Cato非公開アクセスの設定

概要

非公開アクセスを利用することで、アプリケーション環境をネットワークにオンランプせずに、ユーザーからアプリケーションへのアクセスを可能にします。アクセスはCato Cloudを介して行われ、認証されたユーザーのアイデンティティとポリシーに基づいてPoPで強制されます。非公開アプリケーションは、明示的に定義され、承認されている場合を除きアクセスできません。

この記事では、Cato非公開アクセスの設定に関する管理者用のエンドツーエンドのワークフローを解説します。アプリケーション環境にApp Connectorをデプロイし、非公開アプリを設定し、アプリケーションへのアクセスを管理するための非公開アクセスポリシーを定義します。

詳細については、Cato非公開アクセスとは何かを参照してください。

前提条件

非公開アクセスを設定する前に、アカウントがユーザー認証のためにアイデンティティプロバイダー（IdP）を使用していることを確認してください。非公開アクセスには認証されたユーザーのアイデンティティが必要であり、未認証のユーザーは非公開アプリケーションにアクセスできません。

詳細情報は、アイデンティティプロバイダーと認証の記事を参照してください。

非公開アクセス設定ワークフロー

Cato非公開アクセスサービスでは、App Connectorがアプリケーション環境への接続性を提供し、非公開アプリが公開される内容を定義し、非公開アクセスポリシーがアクセス権を定義します。

これは、非公開アクセスを設定するための概要ワークフローです：

App Connectorをデプロイして、それをApp Connectorグループに割り当てます。
非公開アプリ用の設定を行います。
非公開アクセスポリシーでアクセスルールを定義します。

App Connectorのデプロイ

App Connectorは、Cato Cloudと非公開アプリケーションをホストする環境との間の安全な接続性を提供します。各App ConnectorはCato CloudへのアウトバウンドのみのDTLSトンネルを確立し、PoPによって承認されたセッションのみを転送します。

非公開アプリはApp Connectorグループに付属しており、PoPはそのグループ内で利用可能な最良のコネクタに承認されたセッションをブローカーします。

ベストプラクティス: アプリケーションを公開する前にApp Connectorをデプロイします。

詳細情報は、App Connectorの使用方法を参照してください。

App Connectorの設定

保護されているアプリケーションと同じネットワーク環境でApp Connectorをデプロイします。アプリケーションがホストされている場所に応じて、コネクタを物理データセンターまたはパブリッククラウド環境にデプロイすることができます。

これらはサポートされているApp Connectorのタイプです：

App Connectorをグループに割り当てる

App Connectorは、Cato Cloudと非公開アプリケーション環境との間の接続性を提供するCatoのコンポーネントです。非公開アプリがグループを接続パスとして利用できるように、コネクタをApp Connectorグループに割り当てます。

この設計は、複数のコネクタが同じグループに存在することで、アプリケーションにアクセスし、弾力性と運用の柔軟性を向上させます。一つのコネクタが利用できない場合、アプリケーションは同じグループ内の他のコネクタを使用することができます。

コネクタのステータスを確認する

アプリケーション環境への接続性を提供するコネクタを含むApp Connectorグループがあることを確認します。 Cato管理アプリケーションのApp Connectorページでは、個々のポートごとの接続状況に加え、全体的なコネクタのステータスを示しています。

非公開アプリケーション

非公開アプリは、内部アプリケーション、公開アプリケーションドメイン、およびアプリケーションに関連するApp Connectorグループを定義するCMAオブジェクトです。

詳細情報は、非公開アプリケーションの設定を参照してください。

非公開アプリの主要コンポーネント

アプリ設定は、内部アプリケーションアドレスとアプリケーションのサービス/ポート項目を定義します。内部アプリケーションアドレスは、非公開環境内のアプリケーションを識別し、サービス/ポート項目はアプリケーションに許可されるプロトコルとポートを定義します。

公開設定は、公開されるアプリケーションドメインとアプリケーションに関連するApp Connectorグループを定義します。公開されたアプリケーションドメインは、ユーザーがアプリケーションにアクセスするために使用するドメインであり、App Connectorグループはアプリケーション環境への接続パスを提供します。

プロービングは、アプリケーションの可用性を監視します。それは、アプリケーションが設定されたパスを通じて到達可能かどうかを確認し、アプリケーションステータスの可視性を提供します。

内部アプリアドレスと公開アプリドメイン

2つの設定がアクセスフローの異なる部分を定義します：

内部アプリアドレス: 非公開環境内のアプリケーションの内部アドレスです。 Catoは、このアドレスを使用してDNS解決を行い、トラフィックをアプリケーションに誘導します。
公開アプリドメイン: ユーザーがアプリケーションにアクセスするために使用するドメイン名です。

非公開アクセスポリシー

非公開アクセスポリシーは、どのユーザーやグループが公開された非公開アプリケーションにアクセスできるかを管理します。セッションがアプリケーション環境にブローカーされる前に、PoPでポリシーが評価されます。それは順序付けされたルールベースであり、最優先の一致するルールのみが適用され、アクセスを許可またはブロックします。

各ルールは関連するユーザーまたはグループ、オプションの基準、および選択された非公開アプリを評価し、アクセスが許可されるかブロックされるかを判断します。

詳細情報は、非公開アクセスポリシーの設定を参照してください。

非公開アクセスポリシーの主要コンポーネント

ユーザー / グループは、アプリケーションへのアクセスを許可されるユーザーとグループを定義します。

基準設定はユーザーがアプリケーションにアクセスするためのオプションの条件を定義します。これにより、管理者は、例えば有効なアンチウイルスソリューションを持つデバイスのみが接続できるようにするコンテキストベースの制御を追加できます。

非公開アプリ 設定は、ユーザーに利用可能な非公開アプリケーションの範囲を定義します。

非公開アクセスポリシーのベストプラクティス

必要なアイデンティティにスコープを絞ってユーザー / ユーザーグループを設定します。
ユーザーがアクセスできる必要な非公開アプリのみを選択します。