組織がITインフラを近代化する中で、プライベートアプリケーションへのアクセスを保護することが重要になります。 従来のネットワークベースのアプローチは、内部ネットワークへの直接アクセスを許可し、ユーザーとデバイスに不要な信頼を拡張します。 ユーザー、ワークロード、アプリケーションが拠点、データセンタ、クラウドプラットフォームにわたって広がる分散環境では、セキュリティはアプリケーションレベルで強制されるべきです。
Cato SASE Cloudは、公開されたアプリケーションへのアクセスが認証済みで承認されたユーザーだけに限定されることにより、非公開アプリケーションにゼロトラストネットワークアクセス(ZTNA)を提供します。 アプリケーションは、承認されていないユーザーに対して公開されることはなく、Cato Cloudで制御されるポリシー駆動のアクセスを通じてのみ到達可能です。
この記事は、Cato CloudがZTNAセキュリティブローカーとして機能する方法の概要を説明し、Catoサイトまたはアプリケーションコネクタを介して非公開アプリケーションに安全にアクセスするための2つの展開モデルを説明します。
上の図は、物理Catoソケットまたはアプリケーションコネクタを介して異なる環境で非公開アプリケーションに接続しているユーザーの例を示しています。 この図には次のものがあります:
- 各非公開ネットワークのための独立したルーティングドメイン
- ユニークなIP空間は不要
- CatoのPoPsはアプリケーションへのアクセスのためのZTNAブローカーとして機能します
Catoのアーキテクチャの中心にあるのは、Cato SASEクラウドを形成するグローバルなポイントオブプレゼンス(PoPs)のネットワークです。 各PoPは、ユーザーと非公開アプリケーションの間のZTNAセキュリティブローカーとして機能します。
Catoはユーザーが非公開アプリケーションにアクセスするための複数のメソッドを提供します。 この記事では、管理されたデバイスまたは未管理のデバイスを使用したリモートアクセスに焦点を当てていますが、同じ原則がユーザーがサイトの後ろから接続する場合のCatoのユニバーサルZTNA(UZTNA)アプローチに適用されます。
ユーザーは、Cato クライアントまたは安全なブラウザーベースのアクセスを使用してCato Cloudに接続することにより、非公開アプリケーションにアクセスします。 これは最も近いPoPへの安全なセッションを確立します。
方法に関係なく、コアのゼロトラストの原則、セキュリティエンジン、およびポリシー施行はすべてのアクセスシナリオで一貫しています。
- ユーザーは安全な接続を開始し、IdPを通じてSSOや2要素認証(MFA)などの方法を使って認証を受けます。
- デフォルトでは、アプリケーションは表示されず、アクセスできません。 認証されると、ユーザーデバイスは非公開アクセスポリシー、ロール、デバイスポスチャ、ロケーション、行動、リスクレベルに対して評価されます。
- 各セッション要求時に、すべてのポリシー基準(ユーザーのデバイスポスチャ、行動、リスクなど)が継続的に評価されます。
PoPは、アイデンティティ駆動のアクセス制御を施行し、ユーザーとアプリケーション間の接続を安全に仲介します。
認証と承認が完了次第、PoPは適切なアクセスモデル(アプリケーションコネクタまたはSocket)を通じて許可されたアプリケーションへの接続を仲介します。
アプリケーションはユーザーに直接公開されることはありません。 デフォルトでは、すべてのアプリケーションアクセスはCatoのZTNAブローカーと非公開アクセスポリシーによって明示的に許可されるまでは拒否されます。
アクセスが許可されると、すべてのトラフィックは脅威防止やCASB/DLP検査を含むCatoの完全なセキュリティスタックの対象になります。
この仲介されたモデルは、アプリケーションレベルのアクセス制御、アイデンティティベースの承認、継続的なポスチャおよびリスク評価、集中型ポリシー施行を保証します。
このモデルでは、非公開アプリケーションはアプリケーション環境内に展開されているアプリケーションコネクタを通じて公開されます。
アプリケーションコネクタは、物理データセンタや公共のクラウドVPC内の保護されたアプリケーションと同じネットワーク環境に展開されます。 これはネットワークニュートラルなアクセスモデルを表し、アプリケーションアクセスはCato Cloudで施行され、基盤となるネットワークトポロジに依存しません。 コネクタはCato Cloudへの安全な接続を確立し、アプリケーションをアプリケーションコネクタグループを通じて公開します。
ユーザーが非公開アプリケーションにアクセスする権限を与えられると、PoPはそのアプリケーションに関連する最適なアプリケーションコネクタにセッションを仲介します。 コネクタは、承認されたセッションのみをアプリケーションに転送します。
複数のコネクタをアプリケーションコネクタグループにまとめることができます。 これは回復力と負荷分散を可能にします。 特定のコネクタが利用不可になると、アプリケーションは同じグループ内で利用可能な他のコネクタを自動的に使用できます。 詳細については、Cato非公開アクセスとは何ですか?を参照してください。
このモデルでは、サイトタイプ(Socket、vSocket、IPsec)が、そのサイトの背後にある非公開アプリケーションへの安全なアクセスを提供します。 サイトはCato Cloudに接続し、その環境内のアプリケーションにZTNAアーキテクチャを拡張します。 PoPは認証後、ポリシーを施行してサイトの背後にホストされているアプリケーションへのアクセスを仲介することで、ZTNAセキュリティブローカーとしての役割を果たします。
SocketまたはvSocketは、サイト全体の安全なエッジデバイスとして機能します。 サイト内の非公開アプリケーションは、内部ネットワークリソースを公開せずに、ZTNAポリシーに基づいて公開およびアクセスすることができます。
Cato ZTNAブローカー(Cato SASE Cloudの一部として実装)は、ポリシーに基づいてユーザーと非公開アプリケーションの間のアウトバウンドトンネルを安全にステッチする仲介役を果たします。 デフォルトではすべてのアプリケーションアクセスがブロックされ、明示的に定義されたZTNAポリシーのみがアクセスを許可できます。
管理者は、どのユーザーまたはグループがどのアプリケーションにアクセスできるかを指定する、HTTP/Sだけでなくすべてのプロトコルとポート(TCP/IPおよびUDPを含む)をサポートする詳細なポリシーを作成できます。 アクセスが許可されると、すべてのアプリケーショントラフィックはすべてのセキュリティエンジン(脅威防止、CASB/DLP)およびポリシー施行によって検査されます。
- ネットワークではなくアプリケーションごとにアクセスが許可されます
- 承認はアイデンティティに基づいており、ポリシーによって駆動されます
- アプリケーションは明示的に許可されない限り非表示のままです
- 許可されたすべてのセッションはCatoのセキュリティエンジンによって検査されます
Catoはアプリケーションアクセスとネットワーク露出を分離することで、データセンター、拠点、およびクラウド環境全体でゼロトラストの原則を維持しながら、インフラストラクチャの設計を変更せずに組織が採用できるようにします。
0件のコメント
サインインしてコメントを残してください。