कैटो SASE क्लाउड के साथ निजी अनुप्रयोगों के लिए जीरो ट्रस्ट एक्सेस

अवलोकन

जैसे-जैसे संगठन अपनी आईटी अवसंरचना को आधुनिक बनाते हैं, निजी अनुप्रयोगों तक सुरक्षित पहुंच महत्वपूर्ण बन जाती है। पारंपरिक नेटवर्क-आधारित दृष्टिकोण आंतरिक नेटवर्क तक सीधी पहुँच दर्शाते हैं और उपयोगकर्ता और उपकरणों को अनावश्यक विश्वास बढ़ाते हैं। वितरित वातावरण में जहां उपयोगकर्ता, वर्कलोड्स और एप्लिकेशन शाखाओं, डेटा केंद्रों और क्लाउड प्लेटफार्म में फैले होते हैं, सुरक्षा को अनुप्रयोग स्तर पर लागू किया जाना चाहिए।

Cato SASE क्लाउड प्रकाशित अनुप्रयोगों तक केवल प्रमाणीकृत और अधिकृत उपयोगकर्ता ही पहुँच सकते हैं यह सुनिश्चित करके निजी अनुप्रयोगों को शून्य ट्रस्ट नेटवर्क पहुँच (ZTNA) प्रदान करता है। अनुप्रयोग कभी भी अनधिकृत उपयोगकर्ता के लिए उजागर नहीं होते हैं और केवल नीति-चालित पहुँच के द्वारा Cato Cloud में नियंत्रित पहुँच के माध्यम से उपलब्ध होते हैं।

यह लेख बताता है कि Cato Cloud कैसे ZTNA सुरक्षा ब्रोकर के रूप में कार्य करता है और दो परिनियोजन मॉडलों का विवरण जो निजी एप्लिकेशनों के सुरक्षित उपयोग को Cato साइट्स या ऐप कनेक्टर के माध्यम से सक्षम करते हैं।

app_connector_topology.png

ऊपर का चित्र दिखाता है कि उपयोगकर्ता अलग-अलग पर्यावरण में एक भौतिक Cato सॉकेट या ऐप कनेक्टर के माध्यम से निजी एप्लिकेशनों से कैसे जुड़ते हैं। इस चित्र में हैं:

  • प्रत्येक निजी नेटवर्क के लिए स्वतंत्र रूटिंग डोमेन्स
  • अद्वितीय आईपी स्पेस के लिए कोई आवश्यकता नहीं
  • Cato PoPs अनुप्रयोगों तक पहुँच के लिए ZTNA दलाल के रूप में कार्य करते हैं

Cato शून्य ट्रस्ट मॉडल

Cato की वास्तुकला के केंद्र में वैश्विक पॉइंट्स ऑफ़ प्रेजेंस (PoPs) का नेटवर्क है जो Cato SASE क्लाउड को बनाते हैं। प्रत्येक PoP उपयोगकर्ताओं और निजी एप्लिकेशनों के बीच एक ZTNA सुरक्षा दलाल के रूप में कार्य करता है।

app_zero_trust.png

उपयोगकर्ता को दलाल

Cato उपयोगकर्ताओं के लिए निजी एप्लिकेशन तक पहुँच के लिए कई विधियाँ प्रदान करता है। जबकि यह लेख प्रबंधित या अप्रबंधित उपकरणों का उपयोग करके दूरस्थ पहुँच पर केंद्रित है, वही सिद्धांत साइट के पीछे से जुड़ने वाले उपयोगकर्ताओं के लिए Cato के यूनिवर्सल ZTNA (UZTNA) दृष्टिकोण पर भी लागू होते हैं।

उपयोगकर्ता निजी एप्लिकेशन को पहुँच प्राप्त करने के लिए पहले Cato क्लाउड से Cato क्लाइंट या सुरक्षितब्राउज़र आधारित पहुँच का उपयोग कर कनेक्ट होते हैं। यह निकटतम PoP के लिए एक सुरक्षित सत्र स्थापित करता है।

विधि की परवाह किए बिना, कोर ज़ीरो ट्रस्ट सिद्धांत, सुरक्षा इंजन और नीति प्रवर्तन सभी पहुँच परिदृश्यों में सुसंगत रहते हैं। 

प्रमाणीकरण और प्राधिकरण

  1. उपयोगकर्ता Cato ZTNA ब्रोकर के लिए एक सुरक्षित कनेक्शन शुरू करते हैं और प्रमाणीकरण विधियों जैसे SSO या मल्टी-फैक्टर प्रमाणीकरण (MFA) के माध्यम से IdP द्वारा प्रमाणीकरण करते हैं।
  2. डिफ़ॉल्ट रूप से, कोई एप्लिकेशन दृश्यमान या सुलभ नहीं है। प्रमाणीकरण के बाद, उपयोगकर्ता और उपकरण को निजी पहुँच नीति, भूमिका, उपकरण की स्थिति, स्थान, व्यवहार और जोखिम स्तर के खिलाफ मूल्यांकन किया जाता है।
  3. प्रत्येक सत्र अनुरोध में, सभी नीति मानदंडों (उपयोगकर्ता की उपकरण स्थिति, व्यवहार, जोखिम और अधिक) का सतत रूप से मूल्यांकन किया जाता है। 

ZTNA सुरक्षा ब्रोकर रूप में PoP

PoP पहचान-चालित पहुँच नियंत्रण को लागू करता है और सुरक्षित रूप से उपयोगकर्ताओं और एप्लिकेशन के बीच कनेक्शन की मध्यस्थता करता है।

एक बार प्रमाणीकरण और प्राधिकरण पूरा हो जाने पर, PoP अनुमत एप्लिकेशन के लिए उपयुक्त पहुँच मॉडल (ऐप कनेक्टर या सॉकेट) के माध्यम से कनेक्शन की व्यवस्था करता है।

एप्लिकेशन कभी भी सीधे उपयोगकर्ताओं के लिए उजागर नहीं होते हैं। डिफ़ॉल्ट रूप से, सभी अनुप्रयोग पहुँचना मना है जब तक कि स्पष्ट रूप से Cato के ZTNA दलाल और निजी पहुँच नीति के द्वारा अनुमति नहीं दी जाती है।

एक बार पहुँच प्रदान की गई, सभी ट्रैफ़िक Cato की पूरी सुरक्षा स्टैक के अधीन होता है, जिसमें खतरा रोकथाम और CASB/DLP निरीक्षण शामिल हैं।

यह मध्यस्थ मॉडल आवेदन स्तर की पहुँच नियंत्रण, पहचान-आधारित प्राधिकरण, सतत स्थिति और जोखिम मूल्यांकन, और केंद्रीकृत नीति प्रवर्तन सुनिश्चित करता है।

ऐप कनेक्टर्स के माध्यम से निजी पहुँच

इस मॉडल में, निजी एप्लिकेशन एप्लिकेशन वातावरण के भीतर तैनात ऐप कनेक्टर्स के माध्यम से प्रकाशित होते हैं।

app_connector_Architecture.png

एक ऐप कनेक्टर उसी नेटवर्क वातावरण में तैनात किया जाता है जहाँ सुरक्षित अनुप्रयोग होता है, चाहे वह भौतिक डेटा केंद्र में हो या सार्वजनिक क्लाउड VPC में। यह एक नेटवर्क-तटस्थ पहुँच मॉडल का प्रतिनिधित्व करता है, जहाँ एप्लिकेशन पहुँच Cato क्लाउड में लागू होती है बजाय कि आधारभूत नेटवर्क टोपोलॉजी पर निर्भर। कनेक्टर Cato क्लाउड के साथ एक सुरक्षित कनेक्शन स्थापित करता है और एप्लिकेशन को ऐप कनेक्टर समूह के माध्यम से प्रकाशित करता है।

जब किसी उपयोगकर्ता को किसी निजी एप्लिकेशन पर पहुँच की अनुमति मिलती है, तो PoP उस एप्लिकेशन से संबद्ध सर्वोत्तम उपलब्ध ऐप कनेक्टर के लिए सत्र की मध्यस्थता करता है। कनेक्टर केवल अनुमोदित सत्रों को एप्लिकेशन तक अग्रेषित करता है।

एकाधिक कनेक्टरों को ऐप कनेक्टर समूह में एक साथ समूहीकृत किया जा सकता है। यह लचीलापन और लोड वितरण सक्षम करता है। यदि कोई विशिष्ट कनेक्टर अनुपलब्ध हो जाता है, तो एप्लिकेशन स्वचालित रूप से उसी समूह के भीतर उपलब्ध किसी अन्य कनेक्टर का उपयोग कर सकता है। अधिक जानकारी के लिए, देखें Cato Private Access क्या है?

साइट्स के माध्यम से निजी पहुँच

इस मॉडल में, साइट प्रकार (सॉकेट, vSocket, या IPsec) उस साइट के पीछे स्थित निजी एप्लिकेशन के लिए सुरक्षित पहुँच प्रदान करता है। साइट Cato क्लाउड से जुड़ता है और उस वातावरण के भीतर एप्लिकेशन तक ZTNA आर्किटेक्चर का विस्तार करता है। PoP ZTNA सुरक्षा ब्रोकर के रूप में कार्य करता है, उपयोगकर्ताओं का प्रमाणीकरण करता है और साइट के पीछे होस्ट किए गए एप्लिकेशन तक पहुँच की मध्यस्थता से पहले नीति लागू करता है।

एक सॉकेट या vSocket पूरे साइट के लिए सुरक्षित किनारा उपकरण के रूप में कार्य करता है। साइट के भीतर निजी एप्लिकेशन ZTNA नीति के आधार पर प्रकाशित किए जा सकते हैं और उन तक पहुँच प्राप्त की जा सकती है, बिना आंतरिक नेटवर्क संसाधनों को उजागर किए।

निजी एप्लिकेशन और Cato ZTNA ब्रोकर

Cato ZTNA ब्रोकर (Cato SASE क्लाउड के हिस्से के रूप में कार्यान्वित) उपयोगकर्ता और निजी एप्लिकेशन के बीच ब्रोकर के रूप में कार्य करता है, नीति के आधार पर उनके आउटबाउंड टनल को सुरक्षित रूप से सिलाई करता है। डिफ़ॉल्ट रूप से, सभी एप्लिकेशन पहुँच अवरुद्ध होती है, और केवल स्पष्ट रूप से परिभाषित ZTNA नीतियाँ ही पहुँच प्रदान कर सकती हैं। 

प्रशासक ग्रैन्युलर नीतियाँ बना सकते हैं जो निर्दिष्ट करती हैं कि कौन से उपयोगकर्ता या समूह कौन से एप्लिकेशन तक पहुँच प्राप्त कर सकते हैं, HTTP/S के साथ-साथ किसी प्रोटोकॉल और पोर्ट (TCP/IP और UDP सहित) का समर्थन करते हैं, किसी भी दिशा में। एक बार पहुँच प्रदान की गई, सभी एप्लिकेशन ट्रैफ़िक सभी सुरक्षा इंजनों (खतरा रोकथाम, CASB/DLP) और नीति प्रवर्तन द्वारा निरीक्षण के अधीन होता है।

  • नेटवर्क की बजाय प्रति एप्लिकेशन पहुँच प्रदान की जाती है
  • प्राधिकरण पहचान-आधारित और नीति-चालित है
  • एप्लिकेशन छिपे रहते हैं जब तक कि स्पष्ट रूप से अनुमति न दी जाए
  • सभी अनुमत सत्रों का Cato के सुरक्षा इंजनों द्वारा निरीक्षण किया जाता है

एप्लिकेशन पहुँच को नेटवर्क एक्सपोज़र से अलग करके, Cato संगठनों को उनके डेटा सेंटरों, शाखाओं और क्लाउड वातावरण में ज़ीरो ट्रस्ट सिद्धांतों को अपनाने में सक्षम बनाता है, बिना उनकी संरचना को पुन: डिज़ाइन किए।

क्या यह लेख उपयोगी था?

3 में से 3 के लिए उपयोगी रहा

0 टिप्पणियां