Cato非公開アクセスとは?

注意

注: この機能の有効化とご利用方法についてさらに詳しくは、feature-releases@catonetworks.com にお問い合わせください。

概要

Cato非公開アクセスにより、ユーザーにネットワークを拡張せずに非公開アプリケーションへの安全でアイデンティティベースのアクセスを提供できます。 従来のVPNのように直接ネットワークレベルの接続を許可するのではなく、ユーザーのアイデンティティとコンテキストに基づいて、最小権限でアプリケーション固有のアクセスを強制します。

アプリケーションは明示的に承認されない限り隠されて到達不能のままです。 ユーザーはCato Cloudに接続し、承認されたセッションはアウトバウンド専用のアプリケーションコネクタを通じてアプリケーションに安全にブロークされます。 このアーキテクチャは攻撃対象を削減し、横方向の動きを制限し、インバウンドファイアウォールルール、ルート広告、またはネットワーク再設計の必要性を排除します。

非公開アクセスは迅速な導入と増分採用を目的として設計されています。 WANのトポロジーやIPアドレス指定を変更せずにアプリケーションをオンボードできます。

非公開アクセスアーキテクチャのスコープ

Cato非公開アクセスはブロークされたアーキテクチャを通じてユーザーからアプリケーションへのアクセスを提供します。 ユーザーはアプリケーションをホストするネットワークに直接接続しません。 代わりに、アプリケーションコネクタを介して明示的に定義され公開されているアプリケーションへのアクセスが確立されます。

非公開アクセスはユーザーが開始したアクセスのみをサポートします。 アプリケーションはユーザーに接続を開始せず、サーバー開始または双方向の通信パターンはサポートされていません。 この設計はユーザーとアプリケーション環境間の厳密な隔離を強制し、内部ネットワークを公開したりルートを広告したりする必要性を排除します。

サーバー開始または双方向通信を必要とするシナリオは、非公開アクセスのスコープ外であり、IPsecとSocketサイトのCatoネットワークアーキテクチャによりサポートされています。

詳細情報については、Cato SASE Cloudによる非公開アプリケーションへのゼロトラストアクセスをご参照ください。

非公開アクセスのライセンス

非公開アクセスサービスは地域グループごとにユーザーによってライセンスされています。 詳しくは、Catoの代表者または公式リセラーにお問い合わせください。

Cato非公開アクセスの動作方法

  1. ユーザーはCatoクライアントまたはクライアントレスアクセスを使用してCato Cloudに接続します。

  2. PoPがユーザーを認証し、非公開アクセスポリシーを評価します。

  3. ユーザーが承認されると、セッションはアウトバウンドDTLSトンネルを通じてアプリケーションコネクタにブロークされます。

  4. アプリケーションコネクタはアプリケーションにローカルトラフィックを転送します。

アプリケーションはインバウンド接続を受け入れることなく、ユーザーネットワークに公開されません。 アクセスは常にユーザーが開始し、ポリシーに基づいています。

コアコンポーネント

非公開アプリケーション

private_apps.png

非公開アプリケーションは、Catoを通じて公開する内部アプリケーションを表します。

各アプリケーションに対して、ユーザーがアプリケーションにアクセスする方法と承認された接続性を提供するコネクタグループを定義することにより、内部リソースを安全に公開します。 アプリケーションは内部IPアドレス指定から抽象化され、ユーザーは内部ネットワークではなく公開ドメインにアクセスします。

アプリケーションコネクタ

App_Connectors.png

アプリケーションコネクタは、保護されたアプリケーション(データセンター、クラウドVPC、またはLAN)と同じ環境に展開され、Cato Cloudにその環境を安全に接続します。 各コネクタはアウトバウンド専用のDTLSトンネルを確立し、ポリシーで明示的に承認されたセッションのみを転送します。 コネクタはインバウンド接続を受け入れず、ルーティングの変更を必要としないため、アプリケーションネットワークを再設計せずに非公開アクセスを導入できます。 複数のコネクタを展開してレジリエンスとスケールを向上させることができます。

アプリケーションコネクタグループ

app_connector_groups.png

アプリケーションコネクタグループは、論理的にコネクタをグループ化して、高可用性、負荷分散、および運用分離を提供します。 非公開アプリケーションは特定のコネクタではなくコネクタグループに接続されます。 つまり、特定のコネクタに問題が発生した場合、アプリケーションは自動的にグループ内の別の利用可能なコネクタを使用できます。

非公開アクセスポリシー

private_access_policy.png

非公開アクセスポリシーを使用して、誰がどの非公開アプリケーションにアクセスできるのか、どの条件でアクセスできるのかを制御します。 ポリシーにより、ユーザーのアイデンティティとコンテキストに基づいて、アプリケーションレベルのアクセスを許可し、デフォルト拒否の姿勢を維持します。 承認は、セッションがアプリケーション環境に確立される前にPoPで評価され、明示的に許可された接続のみがアプリケーションにブロークされることを保証します。

ユースケース

ネットワーク変更なしで非公開アプリケーションに安全にアクセスする

ルーティングを変更せず、サブネットを広告せず、WANアーキテクチャを変更せずに内部アプリケーションを安全に公開します。

非公開アクセスはインバウンドファイアウォールルールを必要とせず、アプリケーション環境からのアウトバウンド専用トンネルを使用し、IPの再アドレス指定を必要とせず、サイトのオンランピングを必要としません。 これにより、既存のネットワーク設計を維持しながら非公開アプリケーションを迅速にオンボードするのに理想的です。

重複するIP環境を持つ合併と買収

M&Aのシナリオでは、重複するIP範囲が統合を遅らせることがよくあります。

非公開アクセスはIPの再アドレス指定を必要とせず、CGNATおよびDNSマッピングを使用して内部アドレス指定を抽象化し、ユーザーアクセスをルーティングドメイン統合なしで許可します。 これにより、取得した環境の迅速かつ非破壊的なオンボードがサポートされます。

双方向またはサーバー開始の接続が後で必要な場合は、環境を完全なCatoサイトとしてオンボードできます。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント