조직이 IT 인프라를 현대화하면서 사설 애플리케이션에 대한 보안 액세스가 중요해지고 있습니다. 전통적인 네트워크 기반 접근 방식은 내부 네트워크에 대한 직접 접근을 노출하고 사용자와 장치에 불필요한 신뢰를 확장합니다. 사용자, 워크로드, 애플리케이션이 지점, 데이터 센터, 클라우드 플랫폼에 걸쳐 있는 분산 환경에서는 보안을 애플리케이션 수준에서 강제해야 합니다.
Cato SASE 클라우드는 인증되고 승인된 사용자만 게시된 애플리케이션에 접근할 수 있도록 함으로써 비공개 애플리케이션에 대한 제로 트러스트 네트워크 액세스를 제공합니다. 애플리케이션은 승인되지 않은 사용자에게 절대 노출되지 않으며 Cato Cloud에서 정책 기반의 접근 제어를 통해서만 접근할 수 있습니다.
이 글에서는 Cato Cloud가 ZTNA 보안 브로커로 기능하는 아키텍처 개요 고찰을 제공하고, Cato 사이트 또는 앱 커넥터를 통해 비공개 애플리케이션에 안전한 액세스를 활성화하기 위한 두 가지 배포 모델을 설명합니다.
위의 다이어그램은 다양한 환경에서 물리적 Cato 소켓 또는 앱 커넥터를 통해 비공개 애플리케이션에 연결하는 사용자 예시를 보여줍니다. 이 다이어그램에는 다음이 포함됩니다:
- 독립적 라우팅 도메인 각각의 사설 네트워크에 대해
- 유일한 IP 공간 동안 요구사항 없음
- 애플리케이션 클라우드 액세스 동안 Cato PoPs는 ZTNA 브로커 역할을 합니다.
Cato 아키텍처의 핵심은 Cato SASE 클라우드를 형성하는 전 세계의 PoP(포인트 오브 프레즌스) 네트워크입니다. 각 PoP는 사용자와 비공개 애플리케이션 간의 ZTNA 보안 브로커 역할을 합니다.
Cato는 사용자 대상 사설 애플리케이션 클라우드 액세스 동안 여러 방법을 제공합니다. 이 기사 집중하는 동안 원격 클라우드 액세스 장치 사용 중 사용자, 동일한 원칙 적용 대상 사용자 사이트에서 연결된 Cato’s Universal ZTNA (UZTNA) 접근
사용자는 먼저 Cato 클라이언트 또는 안전한 브라우저 기반 액세스를 사용하여 Cato 클라우드에 연결하여 비공개 애플리케이션에 접근합니다. 이는 가장 가까운 PoP에 대한 안전한 세션을 설정합니다.
방법과 관계없이 핵심 Zero Trust 원칙, 보안 엔진, 정책 시행은 모든 접속 시나리오에서 일관성을 유지합니다.
- 사용자가 Cato ZTNA 브로커에 대한 안전한 연결을 시작하고 IdP를 통한 SSO 또는 MFA와 같은 방법을 사용하여 인증을 진행합니다.
- 기본적으로 애플리케이션은 표시되지 않거나 접근할 수 없습니다. 인증이 완료되면 사용자와 장치가 비공개 액세스 정책, 역할, 장치 상태, 위치, 행동, 위험 수준에 대해 평가됩니다.
- 각 세션 요청 시 사용자 장치 상태, 행동, 위험 등 모든 정책 기준이 지속적으로 평가됩니다.
PoP는 신원 기반 액세스 제어를 시행하며 사용자와 애플리케이션 간의 접속을 안전하게 중개합니다.
인증 및 권한 부여가 완료되면 PoP는 적절한 접근 모델(앱 커넥터 또는 소켓)을 통해 허가된 애플리케이션에 대한 연결을 중개합니다.
애플리케이션은 사용자에게 직접 노출되지 않습니다. 기본적으로, Cato의 ZTNA 브로커와 비공개 접근 정책에 의해 명시적으로 허용되지 않는 한 모든 애플리케이션 접근은 차단됩니다.
액세스가 허가되면 모든 트래픽은 위협 방지 및 CASB/DLP 검사 등 Cato의 전체 보안 스택의 대상이 됩니다.
이 중개 모델은 애플리케이션 수준 액세스 제어, 신원 기반 권한 부여, 지속적인 상태 및 위험 평가, 중앙 집중식 정책 집행을 보장합니다.
이 모델에서는 비공개 애플리케이션이 애플리케이션 환경 내에 배포된 앱 커넥터를 통해 공개됩니다.
앱 커넥터는 물리적 데이터 센터나 공용 클라우드 VPC에 있는 애플리케이션과 동일한 네트워크 환경에 배포됩니다. 이는 애플리케이션 액세스를 Cato 클라우드에서 적용하여 기본 네트워크 토폴로지에 의존하지 않는 네트워크 중립 모델을 나타냅니다. 커넥터는 Cato 클라우드와의 안전한 연결을 설정하고 앱 커넥터 그룹을 통해 애플리케이션을 게시합니다.
사용자가 비공개 애플리케이션에 접근할 수 있도록 허가되면 PoP는 해당 애플리케이션과 연결된 최상의 앱 커넥터에 세션을 중개합니다. 커넥터는 승인된 세션만 애플리케이션으로 전달합니다.
여러 커넥터를 앱 커넥터 그룹으로 함께 그룹화할 수 있습니다. 이렇게 하면 복원력과 부하 분산이 가능합니다. 특정 커넥터가 사용 불가능해지면 애플리케이션은 동일한 그룹 내에서 다른 사용 가능한 커넥터를 자동으로 사용할 수 있습니다. 자세한 내용은 Cato 비공개 액세스란 무엇입니까?를 참조하세요.
이 모델에서는 사이트 유형(소켓, vSocket 또는 IPsec)이 해당 사이트 뒤에 위치한 비공개 애플리케이션에 대한 안전한 액세스를 제공합니다. 사이트는 Cato 클라우드에 연결하고 해당 환경 내 애플리케이션에 ZTNA 아키텍처를 확장합니다. PoP는 여전히 ZTNA 보안 중개자로서, 사용자를 인증하고 정책을 시행한 후 사이트 뒤에 호스팅된 애플리케이션에 대한 액세스를 중개합니다.
소켓 또는 vSocket은 전체 사이트의 안전한 에지 장치 역할을 합니다. 사이트 내의 비공개 애플리케이션은 내부 네트워크 리소스를 노출하지 않고 ZTNA 정책에 따라 게시 및 접근할 수 있습니다.
Cato ZTNA 브로커(Cato SASE Cloud의 일부로 구현)는 사용자와 비공개 애플리케이션 간의 중개 역할을 하며 정책에 따라 아웃바운드 터널을 안전하게 연결합니다. 기본적으로 모든 애플리케이션 액세스가 차단되며 명시적으로 정의된 ZTNA 정책만 액세스를 허가할 수 있습니다.
관리자는 사용자가 접근 가능한 애플리케이션을 지정하고 HTTP/S뿐만 아니라 모든 프로토콜과 포트(TCP/IP, UDP 포함) 양방향을 지원하는 세밀한 정책을 생성할 수 있습니다. 액세스가 허가되면 모든 애플리케이션 트래픽은 위협 방지, CASB/DLP 및 정책 시행 등 모든 보안 엔진의 검사를 받습니다.
- 네트워크가 아닌 애플리케이션별로 액세스가 허용됩니다.
- 권한 부여는 신원 기반이며 정책에 의해 결정됩니다.
- 애플리케이션은 명시적으로 허용되지 않은 경우 숨겨진 상태로 유지됩니다.
- 허가된 모든 세션은 Cato의 보안 엔진에 의해 검사됩니다.
애플리케이션 액세스를 네트워크 노출에서 분리하여, Cato는 조직이 데이터 센터, 지점 및 클라우드 환경에서 인프라를 재설계하지 않고 Zero Trust 원칙을 채택할 수 있도록 합니다.
댓글 0개
댓글을 남기려면 로그인하세요.