Настройка политики клиентского подключения

Эта статья объясняет, как настроить правила для политики клиентского подключения в рамках реализации и применения доступа с нулевым доверием в вашей учётной записи Cato.

Для получения дополнительной информации см. Что такое Политика доступа клиента?.

Обзор

Используйте политику клиентского подключения, чтобы применить требования вашей политики с нулевым доверием, которые клиент Cato должен выполнять на устройствах пользователей, такие как: Состояние устройства и проверки, уровень уверенности, ОС устройства и другие. Если устройство не соответствует политике, установленной для профиля, пользователь не сможет подключиться к облаку Cato.

Например, вы можете разрешить удалённым пользователям доступ к внутренним ресурсам только тогда, когда они соответствуют политике состояния устройства. Это может повысить вашу уверенность в устройствах, подключенных к вашим внутренним ресурсам.

Вы также можете использовать политику клиентского подключения, чтобы обеспечить пользователям безопасный удалённый доступ в Интернет после одноразовой аутентификации. Для получения дополнительной информации, см. Защита удаленного интернета с одноразовой аутентификацией.

Понимание действий

Действие определяет уровень доступа, предоставляемый пользователю. Действия:

  • Разрешить WAN и Интернет: У пользователя есть защищённый доступ в Интернет и доступ к частной сети (WAN)

    Примечание

    Примечание: Этот вариант предоставляет разрешение пользователю для доступа к частной сети (WAN). Доступ пользователя к частной сети (WAN) зависит от правил в файрволе WAN.

  • Разрешить только Интернет: Пользователь имеет доступ только к защищенному Интернету и не может получить доступ к частной сети (WAN)

    Примечание

    Примечание: Этот вариант предоставляет разрешение пользователю для доступа в Интернет. Доступ пользователя в Интернет зависит от правил в файрволе Интернета.

    Этот Действие также включает опцию Завершить активные сеансы WAN. Этот параметр применяется, когда удаленному пользователю ранее был разрешен доступ к WAN по одному правилу, но его обстоятельства изменились, и теперь он соответствует только правилу, позволяющему доступ в Интернет. В этом случае вы можете выбирать, завершать ли существующие WAN-сессии удаленного пользователя.

    Например, удаленный пользователь получает доступ к WAN на основании уровня доверия. Если эта условие изменяется, например, когда истекает срок действия токена, удаленный пользователь больше не имеет доступа к WAN. Эта настройка определяет, будут ли их текущие сеансы WAN отключены. Этот параметр не применяется в офисном режиме. 

  • Блокировать WAN и Интернет: Пользователь заблокирован от доступа к Интернету и WAN

    Существующие сеансы WAN всегда завершаются, как только пользователь соответствует правилу с этим действием.

Предварительные условия

Проверки устройств поддерживаются для клиентов Windows и macOS. Для получения дополнительной информации о требованиях каждой проверки, см. Создание профилей состояния устройства и проверок устройства.

Подготовка к реализации политики клиентского подключения

Цель политики заключается в том, чтобы доверять только тем устройствам, которые соответствуют политике. Поэтому определите правила, которые блокируют все недоверенные устройства, чтобы они НЕ могли подключаться к сети.

Прежде чем включить политику клиентского подключения, убедитесь, что вы решили, как будет работать система для пользователей с неподдерживаемыми клиентами и операционными системами. Хотите ли вы разрешить этим пользователям подключаться к вашему аккаунту? Например, пользователи с клиентами Linux или Windows Client v4.7 и более ранними.

Поддерживаемые функции политики подключения

  • Настройка проверки для различных производителей антивирусного программного обеспечения и брандмауеров, чтобы убедиться, что соответствующее программное обеспечение установлено и работает для обеспечения удаленного доступа с Клиентом.

  • Мы рекомендуем не включать Always-On подключение с проверками в реальном времени, потому что если устройство не соответствует требованиям политики, клиент может внезапно отключиться от сети. Это может привести к плохому пользовательскому опыту для пользователя.

    Вы можете ознакомиться со списком поддерживаемых поставщиков и версий для проверок в реальном времени здесь.

  • Политика подключения является упорядоченной, поэтому вы можете добавлять пользователей в несколько профилей или правил. Однако первое подходящее правило применяется к пользователю.

Политика клиентского подключения и Always-On политика в офисе

Данный раздел объясняет использование политики клиентского подключения, когда вы применяете Always-On политику за сайтом и требуете от удалённых пользователей аутентификации даже в офисе. Настройка Always-On Требовать аутентификацию в офисе заставляет клиент соответствовать политике клиентского подключения перед тем, как пользователи смогут подключиться.

  • Помните, что политика подключения клиента должна разрешить этим пользователям подключаться как к WAN, так и к Интернету, даже если устройство находится в офисе за сайтом.
  • Если клиент переходит в режим обхода "Всегда Включено", политика межсетевого экрана WAN и Интернет для сайта применяется к пользователю. Эта политика может отличаться от той, которая применяется при удаленном подключении пользователя.

Для получения дополнительной информации см. Защита пользователей с включенной безопасностью 'Всегда Включено'.

Настройка политики клиентского подключения и параметров

Этот раздел объясняет, как создать политику клиентского подключения и добавить один или несколько профилей к каждому правилу.

Создание политики клиентского подключения

Политика клиентского подключения — это упорядоченная база правил, и каждое правило охватывает пользователей, которых оно касается, включая: геолокацию (страны) и ОС устройства. Когда пользователи или группы соответствуют правилу, облако Cato управляет соединениями следующим образом:

  • Когда они соответствуют требованиям профиля устройства для правила, им разрешается подключаться к вашей учетной записи.
  • Если они не соответствуют требованиям профиля устройства для правила, Cato Cloud продолжает инспектировать состояние в соответствии с правилами более низкого приоритета в политике.
  • Устройство для любого пользователя или группы, которые не совпадают ни с одним правилом, блокируется конечным имплицитным правилом политики (ЛЮБОЕ ЛЮБОЕ блокирование).

Чтобы создать правила для политики подключения клиента:

  1. В меню навигации нажмите Access > Политика подключения клиента.

  2. Нажмите Новый.

    Открывается панель Новое правило.

  3. Настройте область действия правила:
    1. Определите пользователей/группы, уровень доверия, платформы, диапазон IP-адресов публичного ISP и страны для этого правила.

  4. Разверните раздел Профили состояния устройств и выберите профили для этого правила.

    Если несколько профилей включены в одно правило политики, между ними существует неявное ИЛИ.

    Примечание: Выбор Любой профиля состояния устройства означает, что ни один профиль состояния устройства не включён в правило.

  5. Выберите действие для правила. Для получения дополнительной информации о доступных действиях смотрите Remote Internet Security with One Time Authentication.
  6. Нажмите Применить.
  7. Повторите шаги 2-5 для каждого правила в политике подключения клиента.

  8. Включите Политику клиентского подключения и затем нажмите Сохранить.

    Ползунок toggle.png зеленый, когда правило включено, и серый, когда правило отключено.

Пример политики клиентского подключения

Этот раздел показывает пример политики клиентского подключения и то, как применяются правила.

Политика клиентского подключения.png

  1. Объём правила 1 — группы RnD для Африки и Европы с устройствами Windows.

    • Когда эти пользователи пытаются подключиться к облаку Cato, им разрешается подключаться только при условии, что они соответствуют требованиям профиля RnD Африка или профиля RnD Европа.

      В противном случае движок проверяет пользователя и устройство для правила 2.

  2. Объём правила 2 — группы RnD для Африки и Европы с устройствами Windows, которые НЕ соответствуют требованиям профиля состояния устройства в правиле 1.

    • Когда эти пользователи пытаются подключиться к Cato Cloud, они совпадают с "Любым" профилем состояния устройства и блокируются. Они не могут подключиться к Cato Cloud.
    • Правило 2 не применяется к пользователям, которые не являются членами групп RnD для Африки и Европы, и эти пользователи продолжают с правилом 3.

  3. Объём правила 3 — любой пользователь или группа пользователей с устройством под управлением Windows.

    Когда пользователи пытаются подключиться к облаку Cato, им разрешено подключаться только к Интернету, а не к WAN, если они соответствуют требованиям Примерного профиля.

    В противном случае пользователи блокируются последним неявным правилом "ANY ANY Block".

Пользовательский опыт с состоянием устройства

Когда устройства соответствуют проверкам устройства, они могут подключиться к облаку Cato, и клиент показывает пользователю, что он Подключён. Это тот же пользовательский опыт, что и в случае отсутствия политики состояния устройств для аккаунта.

Когда устройство не соответствует проверке устройства, клиент не подключается к облаку Cato и отображает пользователю сообщение об ошибке. Если устройству не удается пройти периодическую проверку, после подключения клиент отключается и выводится то же сообщение об ошибке.

Это пример сообщения об ошибке:

Ошибка клиента политики состояния устройства.png

Нажмите Детали, чтобы показать конкретные требования, которым устройство не соответствует. Также создаётся событие, показывающее те же детали.

Пользовательский опыт с неподдерживаемыми версиями клиента

Когда вы создаете политику доступа клиента для ОС, мы настоятельно рекомендуем убедиться, что все Клиенты, установленные на всех устройствах, обновлены до минимальной поддерживаемой версии клиента. Для правил, которые не разрешают доступ для более ранних (неподдерживаемых) версий клиента, это опыт конечного пользователя:

  • Windows OS - пользователю не отображается сообщение, и клиент постоянно пытается подключиться к шифрованному туннелю.
  • macOS, iOS, Android и Linux - пользователям отображается сообщение о том, что это устройство заблокировано для сети (например, подключение с этой ОС запрещено).

Понимание событий для политики клиентского подключения

Приложение управления Cato генерирует два типа событий, связанных с политикой клиентского подключения:

  • Любые пользователи или группы пользователей, которые соответствуют требованиям правила политики подключения клиента, разрешены к подключению к сети.
  • Любые пользователи или группы пользователей, которым запрещено подключаться к сети, поскольку они не соответствуют требованиям политики подключения клиента.

Следующая таблица объясняет некоторые поля событий из события действия "Разрешить":

Поле Объяснение
Профиль состояния устройства Имя профиля состояния устройства, которому соответствует устройство.
Правило Имя правила политики подключения клиента, которому разрешено подключение устройства.
Метод аутентификации Метод аутентификации, который использует пользователь для аутентификации клиента.

Следующая таблица объясняет различные события подключения с действием "Блокировать" и причину блокировки подключения.

 

Подтип события

Причина блокировки

Описание сообщения события

Политика подключения клиента

Устройство не соответствует проверке устройства

Показывает подробности антивируса или установленного на устройстве брандмауэра и что требуется для проверки устройства.

Политика подключения клиента

Не поддерживаемый клиент

Устройство подключается с использованием ОС клиента или версии, которая не поддерживается, и подходящее правило не позволяет неподдерживаемому клиенту подключиться.

Политика подключения клиента

Устройство не соответствует ни одному правилу

Устройство не соответствует области действия ни одного правила в политике подключения клиента. Соответственно, соединение было заблокировано конечным имплицитным правилом.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 4 из 5

0 комментариев