ক্যাটো SASE ক্লাউডের সাথে ব্যক্তিগত অ্যাপ্লিকেশনগুলিতে জিরো ট্রাস্ট অ্যাক্সেস

সারসংক্ষেপ

সংস্থাগুলি যখন তাদের আইটি অবকাঠামো আধুনিকায়ন করে, তখন ব্যক্তিগত অ্যাপ্লিকেশনগুলিতে নিরাপদ অ্যাক্সেস প্রয়োজনীয় হয়ে ওঠে। প্রচলিত নেটওয়ার্ক-ভিত্তিক পদ্ধতি অভ্যন্তরীণ নেটওয়ার্কগুলিতে সরাসরি ক্লাউড অ্যাক্সেস প্রকাশ করে এবং ব্যবহারকারী এবং ডিভাইসগুলিকে অপ্রয়োজনীয় বিশ্বাস প্রসারিত করে। বিতরণ পরিবেশে যেখানে ব্যবহারকারীরা, ওয়ার্কলোড এবং অ্যাপ্লিকেশনগুলি শাখা, ডেটা সেন্টার এবং ক্লাউড প্ল্যাটফর্মগুলিতে বিস্তৃত হয়, সেখানে অ্যাপ্লিকেশন স্তরেই নিরাপত্তা প্রয়োগ করতে হবে।

Cato SASE ক্লাউড জিরো ট্রাস্ট নেটওয়ার্ক অ্যাক্সেস (ZTNA) ব্যক্তিগত অ্যাপ্লিকেশনগুলিকে প্রদান করে নিশ্চিত করে যে শুধুমাত্র প্রমাণীকৃত এবং অনুমোদিত ব্যবহারকারীরা প্রকাশিত অ্যাপ্লিকেশনগুলিতে ক্লাউড অ্যাক্সেস পেতে পারে। অ্যাপ্লিকেশনগুলি কখনো না অনুমোদনহীন ব্যবহারকারীদের জন্য প্রকাশিত হয় না এবং শুধুমাত্র নীতি চালিত ক্লাউড অ্যাক্সেসের মাধ্যমে Cato ক্লাউডে অ্যাক্সেস করা যায়।

এই নিবন্ধটি ব্যাখ্যা করে কিভাবে ক্যাটো ক্লাউড ZTNA নিরাপত্তা মাধ্যম হিসাবে কাজ করে এবং ব্যক্তিগত অ্যাপ্লিকেশনগুলিতে সুরক্ষিত অ্যাক্সেস সক্রিয় করার জন্য দুটি স্থাপনা মডেল বর্ণনা করে।

app_connector_topology.png

উপরে প্রদর্শিত চিত্রটি দেখায় যে ব্যবহারকারীরা বিভিন্ন পরিবেশে ব্যক্তিগত অ্যাপ্লিকেশনগুলিতে ফিজিক্যাল ক্যাটো সকেট বা অ্যাপ কানেক্টরের মাধ্যমে সংযুক্ত হয়। এই চিত্রে রয়েছে:

  • প্রতিটি ব্যক্তিগত নেটওয়ার্কের জন্য স্বাধীন রাউটিং ডোমেইন
  • অনন্য IP স্পেসের জন্য কোনও প্রয়োজনীয়তা নেই
  • অ্যাপ্লিকেশনে ক্লাউড অ্যাক্সেসের জন্য Cato PoPs ZTNA ব্রোকার হিসেবে কাজ করে

Cato জিরো ট্রাস্ট মডেল

Cato এর স্থাপত্যের কেন্দ্রবিন্দু হল পয়েন্ট অফ প্রেজেন্স (PoPs) এর গ্লোবাল নেটওয়ার্ক যা Cato SASE Cloud তৈরি করে। প্রত্যেকটি PoP ব্যবহারকারী এবং ব্যক্তিগত অ্যাপ্লিকেশনগুলির মধ্যে একটি ZTNA নিরাপত্তা ব্রোকার হিসেবে কাজ করে।

app_zero_trust.png

ব্যবহারকারী আপলোড করা হয়েছে ব্রোকার

Cato ব্যবহারকারীদের ব্যক্তিগত অ্যাপ্লিকেশন আপলোড করা হয়েছে অনেক পদ্ধতি অফার করে। যদিও এই নিবন্ধটি পরিচালিত বা অপ্রাপ্য ডিভাইস ব্যবহার করে রিমোট ক্লাউড অ্যাক্সেসের উপর গুরুত্ব দেয়, একই নীতিগুলি Cato এর ইউনিভার্সাল ZTNA (UZTNA) পদ্ধতির জন্য প্রযোজ্য যেখানে ব্যবহারকারীরা সাইটের পিছন থেকে সংযোগ করে।

ব্যবহারকারীরা প্রথমে ক্যাটো ক্লাউডের সাথে সংযুক্ত হয়ে ক্যাটো ক্লায়েন্ট ব্যবহার করে অথবা সুরক্ষিত ব্রাউজার-ভিত্তিক অ্যাক্সেস ব্যবহার করে ব্যক্তিগত অ্যাপ্লিকেশনগুলিতে অ্যাক্সেস করে। এটি নিকটস্থ PoP-এ একটি সুরক্ষিত সেশন স্থাপন করে।

পদ্ধতির বা কৌশলের বিষয়ে না ভাবলেও, মূল শূন্য ট্রাস্ট নীতিগুলি, নিরাপত্তা ইঞ্জিন, এবং নীতি প্রয়োগ সমস্ত অ্যাক্সেস পরিস্থিতিতে একই থাকে। 

প্রমাণীকরণ এবং অনুমোদন

  1. ব্যবহারকারীরা একটি সুরক্ষিত সংযোগ ক্যাটো ZTNA ব্রোকারে শুরু করে এবং SSO বা বহু-ফ্যাক্টর প্রমাণীকরণ (MFA) এর মাধ্যমে IdP এর মাধ্যমে প্রমাণীকরণ করা হয়।
  2. ডিফল্টভাবে কোনো অ্যাপ্লিকেশন দৃশ্যমান বা অ্যাক্সেসযোগ্য নয়। প্রমাণিত হওয়ার পর, ব্যবহারকারী এবং ডিভাইস ব্যক্তিগত অ্যাক্সেস নীতি, ভূমিকা, ডিভাইস অবস্থান, অবস্থান, আচরণ, এবং ঝুঁকির ওপর মূল্যায়ন করা হয়।
  3. প্রতি সেশন অনুরোধে, সমস্ত নীতি মানদণ্ড (ব্যবহারকারীর ডিভাইস অবস্থান, আচরণ, ঝুঁকি এবং আরও বেশি) ক্রমাগত মূল্যায়ন করা হয়। 

PoP হিসাবে ZTNA নিরাপত্তা ব্রোকার

PoP পরিচয় পরিচালিত অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করে এবং ব্যবহারকারী এবং অ্যাপ্লিকেশনগুলির মধ্যে সংযোগকে সুরক্ষিতভাবে ব্রোকার করে।

একবার প্রমাণীকরণ এবং অনুমোদন সম্পন্ন হলে, PoP অনুমতিপ্রাপ্ত অ্যাপ্লিকেশনটিতে সংযোগ প্রয়োজিত অ্যাক্সেস মডেলের মাধ্যমে (অ্যাপ কানেক্টর বা সকেট) ব্রোকার করে।

অ্যাপ্লিকেশনগুলি কখনোই সরাসরি ব্যবহারকারীদের সামনে প্রকাশিত হয় না। ডিফল্টরূপে, সব অ্যাপ্লিকেশন অ্যাক্সেস বাতিল করা হয় যতক্ষণ না Cato-এর ZTNA ব্রোকার এবং ব্যক্তিগত অ্যাক্সেস নীতি দ্বারা স্পষ্টভাবে অনুমতি দেওয়া হয়।

একবার এক্সেস প্রদত্ত হলে, সমস্ত ট্রাফিক ক্যাটোর পুরো নিরাপত্তা স্ট্যাক, হুমকি প্রতিরোধ এবং CASB/DLP পরিদর্শন অন্তর্ভুক্ত করে।

এই ব্রোকারকৃত মডেল অ্যাপ্লিকেশন-স্তরের অ্যাক্সেস নিয়ন্ত্রণ, পরিচয়-ভিত্তিক অনুমোদন, ক্রমাগত অবস্থান এবং ঝুঁকি মূল্যায়ন, এবং কেন্দ্রীকৃত নীতি প্রয়োগ নিশ্চিত করে।

অ্যাপ কানেক্টরের মাধ্যমে ব্যক্তিগত অ্যাক্সেস

এই মডেলে ব্যক্তিগত অ্যাপ্লিকেশনগুলি অ্যাপ পরিবেশে স্থাপিত অ্যাপ কানেক্টরের মাধ্যমে প্রকাশিত হয়।

app_connector_Architecture.png

একটি অ্যাপ কানেক্টর সুরক্ষিত অ্যাপ্লিকেশনের মতো একই নেটওয়ার্ক পরিবেশে স্থাপিত হয়, সেটা একটি শারীরিক ডেটা সেন্টারও হতে পারে বা একটি জনসাধারণের ক্লাউড VPC হতে পারে। এটি একটি নেটওয়ার্ক-নিরপেক্ষ অ্যাক্সেস মডেল উপস্থাপন করে, যেখানে অ্যাপ্লিকেশন অ্যাক্সেস ক্যাটো ক্লাউডে প্রয়োগ করা হয় বরং তথাকথিত নেটওয়ার্ক টপোলজি উপর নির্ভর না করে। কানেক্টর একটি সুরক্ষিত সংযোগ ক্যাটো ক্লাউডে স্থাপন করে এবং একটি অ্যাপ কানেক্টর গ্রুপের মাধ্যমে অ্যাপ্লিকেশনগুলি প্রকাশ করে।

যখন একজন ব্যবহারকারী ব্যক্তিগত অ্যাপ্লিকেশন অ্যাক্সেসের জন্য অনুমোদিত হয়, তখন PoP সেই অ্যাপ্লিকেশনটির সাথে সংযুক্ত সেরা উপলব্ধ অ্যাপ কানেক্টরের জন্য সেশন ব্রোকার করে। কানেক্টর শুধুমাত্র অনুমোদিত সেশানগুলোকে অ্যাপ্লিকেশনের দিকে ফরোয়ার্ড করে।

একাধিক কানেক্টরকে একটি অ্যাপ কানেক্টর গ্রুপে একত্রিত করা যেতে পারে। এটি স্থিতিশীলতা এবং লোড বিতরণ সক্ষম করে। যদি একটি নির্দিষ্ট কানেক্টর অনুপলব্ধ হয়ে যায়, অ্যাপ্লিকেশন স্বয়ংক্রিয়ভাবে একই গ্রুপের মধ্যে অন্য উপলব্ধ কানেক্টর ব্যবহার করতে পারে। আরও তথ্যের জন্য, দেখুন What Is Cato Private Access?

সাইটের মাধ্যমে ব্যক্তিগত অ্যাক্সেস

এই মডেলে, সাইটের ধরন (Socket, vSocket, বা IPsec) সেই সাইটের পিছনে অবস্থিত ব্যক্তিগত অ্যাপ্লিকেশনগুলিতে সুরক্ষিত অ্যাক্সেস প্রদান করে। সাইট ক্যাটো ক্লাউডের সাথে সংযুক্ত হয়ে ঐ পরিবেশের মধ্যে অ্যাপ্লিকেশনগুলিতে ZTNA স্থাপত্যকে প্রসারিত করে। PoP ZTNA সুরক্ষা ব্রোকার হিসাবে থাকে, ব্যবহারকারীদের প্রমাণীকরণ করে এবং নীতি ব্রোকার করার আগে অ্যাপ্লিকেশনগুলিতে অ্যাক্সেস প্রয়োগ করে যা সাইটের পিছনে হোস্ট করা হয়েছে।

একটি Socket বা vSocket পুরো সাইটের জন্য সুরক্ষিত প্রান্ত ডিভাইস হিসেবে কাজ করে। সাইটের মধ্যে ব্যক্তিগত অ্যাপ্লিকেশনগুলি ZTNA নীতিমালার উপর ভিত্তি করে প্রকাশ এবং অ্যাক্সেস করা যেতে পারে, অভ্যন্তরীণ নেটওয়ার্ক সম্পদগুলি প্রকাশ না করেই।

ব্যক্তিগত অ্যাপ্লিকেশন এবং ক্যাটো ZTNA ব্রোকার

কাটো ZTNA ব্রোকার (কাটো SASE ক্লাউড অংশ হিসাবে বাস্তবায়িত) ব্যবহারকারী এবং ব্যক্তিগত অ্যাপ্লিকেশনের মধ্যে ব্রোকার হিসাবে কাজ করে, নীতিমালার ভিত্তিতে তাদের বহির্গামী টানেলগুলো সুরক্ষিতভাবে সেলাই করে। ডিফল্টভাবে, সমস্ত অ্যাপ্লিকেশন অ্যাক্সেস অবরুদ্ধ করা হয় এবং শুধুমাত্র বিশেষভাবে সংজ্ঞায়িত ZTNA নীতিমালা অ্যাক্সেস প্রদান করতে পারে। 

প্রশাসকগণ ক্ষুদ্র নীতিমালা তৈরি করতে পারেন যা নির্দিষ্ট করে দেয় কোন ব্যবহারকারী বা গ্রুপ কোন অ্যাপ্লিকেশন অ্যাক্সেস করতে পারে, HTTP/S উভয় পাশাপাশি যেকোনো প্রোটোকল এবং পোর্ট (TCP/IP এবং UDP সহ) সমর্থন করে, যার প্রেক্ষাপটে। একবার অ্যাক্সেস প্রদত্ত হলে, সমস্ত অ্যাপ্লিকেশন ট্রাফিক সমস্ত নিরাপত্তা ইঞ্জিন দ্বারা পরিদর্শিত হয় (হুমকি প্রতিরোধ, CASB/DLP) এবং নীতি প্রয়োগ করা হয়।

  • অ্যাক্সেস প্রদান করা হয় অ্যাপ্লিকেশন প্রতি, নেটওয়ার্ক প্রতি নয়
  • অনুমোদন পরিচয়-ভিত্তিক এবং নীতি-প্রবর্তী
  • অ্যাপ্লিকেশনগুলি গোপন থাকে যতক্ষণ না বিশেষভাবে অনুমোদিত হয়
  • সমস্ত অনুমতি প্রদত্ত সেশান ক্যাটো-এর নিরাপত্তা ইঞ্জিন দ্বারা পরিদর্শিত হয়

অ্যাপ্লিকেশন অ্যাক্সেসকে নেটওয়ার্ক এক্সপোজার থেকে ডি-কাপল করে, ক্যাটো প্রতিষ্ঠানগুলোকে তাদের পরিকাঠামো পুনরায় ডিজাইন না করেই ডেটা সেন্টার, শাখা, এবং ক্লাউড পরিবেশে শূন্য ট্রাস্ট নীতিগুলি গ্রহণ করতে সক্ষম করে।

এই নিবন্ধটি কি সহায়ক ছিল?

3 জনের মধ্যে 3 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য