top of page
執筆者の写真Natsuki Hara

Always-Onポリシーでリモートユーザーの常時接続を行う

概要

Always-OnはCato Clientを常に接続状態にする機能です。

ユーザーによる任意の切断を許可せずに、すべての通信をCato Cloud経由で行うことで、常にCatoのセキュリティポリシーを適用することができます。



設定方法

CMA(Cato Cloudの管理コンソール)のアクセス > 常時オンポリシー メニューから設定します。


以下の項目を設定可能です。

ユーザー&グループ

特定のユーザーやグループを指定することができます。Anyを選択すると全ユーザーを対象とします。




プラットフォーム

デバイスのOSを指定することができます。指定せずにすべてのOSを対象(Any)とすることも可能です。

※Linux版Cato ClientはAlways-On機能をサポートしていません



接続済み

Always-Onの適用有無とオプション動作の設定をします。Always-Onポリシーを設定する上で重要な項目のため詳しく解説します。

①Always-On ポリシーの適用設定
  • [常時適用]:ユーザーは常にCato Clientが接続状態になります。

  • [オンデマンド]:ユーザーは任意に接続/切断することができます(Always-Onポリシーを適用しない)


②バイパスモード

Always-Onポリシーを一時的に解除するモードです。

  • [ユーザーは切断を選択できます]:ユーザーは任意のタイミングでAlways-Onを解除できます。

  • [切断するには管理者パスコードが必要]:CMA上に表示されるパスコードを入力した場合のみAlways-Onを解除できます。

  • [切断時間]: バイパスモードの持続時間を指定します(Minutes or Hours)


③リカバリーモード

何等かの問題によりCato Cloudに接続できない場合の動作を選択します。

  • [インターネットを許可]:Cato Cloudに接続できない場合にインターネットアクセスを許可します。Catoのセキュリティ機能は適用されません。

  • [インターネットアクセスを制限]:Cato Cloudに接続できない場合はインターネットアクセスをブロックします。



例えば、ユーザーに常にCato Cloud経由のインターネット接続を行わせ、直接のインターネット接続は制限したいといった場合には

[常時適用]
[切断するには管理者パスコードが必要]
[インターネットアクセスを制限]

という設定をします。



サンプル設定

サンプルのAlways-Onポリシー設定です。

#1 Always-Onを適用しない任意に接続/切断を行うルール
#2 Always-Onを適用するが、ユーザー任意での一時的なバイパス(Always-Onの解除)が可能なルール
#3 Always-Onを適用し、それ以外でのインターネットアクセスをブロックするルール

1~3までのルールに該当しなかったユーザーは最終行のデフォルトルールによりAlways-Onが適用されない動作となります。



クライアント側の動作

Always-Onポリシーが適用されたクライアント側の動作です。

Cato Client上に「Always-On policy enabled」と表示され、常に接続状態になります。これにより、常にCatoのセキュリティポリシーを適用することができます。


リカバリーモード:[インターネットアクセスを制限]

Cato Cloudに接続できない場合に直接のインターネット接続を制限することができます。



まとめ

以上、Always-Onポリシーのご紹介でした。

リモートユーザーを常時社内ネットワークに接続させ、社内セキュリティポリシーの適用やアクセス先ログの取得を行いたい、という要件は多くの組織で共通の課題です。

「Always-Onポリシー」は、このような要件を簡単な設定で実現できる便利な機能です。


閲覧数:12回

最新記事

すべて表示
bottom of page