Cato 사설 클라우드 액세스는 무엇입니까?

참고

참고: 이 기능의 활성화 및 사용에 대한 자세한 정보는 feature-releases@catonetworks.com 으로 문의하시기 바랍니다.

개요

Cato 사설 클라우드 액세스를 사용하면 사용자에게 네트워크를 확장하지 않고도 비공개 애플리케이션에 안전하고 신원 기반의 클라우드 액세스를 제공할 수 있습니다. 전통적인 VPN과 달리 직접 네트워크 수준의 연결을 허용하는 대신, 사용자 신원과 컨텍스트에 기반하여 애플리케이션별로 최소 권한의 클라우드 액세스를 시행합니다.

애플리케이션은 명시적으로 승인되지 않는 한 숨겨지고 도달 불가능 상태로 유지됩니다. 사용자는 Cato 클라우드에 연결되면 승인된 세션이 아웃바운드 전용 앱 커넥터를 통해 애플리케이션까지 안전하게 중재됩니다. 이 아키텍처는 공격 표면을 줄이고 내부 이동을 제한하며, 인바운드 방화벽 규칙이나 경로 광고 또는 네트워크 재설계의 필요성을 제거합니다.

클라우드 액세스는 빠른 배포와 점진적 채택을 위해 설계되었습니다. WAN 토폴로지 또는 IP 주소 체계를 수정하지 않고 애플리케이션을 온보드할 수 있습니다.

사설 클라우드 액세스 아키텍처의 범위

Cato 사설 클라우드 액세스는 중재된 아키텍처를 통해 사용자에서 애플리케이션으로 클라우드 액세스를 제공합니다. 사용자는 애플리케이션을 호스팅하는 네트워크에 직접 연결하지 않습니다. 대신, 업로드된 애플리케이션만이 앱 커넥터를 통해 명시적으로 정의되고 노출됩니다.

클라우드 액세스는 사용자 주도로만 지원됩니다. 애플리케이션은 사용자에게 연결을 시작하지 않으며, 서버 주도 또는 양방향 통신 패턴은 지원되지 않습니다. 이 설계는 사용자와 애플리케이션 환경 사이의 엄격한 격리를 시행하고 내부 네트워크를 노출하거나 경로를 광고하는 필요성을 제거합니다.

서버 주도 또는 양방향 통신이 필요한 경우, 전체 Cato 네트워킹 아키텍처의 IPsec과 소켓 사이트로 지원됩니다.

자세한 정보는 Cato SASE 클라우드를 사용한 사설 애플리케이션에 대한 제로 트러스트 액세스를 참조하십시오.

사설 클라우드 액세스 라이센스

비공개 액세스 서비스는 지역 그룹별 사용자 라이센스가 필요합니다. 자세한 정보는 Cato 담당자 또는 공식 리셀러에게 문의하세요.

Cato 사설 클라우드 액세스 작동 방식

  1. 사용자가 Cato 클라이언트 또는 클라이언트리스 액세스를 사용하여 Cato 클라우드에 연결합니다.

  2. PoP은 사용자를 인증하고 사설 클라우드 액세스 정책을 평가합니다.

  3. 사용자가 승인된 경우, 세션은 아웃바운드 DTLS 터널을 통해 앱 커넥터로 중재됩니다.

  4. 앱 커넥터는 트래픽을 로컬로 애플리케이션으로 전달합니다.

애플리케이션은 인바운드 연결을 수락하지 않으며 사용자 네트워크에 노출되지 않습니다. 클라우드 액세스는 항상 사용자 주도와 정책 기반으로 이루어집니다.

코어 컴포넌트

사설 애플리케이션

private_apps.png

사설 애플리케이션은 Cato를 통해 게시할 내부 앱을 나타냅니다.

각 애플리케이션에 대해 사용자가 애플리케이션에 클라우드 액세스하는 방법과 승인된 연결을 제공하는 커넥터 그룹을 정의하여 내부 리소스를 안전하게 게시합니다. 애플리케이션은 내부 IP 주소 체계로부터 추상화되며, 사용자는 내부 네트워크가 아닌 게시된 도메인에 클라우드 액세스합니다.

앱 커넥터

App_Connectors.png

앱 커넥터를 보호된 애플리케이션(데이터 센터, 클라우드 VPC 또는 LAN)과 동일한 환경에 배포하여 해당 환경을 Cato 클라우드와 안전하게 연결합니다. 각 커넥터는 아웃바운드 전용 DTLS 터널을 설정하고 명시적으로 정책에 의해 승인된 세션만 전달합니다. 커넥터는 인바운드 연결을 수락하지 않고 라우팅 변경이 필요하지 않으므로, 애플리케이션 네트워크를 재설계하지 않고 사설 클라우드 액세스를 도입할 수 있습니다. 여러 커넥터를 배포하여 복원력과 확장성을 증가시킬 수 있습니다.

앱 커넥터 그룹

app_connector_groups.png

앱 커넥터 그룹은 높은 가용성, 부하 배분 및 운영 분리를 제공하기 위해 커넥터를 논리적으로 그룹화합니다. 사설 애플리케이션은 특정 커넥터가 아닌 커넥터 그룹에 연결됩니다. 이는 특정 커넥터가 문제가 발생할 경우, 애플리케이션이 그룹 내 다른 사용 가능한 커넥터를 자동으로 사용할 수 있음을 의미합니다.

사설 클라우드 액세스 정책

private_access_policy.png

사설 클라우드 액세스 정책을 사용하여 언제, 어느 조건 하에 사설 애플리케이션에 클라우드 액세스할 수 있는지를 제어합니다. 정책은 사용자 신원과 컨텍스트에 기반하여 애플리케이션 수준의 클라우드 액세스를 허용하면서 기본 거부 자세를 유지합니다. 애플리케이션 환경에 대해 어떤 세션이 설정되기 전에 PoP에서 승인이 평가되며, 명시적으로 허용된 연결만 애플리케이션으로 중재됩니다.

사용 사례

네트워크 변경 없이 사설 애플리케이션에 안전하게 클라우드 액세스

라우팅 수정, 서브넷 광고 또는 WAN 아키텍처 변경 없이 내부 애플리케이션을 안전하게 노출합니다.

사설 클라우드 액세스는 인바운드 방화벽 규칙이 필요 없으며 애플리케이션 환경에서 아웃바운드 전용 터널을 사용하고 IP 재주소를 필요로 하지 않으며 사이트 온램핑이 필요하지 않습니다. 이것은 기존 네트워크 디자인을 보존하면서 사설 애플리케이션의 빠른 온보딩에 이상적입니다.

중복된 IP 환경의 인수합병

M&A 시나리오에서는 중복된 IP 범위가 통합을 종종 지연시킵니다.

사설 클라우드 액세스는 애플리케이션을 게시할 때 IP 재주소 체계가 필요하지 않으며 CGNAT과 DNS 매핑을 사용하여 내부 주소를 추상화하고 라우팅 도메인 통합 없이 사용자 액세스를 허용합니다. 이는 인수된 환경의 빠르고 비파괴적인 온보딩을 지원합니다.

향후 양방향 또는 서버 주도 연결성이 필요하면 환경을 전체 Cato 사이트로 온보딩할 수 있습니다.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개