设备认证是验证设备的身份和安全性状态的过程,在允许其访问网络资源之前进行。 Cato使用数字证书来实现设备认证。 它是零信任安全架构的一部分,以确保只有可信设备能够访问网络和特定的网络资源。
零信任安全的核心原则是无设备或用户应该被自动信任。 零信任假设每一个访问请求,无论来自网络内部还是外部,都潜在来自恶意行为者或受损设备。
设备认证确保只有授权设备被允许访问网络资源。 通过在授予访问权限之前验证每个设备的身份和安全性,零信任限制了由受损或未授权设备引起的潜在违规风险。
Cato使用客户端连接策略来强制执行基于证书的验证。 这确保只有具有有效和可信证书的设备才能访问网络。
当设备尝试连接到网络(通过Cato PoP)并且在客户端连接规则中配置了证书设备检查时,Cato客户端会检查设备上是否安装了有效证书。 否则,客户端将阻止设备连接到网络。
这是实施设备认证的配置流程。
-
准备设备使用设备检查签名证书。
-
将证书分发给受管理的设备。 请参阅分发和安装设备证书中的文章。
-
将签名证书上传到CMA。 请参阅远程访问签名证书管理。
-
-
为签名证书配置设备检查并将其分配到设备配置文件。 请参阅创建设备姿态配置文件和设备检查。
-
创建一个客户端连接策略规则,允许安装了签名证书的设备连接。
策略中的最终ANY ANY阻止规则应用于没有安装证书的设备。
设备证书检查基于非对称密钥加密。 非对称密钥加密,也称为公钥加密,是一种加密技术,它使用一对数学相关的密钥来保护信息。 这两个密钥被称为公钥和私钥。 Cato不生成证书,也不管理其生命周期。
用公钥加密的数据只能用对应的私钥解密,反之亦然。 公钥可以公开共享,而私钥则要保密。
这种加密方法是安全的,因为即使公钥可以公开共享,也不能用于解密用其加密的信息。 只有相应的私钥可以解密信息。
-
将根签名证书上传到Cato管理应用程序(访问 > 客户端访问 > 签名证书)。 证书还包含公钥。 公钥可以公开共享。
-
将设备证书和私钥上传到设备。 设备应保密私钥。 必须在设备上安装Cato客户端。 当设备连接到Cato PoP(存在点)时,客户端验证证书的真实性并检查证书是否有效且匹配签名证书。
-
为了验证设备的真实性,Cato发送一个加密挑战。 加密挑战是由Cato生成的随机消息,并使用从第1步上传到Cato的根证书中获得的公钥加密。
-
设备使用其私钥解密加密的挑战,并将解密后的挑战发送给Cato。
-
如果解密的挑战与原始挑战匹配,设备即被认证并授予访问权限到已定义资源。
0 条评论
请登录写评论。