Ahoj všichni, dívám se na nějaké konfigurace od svého předchozího kolegy, který nečekaně odešel, a hledám názory, tak jdeme na to.
Příběh zpět; MFA je povolena s geolokací na mém tenantovi (AZURE)
Existuje konfigurace SAML s Global Protect v podnicových aplikacích.
Na mých PAN Firewallech; vpn je nakonfigurován a SAML je součástí autentifikačního procesu; funguje skvěle.
ALE..
Když se zaměstnanci rozhodnou cestovat mimo USA; považuji za trochu mnoho umožnit nejen zemi, kam cestují; ale pak musím přidat region na portál / Gateway Global Protect, abych povolil tyto země; je něco jiného, co bych měl nebo změnil?
Jaká je bezpečnostní politika vaší organizace? Musíte povolit přístup ze země, kam cestují? Nejlepší by bylo sestavit seznam konkrétních regionů, odkud mohou uživatelé bezpečně přistupovat vzdáleně a přidat pouze tyto regiony do vašich přístupových politik.
Používáme podmíněný přístup v Azure, uživatel se pokusí přihlásit k GP, dostane SSO přihlášení, bude odmítnuto, pokud nebude podána žádanka s místem a datem cesty.
Trvá to pár okamžiků, než se aktualizuje seznam známých zemí v CA politice, a je to hotové.
Nápad. Než uživatel odejde, nechte ho nainstalovat agenta dynamického DNS na jejich zařízení. zaregistrujte pro ně hostname dynamického DNS, který bude aktualizován tím agentem. Na straně firewallu vytvořte objekt fqdn s tímto DNS hostnamem a odkazujte ho v bezpečnostní politice nad vašimi pravidly blokujícími přístup GP. Tímto způsobem jim dovolíte přihlásit se ze země, ale ne celé země, pouze jejich aktuální IP (zjištěná přes dynamický DNS, takže není třeba ručně implementovat, pokud jejich IP změní).
Vzhledem k tomu, že se jedná o lékařskou zařízení, povolujeme pouze kanadský přístup. Ale zjistil jsem, že musím upravit svou podmíněnou politiku přístupu v Azure, protože mé GP je spojeno s SAML, a pak musím aktualizovat region na portálu nebo Gateway.
Je to trochu otravné, když někdo cestuje do US nebo UK - musím změnit. A ne, nemohu nechat pouze US a jsem na věčném režimu, je to vše dočasné.