A medida que las organizaciones modernizan su infraestructura de TI, asegurar el acceso a aplicaciones privadas se vuelve crítico. Los enfoques tradicionales basados en redes exponen acceso directo a las redes internas y habilitar modo de depuración innecesaria hacia usuarios y dispositivos. En entornos distribuidos donde los usuarios, cargas de trabajo y aplicaciones abarcan sucursales, Centro de Datos y plataformas de nube, la seguridad debe ser aplicada a nivel de aplicación.
La Cato SASE Cloud entrega Acceso a la Red de Confianza Cero (ZTNA) a aplicaciones privadas asegurando que solo usuarios autenticar y autorizar puedan acceso a la nube aplicaciones publicar. Las aplicaciones nunca se exponen a los usuarios no autorizados y solo son alcanzables a través de acceso controlado por control de acceso en la nube Cato.
Este artículo proporciona un resumen arquitectónico de alto nivel sobre cómo funciona Cato Cloud como un intermediario de seguridad ZTNA y describe dos modelos de implementación para habilitar el acceso seguro a aplicaciones privadas a través de sitios de Cato o Conectores de Aplicación.
El diagrama anterior muestra un ejemplo de usuarios que se conectan a aplicaciones privadas en diferentes entornos a través de un socket físico de Cato o Conectores de Aplicación. En este diagrama, hay:
- Dominios de enrutamiento independientes para cada red privada
- No hay requisitos para espacios IP únicos
- Los CATO POP actúan como el intermediario ZTNA para el acceso a las aplicaciones
En el núcleo de la arquitectura de Cato está la red global de Puntos de Presencia (PoPs) que forman la Cato SASE Cloud. Cada PoP funciona como un corredor de seguridad ZTNA entre usuarios y aplicaciones privadas.
Cato ofrece múltiples métodos para que los usuarios accedan a aplicaciones privadas. Mientras que este artículo se centra en el acceso remoto usando dispositivos gestionados o no gestionados, los mismos principios se aplican al enfoque Universal ZTNA (UZTNA) de Cato para usuarios que se conectan desde detrás de un sitio.
Los usuarios acceden a aplicaciones privadas conectándose primero a la Cato Cloud usando el Cliente Cato o acceso seguro basado en navegador. Esto establece una sesión segura al PoP más cercano.
Independientemente del método, los principios fundamentales de Zero Trust, los motores de seguridad y la aplicación de políticas se mantienen consistentes en todos los escenarios de acceso.
- Los usuarios inician una conexión segura con el Broker Cato ZTNA y pasan por un proceso de autenticación utilizando métodos como SSO o autenticación multifactor (MFA) a través del IdP.
- Por defecto, ninguna aplicación es visible o accesible. Una vez autenticados, el usuario y el dispositivo son evaluados según la política de Acceso Privado, el rol, la postura del dispositivo, la ubicación, el comportamiento y el nivel de riesgo.
- En cada solicitud de sesión, todos los criterios de política (la postura del dispositivo del usuario, el comportamiento, el riesgo y más) se evalúan continuamente.
El PoP aplica control de acceso basado en identidad y media conexiones de manera segura entre los usuarios y las aplicaciones.
Una vez que la autenticación y la autorización están completas, el PoP intermedia la conexión a la aplicación permitida a través del modelo de acceso apropiado (Conector de Aplicación o Socket).
Las aplicaciones nunca se exponen directamente a los usuarios. Por defecto, todo acceso a la aplicación está denegado hasta que sea explícitamente permitido por el corredor de ZTNA de Cato y la Política de Acceso Privado.
Una vez otorgado el acceso, todo el tráfico está sujeto a la pila completa de seguridad de Cato, incluyendo Prevención de Amenazas e inspección CASB/DLP.
Este modelo intermedio garantiza control de acceso a nivel de aplicación, autorización basada en identidad, evaluación continua de postura y riesgos, y aplicación centralizada de políticas.
En este modelo, las aplicaciones privadas se publican a través de Conectores de Aplicación desplegados dentro del entorno de la aplicación.
Un Conector de Aplicación se despliega en el mismo entorno de red que la aplicación protegida, ya sea en un centro de datos físico o en una nube pública VPC. Esto representa un modelo de acceso neutral en la red, donde el acceso a la aplicación se aplica en la Cato Cloud en lugar de depender de la topología de red subyacente. El conector establece una conexión segura a la Cato Cloud y publica las aplicaciones a través de un Grupo de Conectores de Aplicación.
Cuando un usuario está autorizado para acceder a una aplicación privada, el PoP intermedia la sesión al mejor Conector de Aplicación disponible asociado con esa aplicación. El conector reenvía solo las sesiones autorizadas a la aplicación.
Se pueden agrupar varios conectores en un Grupo de Conectores de Aplicación. Esto permite resiliencia y distribución de carga. Si un conector específico queda indisponible, la aplicación puede automáticamente usar otro conector disponible dentro del mismo grupo. Para más información, consulte ¿Qué es el Acceso Privado de Cato?
En este modelo, el tipo de sitio (Socket, vSocket o IPsec) proporciona acceso seguro a aplicaciones privadas ubicadas detrás de ese sitio. El sitio se conecta a la Cato Cloud y extiende la arquitectura ZTNA a las aplicaciones dentro de ese entorno. El PoP sigue siendo el broker de seguridad ZTNA, autenticando usuarios y aplicando políticas antes de intermediar el acceso a las aplicaciones alojadas detrás del sitio.
Un Socket o vSocket sirve como el dispositivo de borde seguro para todo el sitio. Las aplicaciones privadas dentro del sitio pueden publicarse y accederse según la política ZTNA, sin exponer los recursos de red internos.
El Broker Cato ZTNA (implementado como parte de la Cato SASE Cloud) actúa como un intermediario entre el usuario y la aplicación privada, conectando de manera segura sus túneles salientes según la política. Por defecto, se bloquea todo acceso a aplicaciones, y solo las políticas ZTNA definidas explícitamente pueden otorgar acceso.
Los administradores pueden crear políticas granulares que especifiquen qué usuarios o grupos pueden acceder a qué aplicaciones, soportando tanto HTTP/S como cualquier protocolo y puerto (incluidos TCP/IP y UDP), en cualquier dirección. Una vez otorgado el acceso, todo el tráfico de aplicaciones está sujeto a la inspección por todos los motores de seguridad (Prevención de Amenazas, CASB/DLP) y aplicación de políticas.
- El acceso se otorga por aplicación más que por red
- La autorización está basada en identidad y dirigida por políticas
- Las aplicaciones permanecen ocultas a menos que se permita explícitamente
- Todas las sesiones permitidas son inspeccionadas por los motores de seguridad de Cato
Al desvincular el acceso a la aplicación de la exposición de la red, Cato permite que las organizaciones adopten principios de Zero Trust a través de centros de datos, sucursales y entornos en la nube sin rediseñar su infraestructura.
0 comentarios
Inicie sesión para dejar un comentario.