الوصول الموثوق به الصفري للتطبيقات الخاصة مع سحابة Cato SASE

نظرة عامة

عندما تحدث المنظمات بنية تكنولوجيا المعلومات الخاصة بها، يصبح تأمين الوصول إلى التطبيقات الخاصة أمرًا حاسمًا. تفتح النهج المستندة إلى الشبكة التقليدية الوصول المباشر إلى الشبكات الداخلية وتمدد الثقة غير الضرورية للمستخدمين والأجهزة. في البيئات الموزعة حيث يمتد المستخدمون وأعباء العمل والتطبيقات على الفروع ومراكز البيانات ومنصات السحابة، يجب تطبيق الأمان على مستوى التطبيق.

توفر سحابة كاتو SASE وصولاً شبكيًا صفري الثقة للتطبيقات الخاصة من خلال ضمان أن يمكن فقط للمستخدمين الذين تم التحقق منهم والمصرح لهم الوصول إلى التطبيقات المنشورة. لا يتم كشف التطبيقات للمستخدمين غير المصرح لهم أبدًا ويمكن الوصول إليها فقط عبر وصول محكوم بالسياسات في سحابة كاتو.

تقدم هذه المقالة نظرة عامة على كيفية عمل Cato Cloud كوسيط أمني ZTNA وتصف نموذجين لنشر تمكّن الوصول الآمن إلى التطبيقات الخاصة عبر مواقع Cato أو موصلات التطبيقات.

app_connector_topology.png

تُظهر المخطط أعلاه مثالاً على المستخدمين الذين يتصلون بالتطبيقات الخاصة في بيئات مختلفة عبر Cato Socket مادي أو موصلات التطبيقات. في هذا المخطط، هناك:

  • نطاقات توجيه مستقلة لكل شبكة خاصة
  • لا توجد حاجة لمساحات IP فريدة
  • تعمل نقاط التواجد الخاصة بـ Cato كوسيط ZTNA للوصول إلى التطبيقات

نموذج الثقة الصفرية من Cato

في قلب بنية Cato يوجد الشبكة العالمية لنقاط التواجد (PoPs) التي تشكل سحابة Cato SASE. يعمل كل PoP كوسيط أمني ZTNA بين المستخدمين والتطبيقات الخاصة.

app_zero_trust.png

المستخدم إلى الوسيط

تقدم Cato طرق متعددة للمستخدمين للوصول إلى التطبيقات الخاصة. بينما تركز هذه المقالة على الوصول عن بُعد باستخدام أجهزة مُدارة أو غير مُدارة، فإن نفس المبادئ تنطبق على نهج ZTNA العالمي لـ Cato للمستخدمين المتصلين من خلف موقع.

يصل المستخدمون إلى التطبيقات الخاصة من خلال الاتصال أولاً بـ Cato Cloud باستخدام Cato Client أو الوصول الآمن عبر المتصفح. هذا ينشئ جلسة آمنة إلى أقرب PoP.

بغض النظر عن الطريقة، تظل المبادئ الأساسية لثقة صفر ومحركات الأمان وفرض السياسات متسقة عبر جميع سيناريوهات الوصول. 

المصادقة والتفويض

  1. يقوم المستخدمون بإنشاء اتصال آمن مع Cato ZTNA Broker ويخضعون لعملية المصادقة باستخدام طرق مثل SSO أو المصادقة متعددة العوامل (MFA) عبر IdP.
  2. افتراضيًا، لا تكون التطبيقات مرئية أو قابلة للوصول إليها. بمجرد المصادقة، يتم تقييم المستخدم والجهاز مقابل سياسة الوصول الخاصة، والدور، وسلم الجهاز، والموقع، والسلوك، ومستوى المخاطر.
  3. في كل طلب جلسة، يتم تقييم جميع معايير السياسة (وضع الجهاز، السلوك، المخاطر، وغيرها) بشكل مستمر. 

PoP كوسيط أمان ZTNA

يقوم PoP بفرض التحكم في الوصول المدفوع بالهوية ويوفر بشكل آمن الاتصالات بين المستخدمين والتطبيقات.

بمجرد اكتمال المصادقة والتفويض، يقوم PoP بتوجيه الاتصال إلى التطبيق المسموح به من خلال نموذج الوصول المناسب (App Connector أو Socket).

لا يتم عرض التطبيقات مباشرة على المستخدمين. افتراضيًا، يتم رفض الوصول إلى جميع التطبيقات حتى يتم السماح بذلك صراحة بواسطة وسيط ZTNA الخاص بـCato وسياسة الوصول الخاصة.

بمجرد منح الوصول، تكون جميع الحركة الصادرة معرضة لنظام الأمان الكامل من Cato، بما في ذلك منع التهديدات وتفتيش CASB/DLP.

يضمن هذا النموذج الوسيط التحكم في الوصول على مستوى التطبيق، والتفويض المدفوع بالهوية، التقييم المستمر للوضع والخطر، وفرض السياسة المركزية.

الوصول الخاص عبر موصلات التطبيقات

في هذا النموذج، تُنشر التطبيقات الخاصة عبر موصلات التطبيقات المستخدمة داخل بيئة التطبيق.

app_connector_Architecture.png

يتم نشر موصل التطبيق في نفس بيئة الشبكة مثل التطبيق المحمي، سواء في مركز بيانات مادي أو في سحابة عامة VPC. يمثل هذا نموذجًا للوصول المحايد للشبكة، حيث يتم فرض الوصول إلى التطبيق في Cato Cloud بدلاً من الاعتماد على طوبولوجيا الشبكة الأساسية. ينشئ الموصل اتصالاً آمنًا بـ Cato Cloud وينشر التطبيقات عبر مجموعة موصلات التطبيقات.

عندما يتم تفويض المستخدم للوصول إلى تطبيق خاص، يقوم PoP بوسيط الجلسة لأفضل موصل تطبيق متاح مرتبط مع ذلك التطبيق. يقوم الموصل بتمرير الجلسات المصرح بها فقط إلى التطبيق.

يمكن جمع عدة موصلات معًا في مجموعة موصلات التطبيقات. يسهل هذا التحمل وتوزيع الحمل. إذا أصبح موصل محدد غير متاح، يمكن للتطبيق استخدام موصل آخر متاح تلقائيًا داخل نفس المجموعة. لمزيد من المعلومات، انظر ما هو الوصول الخاص من Cato؟

الوصول الخاص عبر المواقع

في هذا النموذج، يوفر نوع الموقع (Socket، vSocket، أو IPsec) وصولاً آمنًا إلى التطبيقات الخاصة الموجودة خلف ذلك الموقع. يتصل الموقع بـ Cato Cloud ويمدد هيكلة ZTNA للتطبيقات داخل تلك البيئة. يبقى PoP وسيط الأمان ZTNA، حيث يقوم بمصادقة المستخدمين وفرض السياسة قبل توجيه الوصول إلى التطبيقات المستضافة خلف الموقع.

يعمل Socket أو vSocket كجهاز حافة آمن للموقع بأكمله. يمكن نشر التطبيقات الخاصة داخل الموقع والوصول إليها بناءً على سياسة ZTNA، بدون الكشف عن موارد الشبكة الداخلية.

التطبيقات الخاصة ووسيط ZTNA من Cato

يعمل وسيط ZTNA من Cato (يتم تنفيذه كجزء من Cato SASE Cloud) كوسيط بين المستخدم والتطبيق الخاص، حيث يقوم بتوجيه أنفاق الخروج بناءً على السياسة بشكل آمن. افتراضيًا، يتم حظر الوصول إلى كل التطبيقات، ولا يمكن للسماح سوى السياسات المحددة بوضوح في ZTNA. 

يمكن للمسؤولين إنشاء سياسات دقيقة تحدد أي مستخدمين أو مجموعات يمكنهم الوصول إلى أي تطبيقات، دعم كلا من HTTP/S وكذلك أي بروتوكول ومنفذ (بما في ذلك TCP/IP وUDP)، في أي من الاتجاهين. بمجرد منح الوصول، تكون حركة المرور الخاصة بالتطبيق معرضة للتفتيش من قِبل جميع محركات الأمان (منع التهديدات، CASB/DLP) وفرض السياسة.

  • يتم منح الوصول لكل تطبيق بدلاً من كل شبكة
  • التفويض مدفوع بالهوية ويستند إلى السياسة
  • تبقى التطبيقات مخفية ما لم يُسمح بها بوضوح
  • يتم فحص جميع الجلسات المسموح بها بواسطة محركات الأمان الخاصة بـ Cato

بفصل الوصول إلى التطبيق عن تعرض الشبكة، تمكّن Cato المؤسسات من تبني مبادئ الثقة الصفرية عبر مراكز البيانات، الفروع، وبيئات السحابة بدون إعادة تصميم البنية التحتية الخاصة بها.

هل كان هذا المقال مفيداً؟

3 من 3 وجدوا هذا مفيداً

لا توجد تعليقات