À mesure que les organisations modernisent leur infrastructure informatique, sécuriser l'accès aux applications privées devient crucial. Les approches traditionnelles basées sur le réseau exposent un accès direct aux réseaux internes et accordent une confiance excessive aux utilisateurs et appareils. Dans les environnements distribués où les utilisateurs, les charges de travail et les applications s'étendent sur des succursales, des centres de données et des plateformes cloud, la sécurité doit être appliquée au niveau de l'application.
Le Cato SASE Cloud fournit un accès réseau Zero Trust (ZTNA) aux applications privées en veillant à ce que seuls les utilisateurs authentifiés et autorisés puissent accéder aux applications publiées. Les applications ne sont jamais exposées aux utilisateurs non autorisés et ne sont accessibles qu'à travers un accès contrôlé par les politiques dans le Cato Cloud.
Cet article fournit une vue d'ensemble architecturale de haut niveau sur la manière dont le Cato Cloud fonctionne en tant que courtier de sécurité ZTNA et décrit deux modèles de déploiement pour activer l'accès sécurisé aux applications privées via les sites Cato ou les connecteurs d'application.
Le schéma ci-dessus montre un exemple d'utilisateurs se connectant à des applications privées dans différents environnements via un Cato Socket physique ou des connecteurs d'application. Dans ce schéma, il y a :
- Domaines de routage indépendants pour chaque réseau privé
- Aucune exigence pour des espaces IP uniques
- Les Points de présence Cato agissent comme des courtiers ZTNA pour l'accès aux applications
Au cœur de l'architecture de Cato se trouve le réseau global de Points de Présence (PoP) qui forme le Cloud SASE de Cato. Chaque PoP fonctionne comme un courtier de sécurité ZTNA entre les utilisateurs et les applications privées.
Cato propose plusieurs méthodes pour les utilisateurs pour accéder aux applications privées. Bien que cet article se concentre sur l'accès à distance utilisant des appareils gérés ou non gérés, les mêmes principes s'appliquent à l'approche ZTNA Universelle de Cato (UZTNA) pour les utilisateurs se connectant depuis derrière un site.
Les utilisateurs accèdent aux applications privées en se connectant d'abord au Cato Cloud à l'aide du Client Cato ou de l'accès sécurisé basé sur un navigateur. Cela établit une session sécurisée vers le point de présence (PoP) le plus proche.
Quelle que soit la méthode, les principes fondamentaux du Zero Trust, les moteurs de sécurité et l'application des règles restent constants dans tous les scénarios d'accès.
- Les utilisateurs initient une connexion sécurisée au Cato ZTNA Broker et subissent une authentification en utilisant des méthodes telles que SSO ou authentification multifacteur (MFA) via l'IdP.
- Par défaut, aucune application n'est visible ou accessible. Une fois authentifié, l'utilisateur et l'appareil sont évalués en fonction de la politique d'accès au cloud privée, du rôle, de la posture de l'appareil, de l'emplacement, du comportement et du niveau de risque.
- Dans chaque demande de session, tous les critères de déploiement (la posture de l'appareil utilisateur, le comportement, le risque, et plus) sont évalués en continu.
Le PoP impose un contrôle d'accès basé sur l'identité et assure la médiation sécurisée des connexions entre les utilisateurs et les applications.
Une fois l'authentification et l'autorisation terminées, le PoP médiatise la connexion à l'application autorisée à travers le modèle d'accès approprié (Connecteur d'application ou Socket).
Les applications ne sont jamais exposées directement aux utilisateurs. Par défaut, tout accès aux applications est refusé jusqu'à ce qu'il soit explicitement autorisé par le courtier ZTNA de Cato et la Politique de déploiement Accès Privé.
Une fois l'accès accordé, tout le trafic est soumis à la pile de sécurité complète de Cato, comprenant la prévention des menaces et l'inspection CASB/DLP.
Ce modèle médiatisé assure un contrôle d'accès au niveau de l'application, une autorisation basée sur l'identité, une évaluation continue de la posture et du risque, et une application centralisée des règles.
Dans ce modèle, les applications privées sont publiées via des connecteurs d'application déployés dans l'environnement applicatif.
Un connecteur d'application est déployé dans le même environnement réseau que l'application protégée, qu'il s'agisse d'un centre de données physique ou d'un VPC cloud public. Cela représente un modèle d'accès neutre vis-à-vis du réseau, où l'accès à l'application est imposé dans le Cato Cloud plutôt que dépendant de la topologie réseau sous-jacente. Le connecteur établit une connexion sécurisée avec le Cato Cloud et publie les applications via un groupe de connecteurs d'application.
Lorsqu'un utilisateur est autorisé à accéder à une application privée, le PoP médiatise la session vers le meilleur connecteur d'application disponible associé à cette application. Le connecteur transfère uniquement les sessions autorisées à l'application.
Les connecteurs multiples peuvent être regroupés dans un groupe de connecteurs d'application. Cela permet la résilience et la répartition de la charge. Si un connecteur spécifique devient indisponible, l'application peut automatiquement utiliser un autre connecteur disponible au sein du même groupe. Pour plus d'informations, consultez Qu'est-ce que l'Accès Privé de Cato?
Dans ce modèle, le type de site (Socket, vSocket ou IPsec) fournit un accès sécurisé aux applications privées situées derrière ce site. Le site se connecte au Cato Cloud et étend l'architecture ZTNA aux applications au sein de cet environnement. Le PoP reste le médiateur de sécurité ZTNA, authentifiant les utilisateurs et appliquant la politique avant de médiatiser l'accès aux applications hébergées derrière le site.
Un Socket ou vSocket sert de dispositif sécurisé pour l'ensemble du site. Les applications privées au sein du site peuvent être publiées et accédées en fonction de la politique ZTNA, sans exposer les ressources internes du réseau.
Le Broker ZTNA de Cato (implémenté dans le cadre du Cato SASE Cloud) agit comme un médiateur entre l'utilisateur et l'application privée, reliant en toute sécurité leurs tunnels sortants selon la politique. Par défaut, tout accès aux applications est bloqué, et seules les politiques ZTNA définies explicitement peuvent accorder l'accès.
Les administrateurs peuvent créer des politiques granulaires spécifiant quels utilisateurs ou groupes peuvent accéder aux applications, en supportant à la fois HTTP/S ainsi que tout protocole et port (y compris TCP/IP et UDP), dans les deux sens. Une fois l'accès accordé, tout le trafic applicatif est soumis à l'inspection par tous les moteurs de sécurité (Prévention des menaces, CASB/DLP) et à l'application de règles.
- L'accès est accordé par application plutôt que par réseau
- L'autorisation est basée sur l'identité et dirigée par la politique
- Les applications restent cachées à moins d'être explicitement autorisées
- Toutes les sessions autorisées sont inspectées par les moteurs de sécurité de Cato
En dissociant l'accès aux applications de l'exposition du réseau, Cato permet aux organisations d'adopter les principes de Zero Trust à travers les centres de données, les succursales et les environnements cloud sans réaménager leur infrastructure.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.