Защита пользователей с помощью постоянной безопасности

В этой статье обсуждается, как настроить политику Always-On, чтобы повысить безопасность Интернета для пользователей в вашем аккаунте.

Обзор

Политика Always-On улучшает безопасность в Интернете, определяя правила, когда пользователи или группы пользователей всегда подключаются к Cato Cloud. Это гарантирует, что весь трафик проходит через PoP, а механизмы безопасности Cato проверяют трафик, чтобы убедиться, что он соответствует вашим политикам безопасности.

Использование - Настройка Политики Always-On для сотрудников и внешних подрядчиков

Сеть компании ABC используется ее собственными сотрудниками, которые имеют доступ к корпоративным ресурсам, и сторонними подрядчиками, которые не могут получить доступ к корпоративным ресурсам. Они создают правило для включения Always-On для своих сотрудников, в то время как сторонние подрядчики могут напрямую выходить в Интернет. Это гарантирует, что весь трафик от сотрудников компании проходит через Cato Cloud и защищен политиками безопасности.

Работа с упорядоченной Политикой Always-On

Политика Always-On является упорядоченной базой правил. Правила вашей политики применяются к пользователю или группе следующим образом:

  • Когда они соответствуют правилу, клиент выполняет настройку, указанную в правиле

  • Если они не соответствуют ни одному правилу, они могут отключиться от сети

Предварительные требования для Политики Always-On

  • Always-On не поддерживается для клиентов Linux

  • Always-On с аутентификацией SSO поддерживается для следующих версий и выше:

    • Windows клиент. v5.3

    • macOS клиент v5.0

    • iOS клиент v5.0

    • Android клиент v5.0

Предоставление доступа к Интернету с Политикой Always-On

При включенной Политике Always-On вы все еще можете предоставлять пользователям прямой доступ в Интернет через:

  • С использованием временного метода обхода

  • Создание правила с состоянием подключения по требованию

  • Разрешение доступа в Интернет в режиме восстановления

Временный обход Защищенного Интернет-доступа

Могут быть ситуации, когда пользователям необходимо временно обойти Cato Cloud и получить прямой доступ в Интернет. Например, чтобы временно получить доступ к сайту, заблокированному правилом межсетевого экрана Интернета. Для каждое правило вы можете настроить, как пользователи временно обходят Cato Cloud.

На Windows v5.9 и выше вы также можете настроить, как долго пользователи могут обходить Cato Cloud. В течение этого времени интернет-трафик не проходит через Cato Cloud и не защищен.

Когда клиент временно отключается, генерируются события, показывающие детали пользователя и продолжительность времени, в течение которого клиент был отключен. Чтобы просмотреть эти события, на странице События примените фильтр для подтипа VPN Never-Off Bypass. Метод обхода в событии показывает метод, использованный для обхода клиента. Для получения более детальной информации о событиях в вашей учетной записи смотрите Анализ событий в вашей сети.

Пользователи могут временно обходить Cato Cloud, используя либо:

  • Обход под контролем администратора с кодом обхода

  • Обход под контролем пользователя

Обход, контролируемый администратором с использованием кода обхода

Примечание

Примечание: Поддерживается в Windows, Android, iOS Клиентах и клиенты macOS версии 5.4 и выше

Используйте этот вариант, чтобы сгенерировать одноразовый пароль (OTP) в приложении управления Cato, который вы можете дать любому пользователю и позволить ему временно отключить клиент. В версиях Windows Client ниже 5.9 и других поддерживаемых операционных системах клиент обходится до 15 минут за раз. Каждый код может быть действителен до 15 минут.

Кроме того, вы можете использовать приложение для аутентификации (например, Google Authenticator) для сканирования QR-кода на этом экране. Затем вы всегда можете получить OTP для пользователей из приложения аутентификации. Приложение для аутентификации обновляет код каждые 30 секунд, поэтому каждый код действителен только 30 секунд.

Вы можете использовать один и тот же обходной код для нескольких пользователей, пока код остается действительным.

Управляемый пользователем обход

Примечание

Заметка: Поддерживается с:

  • Клиент Windows версии v5.9 и выше

  • Клиент macOS версии 5.5 и выше

Эта опция позволяет пользователям временно отключать Клиент по запросу. В Клиенте пользователь должен указать причину отключения Клиента в текстовом поле. и затем может сразу получить прямой доступ в Интернет. Эта причина включена в событие.

Клиенту разрешено отключаться на конфигурируемое в Длительность отключения время.

Пример использования - Предварительно одобренный доступ в Интернет для определенных команд

Инженерная команда розничной компании отвечает за обеспечение 100% доступности их веб-сайта для получения онлайн-заказов. Это означает, что им всегда нужен доступ к онлайн SaaS-приложению, необходимому для устранения неполадок. Доступ к приложению требуется в нерабочее время и при удаленной работе. Политика безопасности компании гласит, что весь доступ к интернету должен быть безопасным.

Для соблюдения Политики безопасности, IT включает режим Always-On. В целях предосторожности, чтобы избежать ситуации, когда во время возможного сбоя Клиент не может подключиться к облаку Cato, команда IT предоставляет инженерам способ немедленного доступа к Интернету. Команда IT создала правило в своей Политике Always-On для группы пользователей-инженеров, где Режим обхода настроен так, чтобы позволить пользователям временно отключаться по запросу.

Если инженеру необходимо устранить проблемы с веб-сайтом посреди ночи, ИТ-команда может быть уверена, что они смогут получить доступ к приложению SaaS для устранения неполадок, даже если возникнет проблема с клиентом. Инженеру не нужно ждать одобрения ИТ для обхода Cato Cloud и начала устранения проблем с веб-сайтом.

Создание правила с состоянием подключения по требованию

Если есть пользователи, которым регулярно нужен прямой доступ в Интернет, вы можете добавить их в правило с подключением со статусом По требованию. Эта конфигурация позволяет пользователям подключать или отключать клиент по мере необходимости.

Режим восстановления клиента

Примечание

Заметка: Поддерживается с:

  • Клиент Windows версии v5.9 и выше

  • Клиент macOS версии 5.5 и выше

Вы также можете выбрать поведение клиента в сценарии, когда соединение с Cato Cloud не может быть установлено. Клиент может быть настроен на:

  • Разрешить Интернет (Конфигурация по умолчанию): Пользователи могут получить доступ к Интернету. Трафик не проходит через Cato Cloud и не защищен до тех пор, пока не установится соединение с Cato Cloud.

  • Ограничить Интернет: Пользователи не могут получить доступ к Интернету, пока соединение с облаком Cato и защищенный Интернет не установлены.

Пример использования - Подключение к Интернету во время путешествий

Компания ABC включила Always-On для всех пользователей. Их руководители часто путешествуют и подключаются к интернету из аэропортов и отелей. Иногда клиент не обнаруживает порта авторизации и не может установить зашифрованный туннель. Чтобы гарантировать, что руководящий состав сможет продолжать работать, когда они путешествуют, IT команда настраивает Режим восстановления в правиле Always-On для группы пользователей руководящего состава, чтобы позволить доступ в Интернет.

Если клиент не обнаруживает порта авторизации, руководители могут продолжать работу, так как клиент разрешает доступ в интернет согласно политике Always-On. Как только Клиент восстанавливает туннель, трафик проходит через облако Cato, как и ожидалось.

Подготовка к реализации Политики Always-On

Перед тем как включить свою политику Always-On, подумайте о том, как Always-On взаимодействует с другими функциями и версиями клиента в вашем окружении. Этот раздел содержит рекомендации по использованию SSO, подключения клиента, аутентификации устройства и клиента Windows с политикой Always-On.

Работа с Всегда Включено и SSO

Для аккаунтов, использующих аутентификацию Single Sign-On для пользователей, вы также можете настроить поддерживаемые Клиенты, чтобы они всегда оставались подключенными к Cato Cloud (Always-On). Эта настройка предоставляет пользователям простоту SSO и безопасность Always-On. Клиент может получить доступ к провайдеру IdP, и доступ к другим ресурсам осуществляется в соответствии с вашей политикой безопасности.

Примечание

Примечание: Чтобы помочь пользователям, которые не могут аутентифицироваться в Клиенте, рекомендуется включить метод обхода Cato Cloud и пересмотреть события обхода. В противном случае неаутентифицированное устройство не может подключиться к Интернету или Cato Cloud).

Реализация Always-On и SSO

В этом разделе содержатся лучшие практики и рекомендации для реализации Always-On с SSO в вашем аккаунте.

  • Начните с включения Always-On и SSO для небольшой группы пользователей, чтобы минимизировать влияние на ваш аккаунт

  • Проверьте события обхода, чтобы отслеживать использование кодов обхода в вашей организации

  • Поскольку неаутентифицированные пользователи не имеют доступа к Интернету, убедитесь, что пользователи могут войти в устройство без подключения к Интернету

  • Убедитесь, что все Клиенты обновлены до минимально поддерживаемой версии для соответствующей ОС. Если используется Клиент неподдерживаемой версии, он не может повторно аутентифицироваться и доступ в интернет блокируется.

  • Для развёртываний с использованием стороннего прокси поддерживается только Внутриклиентская Аутентификация через внешний браузер для Всегда Включено и SSO (подробнее о Аутентификации через внешний браузер, см. Настройка полосики для Клиентов Cato.)

Использование Политики доступа клиента и Аутентификации устройств с Всегда Включено

Ваши Политика Подключения Клиента и Аутентификация Устройств применяют Состояния Устройства и проверки, выполняемые на устройствах для пользователей. Если устройство не соответствует политике, заданной для профиля, пользователь не может подключиться к Cato Cloud. Ваша Политика подключения Клиента и настройки аутентификации устройства имеют приоритет перед вашей политикой Always-On.

Установка клиентов для Windows и Всегда Включено

Для ИТ-команд, предоставляющих или отправляющих совершенно новые устройства пользователям по всему миру, мы можем предоставить Always-on Security из коробки.

Начиная с версии Клиента для Windows v5.6, вы можете улучшить безопасность Интернета еще до аутентификации пользователя в Cato. Политика Always-On доступна из коробки, и доступ в Интернет разрешён только после того, как пользователь аутентифицируется в вашем аккаунте Cato.

Чтобы включить эту функцию, просто добавьте ключ реестра на устройстве Windows для включения Always-On. Как только пользователь будет добавлен в Клиент, настройки Always-On, определённые в Cato Management Application, применяются к этому пользователю.

Для учетных записей, использующих функцию Предварительный вход, устройству разрешается доступ только к Разрешенные направления до того, как пользователь добавлен в Клиента. Весь остальной доступ к Интернету блокируется.

Мы также рекомендуем добавить ключ реестра, который запускает Клиент при запуске. Для получения более детальной информации, смотрите Установка Клиента Cato.

Примечание

Примечание: До добавления пользователей в Клиент невозможно обойти Cato Cloud.

Чтобы настроить реестр Windows для применения Always-On:

  1. Перейдите к ключу реестра: HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN

  2. Определите этот ключ:

    • InitialAlwaysOn=1 (DWORD)

Настройка политики Always-On

Этот раздел объясняет, как создать политику Always-On.

Создание политики Always-On

Политика Always-On позволяет вам определить пользователей или группы пользователей для клиентов, которым требуется всегда подключаться к сети.

Always-On_Policy.png

Чтобы создать политику Always-On:

  1. В меню навигации нажмите Доступ > Политика Always-On.

  2. Нажмите Новый.

    Открывается панель Новое правило.

  3. Введите Имя и установите Порядок правил.

  4. Определите Пользователей & Группы, Платформы.

  5. Определите статус Connected, Режим обхода, Продолжительность отключения и Режим восстановления.

    Bypass.png

  6. Нажмите Применить.

  7. Повторите шаги 2-5 для каждого правила в политике Always-On.

  8. Включите Политику Always-On и затем нажмите Сохранить.

    Ползунок enable.png зеленый, когда правило включено, и серый, когда правило отключено.

Настройка параметров по умолчанию

Примечание

Заметка: Поддерживается с:

  • Все клиенты Windows

  • Клиент Linux версии 5.2 и новее

Вы можете предоставить пользователям статус соединения По требованию с дополнительной безопасностью, настроив Клиент на автоматическое подключение во время фазы загрузки. После подключения пользователи могут по собственному выбору отключить и подключить Клиент снова, когда в этом возникнет необходимость. Для пользователей с подключенным статусом Always-On Клиент подключается автоматически, без этой настройки.

  • Если в приложении управления Cato выделены опции Подключение при загрузке или Запускать в свернутом виде:

    • Это применяется ко всем клиентам в вашей среде

    • Пользователи не могут отключить эту настройку из клиента

  • Если в приложении управления Cato опции Подключение при загрузке или Запускать в свернутом виде не выделены:

    • Пользователи могут включить эти функции на вкладке Настройки в Клиенте

Заметка: С включенной функцией Подключение при загрузке если пользователь выходит из Windows сессии, Клиент подключается к Cato Cloud. Это для обеспечения доступа к контроллеру домена, чтобы пользователь мог снова войти.

Чтобы настроить параметры по умолчанию для клиентов:

  1. В меню навигации нажмите Доступ > Политика Always-On.

  2. Откройте вкладку Настройки.

  3. В разделе Подключение при загрузке определите параметры по умолчанию для клиентов Windows.

    Connect_On_boot.png

  4. Нажмите Сохранить.

Принудительная аутентификация за сайтом Cato

Примечание

Заметка: Поддерживается с:

  • Клиент Windows версии 5.8 и новее

  • Клиент Linux v5.2 и выше

Когда пользователь подключается за Cato Socket или IPsec сайт, Клиент автоматически подключается к этому сайту в офисном режиме. Для получения более детальной информации о Режим работы, смотрите Конфигурация Режима работы.

Вы можете настроить необходимость аутентификации пользователей с включенной функцией always-on при подключении клиента в офисном режиме. Эта конфигурация не влияет на политики безопасности.

Authentication_in_Office.jpg

Для принудительной аутентификации на сайте Cato

  1. В меню навигации нажмите Доступ > Always-On Policy.

  2. Откройте Настройки вкладку.

  3. В разделе Принудительное всегда включено в офисе выберите Требовать аутентификацию в офисе.

  4. Нажмите Сохранить.

Генерация кода обхода

Обходной код — это 6-значный код, который вводится в клиенте, чтобы позволить пользователям временно отключиться от Cato Cloud.

Чтобы сгенерировать обходной код:

  1. В меню навигации нажмите Доступ > Always-On Policy.

  2. Откройте Настройки вкладку.

  3. Разверните секцию Показать обходной код или Показать QR-код для приложения аутентификации

  4. Теперь вы можете отправить код обхода или QR-код пользователю.

Понимание пользовательского опыта

В зависимости от настроенного Режима обхода в Приложении управления Cato пользователи могут временно отключать клиент, используя обходной код или вводя причину для обхода.

Ввод кода обхода

Обходной код создается админами и отправляется пользователю для ввода в клиент. После ввода действительного кода клиент временно обходит зашифрованный туннель, и пользователь может получить доступ к Интернету. Клиенты для Windows ниже версии v5.9, macOS, iOS и Android могут быть временно отключены на срок до 15 минут. Клиенты Windows v5.9 и выше могут быть отключены на срок, настроенный в Продолжительность отключения.

Пользователи, которые аутентифицируются с помощью SSO или MFA, должны повторно аутентифицироваться в клиент Cato при переподключении.

Bypass_code.png

Чтобы ввести обходной код:

  • В клиенте Windows пользователи могут щелкнуть правой кнопкой мыши на значке клиента в системном трее и выбрать Временный обход

  • В клиенте macOS пользователи могут щелкнуть правой кнопкой мыши на значке клиента в системном трее и выбрать Временное отключение

  • В клиенте iOS на главном экране клиента выберите Обход всегда включен

  • В клиенте Android из бокового меню выберите Временный обход

Ввод причины обхода

Примечание

Примечание: Поддерживается с: клиент Windows v5.9 и выше

  • Клиент Windows v5.9 и выше

  • Клиент macOS v5.5 и выше

Пользователи могут временно отключить клиент после предоставления причины. После того как пользователь введет Причину, клиент временно обходит Cato Cloud и пользователь может получить доступ к Интернету. Клиент отключен на срок, настроенный в Приложении управления Cato.

Пользователи, которые аутентифицируются с помощью SSO или MFA, должны повторно аутентифицироваться в клиент Cato при переподключении.

Bypass_reason.png

Чтобы ввести причину для обхода:

  1. В клиенте Windows пользователи могут щёлкнуть правой кнопкой мыши по значку клиента в системном трее и выбрать Временный обход.

  2. Укажите причину для временного отключения клиента.

  3. Нажмите Enter.

    Клиент отключен.

Настройка Always-On для конкретных пользователей

Вы можете настроить политику Always-On для конкретного пользователя.

Чтобы настроить политику Always-On для конкретного пользователя:

  1. В навигационном меню нажмите Доступ > Политика Always-On.

  2. Нажмите Новый.

    Откроется панель Новое правило.

  3. Введите Имя и установите Порядок правил.

  4. В разделе Пользователи & Группы выберите Пользователь SDP.

  5. Выберите конкретного пользователя.

  6. Определите Платформы и статус Подключен.

  7. Нажмите Применить.

  8. Включите Политику Always-On, затем нажмите Сохранить.

    Ползунок enable.png зеленый, когда правило включено, и серый, когда правило отключено.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 7 из 10

0 комментариев