Nota
Nota: Por favor, contacte feature-releases@catonetworks.com para obtener más información sobre habilitar y usando esta característica.
Cato Acceso Privado te permite proporcionar Acceso a la nube seguro basado en identidad a aplicaciones privadas sin habilitar modo de depuración de red a usuarios. En lugar de conceder conectividad directa a nivel de red como una VPN tradicional, se aplica acceso a la nube específico de aplicación de menor privilegio basándose en la Tipo de ID de usuario y contexto.
Las aplicaciones permanecen ocultas e inaccesibles a menos que sean explícitamente autorizadas. Los usuarios se conectan a la nube Cato, y las sesiones autorizadas son intermediadas de forma segura a la aplicación a través de Conector de Aplicación salientes. Esta arquitectura reduce la superficie de ataque, limita el movimiento lateral, y elimina la necesidad de reglas de firewall entrantes, anuncios de enrutamiento o rediseño de red.
Acceso Privado está diseñado para una rápida implementación y adopción incremental. Puedes incorporar aplicaciones sin modificar la topología WAN o la dirección IP.
Cato Acceso Privado proporciona acceso a la nube de usuario-a-aplicación a través de una arquitectura intermediada. Los usuarios no se conectan directamente a la red que alberga la aplicación. En cambio, el acceso se establece solo a aplicaciones que están explícitamente definidas y expuestas a través de Conectores de Aplicación.
Acceso Privado solo admite acceso iniciado por usuario. Las aplicaciones no inician conexiones hacia los usuarios, y los patrones de comunicación iniciados por el servidor o bidireccionales no están soportados. Este diseño aplica un aislamiento estricto entre usuarios y entornos de aplicaciones y elimina la necesidad de exponer redes internas o anunciar rutas.
Los escenarios que requieren comunicación iniciada por el servidor o bidireccional caen fuera del alcance de Acceso Privado y son soportados por la arquitectura completa de redes Cato de IPsec y sitios de Socket.
Para más información, consulte Acceso de Confianza Cero a Aplicaciones Privadas con la Nube SASE de Cato.
-
Un usuario se conecta a la nube Cato usando el Cliente Cato o acceso sin cliente.
-
El PoP autentica al usuario y evalúa las Reglas de Acceso Privado.
-
Si el usuario está autorizado, la sesión es intermediada a través de un túnel DTLS saliente hacia un Conector de Aplicación.
-
El Conector de Aplicación reenvía el tráfico localmente a la aplicación.
Las aplicaciones nunca aceptan conexiones entrantes y no están expuestas a redes de usuarios. El Acceso a la nube es siempre iniciado por el usuario y dirigido por política.
Las aplicaciones privadas representan las aplicaciones internas que publicas a través de Cato.
Para cada aplicación, publicas recursos internos de manera segura definiendo cómo los usuarios acceden a la aplicación y qué Grupo de Conectores proporciona conectividad autorizada. Las aplicaciones se abstraen de la dirección IP interna, y los usuarios acceden al dominio publicado en lugar de la red interna.
Desplegas Conectores de Aplicación en el mismo entorno que la aplicación protegida (centro de datos, nube VPC, o LAN) para conectar de manera segura ese entorno a la nube Cato. Cada conector establece un túnel DTLS saliente y solo reenvía sesiones que fueron explícitamente autorizadas por política. Debido a que los conectores no aceptan conexiones entrantes y no requieren cambios de enrutamiento, puedes introducir Acceso Privado sin rediseñar la red de la aplicación. Puedes desplegar múltiples conectores para aumentar la resiliencia y escalar.
Los Grupos de Conectores de Aplicación agrupan lógicamente los conectores para proporcionar alta disponibilidad, distribución de carga y separación operativa. Las aplicaciones privadas están ligadas a un Grupo de Conectores en lugar de a un conector específico. Esto significa que si un conector específico experimenta un problema, la aplicación puede automáticamente usar otro conector disponible en el grupo.
Usas las Reglas de Acceso Privado para controlar quién puede acceder a qué aplicaciones privadas y bajo qué condiciones. La política te permite otorgar Acceso a la nube a nivel de aplicación basado en la Tipo de ID de usuario y contexto mientras mantienes una postura de denegación por defecto. La autorización se evalúa en el PoP antes de que cualquier sesión se establezca al entorno de la aplicación, asegurando que solo las conexiones explícitamente permitidas sean intermediadas a la aplicación.
Exponer aplicaciones internas de manera segura sin modificar el enrutamiento, anunciando subredes, o cambiando la arquitectura WAN.
Acceso Privado no requiere reglas de firewall entrantes, utiliza túneles salientes únicamente desde el entorno de la aplicación, no requiere reasignación de IP, y no requiere rampas de sitio. Esto lo hace ideal para incorporar rápidamente aplicaciones privadas mientras se conserva el diseño de red existente.
En escenarios de M&A, los rangos de IP superpuestos a menudo retrasan la integración.
Acceso Privado publica aplicaciones sin requerir reasignación de IP, abstrae direcciones internas utilizando CGNAT y mapeo DNS, y permite acceso de usuario sin integración del dominio de enrutamiento. Esto permite una incorporación rápida y no disruptiva de entornos adquiridos.
Si después se requiere conectividad bidireccional o iniciada por el servidor, puedes incorporar el entorno como un sitio completo de Cato.
0 comentarios
Inicie sesión para dejar un comentario.