противном случае пользователей блокирует окончательное неявное правило ЛЮБОЙ ЛЮБОЙ блок.
Когда устройства соответствуют Проверкам устройства, они могут подключаться к облаку Cato, и клиент показать, что он Подключен. Это такой же пользовательский опыт, как и когда для учета нет политики Состояния устройства.
Когда устройству не удается соответствовать Проверке устройства, клиент не подключается к облаку Cato и показывает пользователю сообщение об ошибке. Если устройству не удается пройти периодическую проверку, после подключения клиент отключается и выводится то же сообщение об ошибке.
Вот пример сообщения об ошибке:
Нажмите Детали, чтобы показать конкретные требования, которым устройство не соответствует. Также генерируется событие, показывающее те же детали.
Когда вы создаете политику подключения клиента для ОС, настоятельно рекомендуется убедиться, что все устройства обновлены до минимально поддерживаемой версии клиента. Для правил, не позволяющих доступа для более ранних (неподдерживаемых) версий клиента, это качество работы конечного пользователя:
-
Windows ОС - пользователю не показывается сообщение, и клиент постоянно пытается подключиться к зашифрованному туннелю
-
macOS, iOS, Android и Linux - пользователю показывается сообщение о том, что этому устройству запрещен доступ к сети (например, подключение с этой ОС запрещено)
Приложение управления Cato сгенерирует два типа событий, связанных с Политика доступа клиента:
-
Когда пользователи или группы пользователей соответствуют требованиям правила политики доступа клиента и разрешен доступ к сети.
-
Когда пользователи или группы пользователей блокируются от подключения к сети из-за несоответствия требованиям политики доступа клиента.
В следующей таблице объясняются некоторые поля события из события действия "Разрешить":
|
Поле |
Объяснение |
|---|---|
|
Профиль состояния устройства |
Имя профиля состояния устройства, которому соответствует данное устройство. |
|
Правило |
Имя правила политики доступа клиента, которое позволило устройству подключиться. |
|
Метод аутентификации |
Метод аутентификации, использованный пользователем для аутентификации в клиенте. |
В следующей таблице объясняются разные события подключения с действием "Блокировать" и причина блокировки подключения.
|
Подтип события |
Причина блокировки |
Описание сообщения события |
|---|---|---|
|
Политика доступа клиента |
Устройство не соответствует Проверке устройства |
Показываются детали установленной на устройстве антивирусной защиты или брандмауэра и то, что требуется для проверки устройства. |
|
Политика подключения клиента |
Неподдерживаемый клиент |
Устройство подключается, используя неподдерживаемую ОС или версию клиента, и соответствующее правило не позволяет неподдерживаемому клиенту подключаться. |
|
Политика доступа клиента |
Устройство не соответствует ни одному правилу |
Устройство не соответствует ни одному из правил в области политики доступа клиента. Таким образом, соединение было заблокировано окончательным неявным правилом. |
0 комментариев
Войдите в службу, чтобы оставить комментарий.