概要
Always-OnはCato Clientを常に接続状態にする機能です。
ユーザーによる任意の切断を許可せずに、すべての通信をCato Cloud経由で行うことで、常にCatoのセキュリティポリシーを適用することができます。
設定方法
CMA(Cato Cloudの管理コンソール)のアクセス > 常時オンポリシー メニューから設定します。
以下の項目を設定可能です。
ユーザー&グループ
特定のユーザーやグループを指定することができます。Anyを選択すると全ユーザーを対象とします。
プラットフォーム
デバイスのOSを指定することができます。指定せずにすべてのOSを対象(Any)とすることも可能です。
※Linux版Cato ClientはAlways-On機能をサポートしていません
接続済み
Always-Onの適用有無とオプション動作の設定をします。Always-Onポリシーを設定する上で重要な項目のため詳しく解説します。
①Always-On ポリシーの適用設定
[常時適用]:ユーザーは常にCato Clientが接続状態になります。
[オンデマンド]:ユーザーは任意に接続/切断することができます(Always-Onポリシーを適用しない)
②バイパスモード
Always-Onポリシーを一時的に解除するモードです。
[ユーザーは切断を選択できます]:ユーザーは任意のタイミングでAlways-Onを解除できます。
[切断するには管理者パスコードが必要]:CMA上に表示されるパスコードを入力した場合のみAlways-Onを解除できます。
[切断時間]: バイパスモードの持続時間を指定します(Minutes or Hours)
③リカバリーモード
何等かの問題によりCato Cloudに接続できない場合の動作を選択します。
[インターネットを許可]:Cato Cloudに接続できない場合にインターネットアクセスを許可します。Catoのセキュリティ機能は適用されません。
[インターネットアクセスを制限]:Cato Cloudに接続できない場合はインターネットアクセスをブロックします。
例えば、ユーザーに常にCato Cloud経由のインターネット接続を行わせ、直接のインターネット接続は制限したいといった場合には
①[常時適用]
②[切断するには管理者パスコードが必要]
③[インターネットアクセスを制限]
という設定をします。
サンプル設定
サンプルのAlways-Onポリシー設定です。
#1 Always-Onを適用しない任意に接続/切断を行うルール
#2 Always-Onを適用するが、ユーザー任意での一時的なバイパス(Always-Onの解除)が可能なルール
#3 Always-Onを適用し、それ以外でのインターネットアクセスをブロックするルール
1~3までのルールに該当しなかったユーザーは最終行のデフォルトルールによりAlways-Onが適用されない動作となります。
クライアント側の動作
Always-Onポリシーが適用されたクライアント側の動作です。
Cato Client上に「Always-On policy enabled」と表示され、常に接続状態になります。これにより、常にCatoのセキュリティポリシーを適用することができます。
リカバリーモード:[インターネットアクセスを制限]
Cato Cloudに接続できない場合に直接のインターネット接続を制限することができます。
まとめ
以上、Always-Onポリシーのご紹介でした。
リモートユーザーを常時社内ネットワークに接続させ、社内セキュリティポリシーの適用やアクセス先ログの取得を行いたい、という要件は多くの組織で共通の課題です。
「Always-Onポリシー」は、このような要件を簡単な設定で実現できる便利な機能です。