配置私有访问策略

注意

注意: 请联系 feature-releases@catonetworks.com 以获取有关启用和使用此功能的更多信息。

概述

私有访问策略定义了哪些用户和群组可以访问已发布的私有应用程序。 通过仅允许用户需要的特定应用程序,您可以执行最小特权访问。 它让您可以根据身份和附加条件定义特定于应用程序的访问,而无需授予网络级别访问私有环境。

使用 设备姿态 条件以增强私有应用程序的 ZTNA 访问。 这可以让您仅在用户从符合组织安全要求的受信设备连接时授予访问权限,使用在您的账户中定义的相同设备配置文件。

有关更多信息,请参见 配置 Cato 私有访问

策略结构

私有访问策略是有序的规则集。 规则自上而下评估,第一个匹配规则将确定允许或阻止访问。 

如同其他 CMA 策略,它支持用于变更跟踪和回滚的策略修订,以及允许团队协作更新的多管理员工作流。 有关详细信息,请参阅 政策修订工作

每个规则由三个核心组件构建:

  • 用户 / 群组: 规则适用于谁。 身份从您的 IdP 同步

  • 标准: 用来应用规则动作的匹配条件(例如,设备姿态要求)

  • 私有应用: 规则发布的私有应用程序

如果没有规则匹配,则访问被阻止。

私有访问策略规则

为多个用户或用户组创建规则,以允许访问一个或多个私有应用程序。

当规则匹配时,私有访问策略规则会自动生成事件。 规则的命中计数基于规则生成的事件数量。

private_access_policy.png

私有访问策略标准字段

这些是应用于应用程序访问的连续设备姿态要求的字段详细信息。 如果为规则定义了多个标准,则它们之间是 AND 关系。

这些是可用于限制用户对应用程序访问的不同设置:

  • 用户属性: 用户风险信号,例如,只有用户风险级别为时才允许访问。

  • 连接来源: 用户的连接方式,例如,仅在用户通过 客户端 连接时允许访问。

  • 平台: 指定操作系统以便连接,例如,仅允许Windows设备访问。

  • 设备姿态配置文件: 设置设备检查要求,例如,要求验证防病毒程序为最新的姿态配置文件。

  • 国家: 根据 IP 地理位置限制按源国家的访问。 例如,仅允许从英国和美国访问。

criteria.png

创建私有访问策略规则

使用规则定义可以访问特定私有应用的用户或群组,可选择应用设备姿态标准,并允许阻止流量。

时间选项定义了规则启用的时间范围。 您可以为规则配置自定义选项,或选择账户定义的默认工作时间。

为了更容易地处理该策略,您可以在策略中使用节来分组规则,参见 将节添加到 WAN 和互联网防火墙

要创建私有访问策略规则:

  1. 从导航菜单中,选择 访问 > 私有访问 > 私有访问策略

  2. 点击 新建 > 新建规则新建规则 窗格打开。

  3. 常规中,输入一个 名称 和(可选的)描述

  4. 用户 / 群组 中,选择该规则适用的用户和用户组。

  5. 标准 中,配置规则的设备姿态条件

    • 用户属性 - 用户身份的风险等级

    • 连接来源 - 限制访问的站点或客户端

    • 平台 - 设备操作系统

      最佳实践: 为了提高安全性和监控,指定用户连接到应用程序时实际使用的设备平台。

    • 设备姿态配置文件 - 选择配置文件以应用设备检查 

    • 国家 - 将规则限制在用户所在的特定国家

  6. 选择规则的私有应用程序

  7. (可选) 配置定义此规则启用时间的 时间 选项。

  8. 操作 中,配置规则行为:

    1. 操作: 设置规则以允许阻止流量。

    2. 跟踪: 可选配置跟踪选项以发送通知。 频率在第一次发送通知后开始计数。

      有关通知的更多信息,请参阅有关订阅组、邮件列表和警报集成的相关文章。

  9. 点击 保存 然后 发布

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论