Настройка политики доступа клиента

Эта статья обсуждает, как настроить правила для Политики подключения клиента в рамках внедрения и применения Zero Trust Network Access (ZTNA) в вашей учётной записи Cato.

Для получения дополнительной информации см. Что такое политика подключения Клиента?

Обзор

Используйте политику подключения клиента для применения требований вашей политики ZTNA, которую клиент Cato выполняет на устройствах пользователей, таких как: положение и проверки устройства, уровень доверия, ОС устройства и многое другое. Если устройство не соответствует политике, установленной для профиля, пользователь не может подключиться к облаку Cato.

Например, вы можете разрешить удаленным пользователям доступ к внутренним ресурсам только в том случае, если они соответствуют политике состояния устройства. Это может повысить вашу уверенность в устройствах, подключенных к вашим внутренним ресурсам.

Вы также можете использовать политику доступа клиента, чтобы предоставить пользователям защищенный удаленный доступ в Интернет после одноразовой аутентификации. Для получения дополнительной информации, см. Remote Internet Security with One Time Authentication.

Понимание действий

Действие определяет уровень доступа, предоставляемый пользователю. Действия включают:

  • Разрешить WAN и Интернет: У пользователя есть защищенный доступ в Интернет и он может получить доступ к частной сети (WAN)

    Примечание

    Примечание: Эта опция предоставляет пользователю разрешение на доступ к частной сети (WAN). Доступ пользователя к частной сети (WAN) зависит от правил в межсетевом экране WAN.

  • Разрешить Интернет: У пользователя есть только защищенный доступ в Интернет, и он не может получить доступ к частной сети (WAN)

    Примечание

    Примечание: Эта опция предоставляет пользователю разрешение на доступ в Интернет. Доступ пользователя в Интернет зависит от правил в межсетевом экране Интернета.

  • Блокировать: Пользователь заблокирован для доступа к Интернету и WAN

Предварительные условия

Поддерживаются проверки устройств для клиентов Windows и macOS. Для получения дополнительной информации о требованиях каждой проверки, см. Создание профилей состояния устройства и проверок устройства.

Подготовка к внедрению политики доступа клиента

Цель политики - доверять только тем устройствам, которые соответствуют политике. Таким образом, определите правила, которые блокируют все ненадежные устройства, чтобы им НЕ было разрешено подключаться к сети.

Прежде чем включить политику доступа клиента, убедитесь, что вы решили, каким будет поведение для пользователей с неподдерживаемыми клиентами и операционными системами. Вы хотите разрешить этим пользователям подключаться к вашему аккаунту? Например, пользователи с Клиентами Linux или Клиентами для Windows версии 4.7 и ранее.

Поддерживаемые функции политики соединения

  • Настройка проверок для различных поставщиков антивирусного и межсетевого экрана для конечных устройств, чтобы убедиться, что соответствующее программное обеспечение установлено и работает с целью обеспечения удаленного доступа через Клиент.

  • Мы рекомендуем не включать режим Always-On с проверками в реальном времени, так как если устройство не соответствует требованиям политики, Клиент может внезапно отключиться от сети. Это может привести к негативному пользовательскому опыту.

    Вы можете просмотреть список поддерживаемых производителей и версий для проверок в реальном времени здесь.

  • Политика подключения - это упорядоченная политика, поэтому вы можете добавлять пользователей в несколько профилей или правил. Однако первым примененным пользователю является совпадающее правило.

Политика подключения клиента и политика Always-On в офисе

В этом разделе обсуждается использование Политики подключения клиента, когда вы применяете политику Всегда Включено за площадкой и требуете, чтобы удалённые пользователи аутентифицировались даже находясь в офисе. Настройка Всегда Включено Требовать аутентификацию в офисе заставляет Клиент соблюдать Политику подключения клиента перед тем, как пользователям разрешено подключаться.

  • Помните, что Политика подключения клиента должна позволять этим пользователям подключаться как к WAN, так и к Интернету, даже если устройство находится в офисе за площадкой.

  • Если клиент переходит в режим обхода Always-On, политика межсетевого экрана для сайта WAN и Интернета применяется к пользователю. Эта политика может отличаться от той, которая применяется, когда пользователь подключается удалённо.

Для получения дополнительной информации см. Защита пользователей с помощью всегда-включенной безопасности (EA антимодификация).

Настройка политики доступа клиента и настроек

В этом разделе объясняется, как создать политику доступа клиента и добавить один или несколько профилей к каждому правилу.

Работа с упорядоченной политикой доступа клиента

Если устройство соответствует Пользователям/Группам, Платформам, Странам и Профилю проверки устройства в правиле, то действие правильно применяется к устройству.

  • Для правил с действием Разрешить устройства могут подключиться к сети

  • Для правил с действием Блокировать устройства блокируются и не могут подключиться к сети

Создание Политики подключения клиента

Политика подключения клиента - это упорядоченная база правил, и каждое правило определяет область действия для пользователей, к которым применяется правило, включая: геолокацию (страны) и ОС устройства. Когда пользователи или группы соответствуют правилу, Cato Cloud управляет соединениями следующим образом:

  • Когда они соответствуют требованиям Профиля устройства для правила, им разрешается подключиться к вашей учетной записи.

  • Когда они не соответствуют требованиям Профиля устройства для правила, Cato Cloud продолжает проверку состояния в соответствии с правилами более низкого приоритета в политике.

  • Устройство для любого пользователя или группы, которые не соответствуют ни одному правилу, блокируется последним неявным правилом политики (ANY ANY block).

Чтобы создать правила для Политики подключения клиента:

  1. В меню навигации нажмите Доступ > Политика подключения клиента.

  2. Нажмите Новый.

    Открывается панель Новое Правило.

  3. Настройте область действия правила:

    1. Определите Пользователи/Группы, Уровень доверия, Платформы, Общедоступный диапазон IP и Страны для этого правила.

  4. Разверните раздел Профили состояния устройства и выберите профили для этого правила.

    Если несколько профилей включены в одно правило Политики, между ними подразумевается логика ИЛИ.

    Примечание: Выбор Любой Профиль состояния устройства означает, что в правило не включены Профили состояния устройства.

  5. Выберите Действие для правила. Для получения дополнительной информации о доступных действиях смотрите Remote Internet Security with One Time Authentication.

  6. Нажмите Применить.

  7. Повторите шаги 2-5 для каждого правила в Политике подключения клиента.

  8. Активируйте Политика подключения клиента и затем нажмите Сохранить.

    Слайдер toggle.png зелёный, когда правило включено, и серый, когда правило отключено.

Пример Политики подключения клиента

Этот раздел показывает пример Политики подключения клиента и как применяются правила.

Политика Подключения Клент.png

  1. Область применения правила 1 - это группы R&D для Африки и Европы с устройствами Windows.

    • Когда эти пользователи пытаются подключиться к Cato Cloud, им разрешается подключение только в случае, если они соответствуют требованиям профиля RnD Африка или профиля RnD Европа.

      В противном случае механизм проверяет пользователя и устройство по правилу 2.

  2. Область действия правила 2 - это группы R&D для Африки и Европы с устройствами Windows, которые НЕ соответствовали требованиям Профиля состояния устройства в правиле 1.

    • Когда эти пользователи пытаются подключиться к Cato Cloud, они соответствуют профилю состояния устройства Любой и блокируются. Они не могут подключиться к Cato Cloud.

    • Правило 2 не относится к пользователям, которые не являются членами групп НИОКР для Африки и Европы, и эти пользователи продолжают использовать правило 3.

  3. Область действия правила 3 - любой пользователь или группа пользователей с устройством на базе Windows.

    Когда пользователи пытаются подключиться к Cato Cloud, им разрешается подключение только в Интернет, но не в WAN, если они соответствуют требованиям Пример профиля.

    В противном случае пользователи блокируются последним неявным правилом Блокировать ВСЕ ВСЕ.

Качество работы с состоянием устройства

Когда устройства соответствуют Проверкам устройства, они могут подключаться к Cato Cloud, и для пользователя Клиент показывает, что это Подключено. Это такой же пользовательский опыт, как и когда для учета нет политики Состояния устройства.

Когда устройству не удаётся пройти проверку устройства, Клиент не подключается к Cato Cloud, и Клиент показывает пользователю сообщение об ошибке. Если устройству не удаётся пройти периодическую проверку после подключения клиента, то клиент отключается, и выводится то же сообщение об ошибке.

Вот пример сообщения об ошибке:

DevicePosture_ClientError.png

Нажмите Детали, чтобы показать конкретные требования, которым устройство не соответствует. Также генерируется событие, показывающее те же детали.

User Experience with Unsupported Client Versions

Когда вы создаёте политику подключения клиента для ОС, мы настоятельно рекомендуем удостовериться, что все Клиенты, установленные на всех устройствах, обновлены до минимум поддерживаемой версии клиента. Для правил, не позволяющих доступа для более ранних (неподдерживаемых) версий клиента, это качество работы конечного пользователя:

  • Windows ОС - пользователю не показывается сообщение, и клиент постоянно пытается подключиться к зашифрованному туннелю

  • macOS, iOS, Android и Linux - пользователю показывается сообщение о том, что этому устройству запрещен доступ к сети (например, подключение с этой ОС запрещено)

Понимание событий для политики доступа клиента

Приложение управления Cato сгенерирует два типа событий, связанных с Политика доступа клиента:

  • Всякий раз, когда пользователи или группы пользователей соответствуют требованиям правила Политики подключения клиента, им разрешено подключаться к сети.

  • Когда пользователи или группы пользователей блокируются от подключения к сети из-за несоответствия требованиям политики доступа клиента.

В следующей таблице объясняются некоторые поля события из события действия "Разрешить":

Поле

Объяснение

Профиль состояния устройства

Название профиля состояния устройства, которому соответствует устройство.

Правило

Имя правила политики доступа клиента, которое позволило устройству подключиться.

Метод аутентификации

Метод аутентификации, использованный пользователем для аутентификации в клиенте.

В следующей таблице объясняются разные события подключения с действием "Блокировать" и причина блокировки подключения.

Подтип события

Причина блокировки

Описание сообщения события

Политика доступа клиента

Устройство не соответствует Проверке устройства

Показываются детали установленной на устройстве антивирусной защиты или брандмауэра и то, что требуется для проверки устройства.

Политика подключения клиента

Неподдерживаемый клиент

Устройство подключается, используя не поддерживаемую ОС Клиента или версию, и соответствующее правило не позволяет неподдерживаемому клиенту подключаться.

Политика подключения клиента

Устройство не соответствует ни одному правилу

Устройство не соответствует ни одному из правил в области политики доступа клиента. Таким образом, соединение было заблокировано окончательным неявным правилом.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 5

0 комментариев