本文解释了如何使用客户端连接策略来确保设备只有在符合组织的安全要求时才能连接到您的网络。
实施您的零信任网络访问 (ZTNA) 企业安全策略和减少攻击面的一部分是在设备连接到网络之前检查其状态。 客户端连接策略允许您创建定义设备要求的规则。 在SDP用户成功认证后,Cato客户端运行检查以验证设备上的相关条件。 例如,客户端会验证反恶意软件是否是最新的,否则它不会连接到您的网络。
客户端可以识别设备条件,例如:
- 设备姿态个人资料:这可验证设备的安全姿态条件是否满足支持的设备检查。详见定义设备姿态要求。
- DNS 策略平台: 此项识别设备的操作系统。 例如,您可以规定仅允许 Windows 设备连接。
- 国家: 此项识别设备的实际位置。 例如,定义一个国家列表,当设备位于该国家时,客户端无法连接到网络(基于 IP 地理位置)。
- 置信度等级: 描述用户认证的可靠性。 有关更多信息,请参见 使用一次性认证的远程互联网安全性。
客户端连接策略还帮助管理员在会话期间用户或设备上下文变更时维持正确的访问级别。 如果客户端不再符合完全网络访问的要求,访问权限策略可以限制会话到安全的互联网访问,或者根据已配置规则阻止连接。 这有助于减少来自不合规设备的曝光,同时在连接仍满足组织的安全性要求时保持访问可用。
客户端连接策略控制远程用户的访问,关于控制在站点后面的用户的访问的更多信息,请参见 向防火墙规则添加设备条件。
ABC公司位于英国,拥有企业员工和第三方合同工的混合。 企业员工使用Windows设备,但第三方合同工使用他们自己的设备。 为了保护网络,公司希望确保只有满足以下条件的设备才能连接:
- 设备位于英国
- 企业员工使用的设备拥有所需的设备证书
- 第三方承包商使用的设备已安装反恶意软件、磁盘加密和补丁管理软件
为了确保连接到其网络的设备符合其安全要求,公司创建了以下客户端连接策略允许规则:
-
规则1 - 企业员工:在企业员工使用的设备上,客户端检查设备:
- 是 Windows 设备
- 拥有一个有效的认证令牌
- 已安装所需的证书
- 位于英国
-
规则2 - 第三方合同工:在第三方合同工使用的设备上,客户端检查设备:
- 已安装反恶意软件、磁盘加密和补丁管理软件
- 拥有一个有效的认证令牌
- 位于英国
客户端仅在识别出设备符合企业员工或第三方合同工的适当条件时连接到网络。
客户端连接策略是一个有序的规则库,依次检查设备条件是否与SDP用户的要求条件匹配。 一旦设备匹配规则,它就可以连接到您的网络。 在匹配规则之后列出的规则不会应用于设备。 如果设备不匹配任何规则,将被策略的最终隐式规则(ANY ANY block)阻止。
有关在客户端连接策略中定义规则的更多信息,请参见 配置客户端连接策略。
为了强制SDP用户遵守合规要求,首先决定组织中用户群体的设备状态要求。 然后您可以使用客户端连接策略来实现这些要求。
每个客户端连接策略规则可以包含设备状态配置文件。 这使您可以为组织中的设备定义详细的设备状态要求(设备检查)。 当您在一个配置文件中包含多个检查时,它们有与关系。 例如,您可以创建一个包含反恶意软件、防火墙和磁盘加密检查的设备状态配置文件。
您可以为每个操作系统创建不同的检查,并检查在设备上安装了特定供应商和版本的情况。 这使客户端可以执行设备的细化检查以验证状态。
设备检查支持用于Windows和macOS客户端。 有关每项检查要求的更多信息,请参阅创建设备姿态配置文件和设备检查。
0 条评论
请登录写评论。