Cato 비공개 클라우드 액세스 구성

개요

비공개 클라우드 액세스를 통해 애플리케이션 환경을 네트워크에 연결하지 않고도 사용자-애플리케이션 액세스를 비공개 애플리케이션에 제공합니다. Cato 클라우드를 통해 클라우드 액세스가 중개되며 인증된 사용자 ID와 정책을 기반으로 PoP에서 강제됩니다. 비공개 애플리케이션은 명확하게 정의되고 승인되지 않으면 접근할 수 없습니다.

이 문서는 비공개 클라우드 액세스 구성에 대한 관리자 엔드투엔드 워크플로우를 설명합니다. 애플리케이션 환경에서 앱 커넥터의 배포를 시작한 후 비공개 앱을 구성하고 애플리케이션에 대한 액세스를 관리하기 위해 비공개 접근 정책을 정의합니다.

자세한 정보는 비공개 클라우드 액세스란 무엇인가?를 참조하십시오.

필수 조건

비공개 클라우드 액세스를 구성하기 전에 계정이 사용자 인증을 위해 신원 공급업체(IdP)를 사용하는지 확인하세요. 비공개 클라우드 액세스는 인증된 사용자 신원이 필요하며 인증되지 않은 사용자는 비공개 애플리케이션에 접근할 수 없습니다.

자세한 정보는 신원 공급업체 및 인증의 기사들을 참조하십시오.

비공개 클라우드 액세스 구성 워크플로우

Cato 비공개 클라우드 액세스 서비스에서는 앱 커넥터가 애플리케이션 환경에 연결성을 제공합니다. 비공개 앱은 게시되는 내용을 정의하고 비공개 접근 정책은 누가 접근 가능한지를 정의합니다.

비공개 클라우드 액세스를 구성하는 고수준의 워크플로우입니다:

앱 커넥터를 배포하고 앱 커넥터 그룹에 할당하세요.
비공개 앱의 설정을 구성하세요.
비공개 접근 정책에서 접근 규칙을 정의하세요.

앱 커넥터 배포

앱 커넥터는 Cato 클라우드와 비공개 애플리케이션을 호스팅하는 환경 사이의 안전한 연결성을 제공합니다. 각 앱 커넥터는 Cato 클라우드로의 아웃바운드 전용 DTLS 터널을 설정하고 PoP에 의해 승인된 세션만 전달합니다.

비공개 앱은 앱 커넥터 그룹에 속해 있으며, PoP는 그 그룹에서 가장 적합한 커넥터로 승인된 세션을 중개합니다.

모범 사례: 애플리케이션을 게시하기 전에 앱 커넥터를 배포하세요.

자세한 정보는 앱 커넥터와 함께 작업하기를 참조하십시오.

앱 커넥터 구성

보호된 애플리케이션과 동일한 네트워크 환경에 앱 커넥터를 배포하세요. 애플리케이션이 호스팅되는 위치에 따라 커넥터는 물리적 데이터 센터 또는 공공 클라우드 환경에 배포될 수 있습니다.

지원되는 앱 커넥터 유형은 다음과 같습니다:

앱 커넥터 그룹에 앱 커넥터를 할당

앱 커넥터는 Cato 구성 요소로, Cato 클라우드와 비공개 애플리케이션 환경 사이의 연결성을 제공합니다. 앱 커넥터를 앱 커넥터 그룹에 할당하여 비공개 앱이 단일 커넥터에 의존하는 대신 그룹을 연결 경로로 사용할 수 있도록 합니다.

이 디자인은 동일한 그룹의 여러 커넥터가 애플리케이션에 접근할 수 있기 때문에 복원력과 운영 유연성을 개선합니다. 하나의 커넥터가 사용할 수 없게 되면 애플리케이션은 동일한 그룹에서 다른 사용 가능한 커넥터를 사용할 수 있습니다.

커넥터 상태 확인

앱 커넥터 그룹이 애플리케이션 환경에 연결성을 제공하는 커넥터를 포함하는지 확인하세요. Cato 관리 애플리케이션의 앱 커넥터 페이지는 전반적인 커넥터 상태와 개별 포트의 연결 상태를 보여줍니다.

비공개 애플리케이션

비공개 앱은 내부 애플리케이션, 게시된 애플리케이션 도메인, 그리고 애플리케이션과 관련된 앱 커넥터 그룹을 정의하는 CMA 객체입니다.

자세한 정보는 비공개 애플리케이션 구성을 참조하십시오.

비공개 앱의 주요 구성 요소

앱 설정은 내부 애플리케이션 주소와 서비스/포트 항목을 정의합니다. 내부 애플리케이션 주소는 비공개 환경에서 애플리케이션을 식별하며, 서비스/포트 항목은 애플리케이션에 허용되는 프로토콜과 포트를 정의합니다.

게시 설정은 게시된 애플리케이션 도메인과 애플리케이션과 관련된 앱 커넥터 그룹을 정의합니다. 게시된 애플리케이션 도메인은 사용자가 애플리케이션에 접근하기 위해 사용하는 도메인이며, 앱 커넥터 그룹은 애플리케이션 환경에 연결 경로를 제공합니다.

프로빙은 애플리케이션 가용성을 모니터합니다. 구성된 경로를 통해 애플리케이션에 접근 가능한지를 식별하는 데 도움을 제공하며, 애플리케이션 상태에 대한 가시성을 제공합니다.

내부 앱 주소와 게시된 앱 도메인

두 설정이 접근 흐름의 다른 부분을 정의합니다:

내부 앱 주소: 비공개 환경에서의 애플리케이션 내부 주소입니다. Cato는 DNS 해석과 애플리케이션으로 트래픽을 돌리는 데 이 주소를 사용합니다.
게시된 앱 도메인: 사용자가 애플리케이션에 접근하기 위해 사용하는 도메인 이름입니다.

비공개 접근 정책

비공개 접근 정책은 사용자가 게시된 비공개 애플리케이션에 접근할 수 있는지, 어떤 그룹의 사용자가 접근할 수 있는지를 제어합니다. 세션이 애플리케이션 환경으로 중개되기 전에 PoP에서 정책이 평가됩니다. 규칙베이스는 순서가 정해져 있으며, 액세스를 허용하거나 차단할 때에는 가장 높은 우선순위 매칭 규칙만 적용됩니다.

각 규칙은 사용자나 그룹, 선택 기준, 그리고 선택된 비공개 앱을 평가하여 접근이 허용되거나 차단되는지를 결정합니다.

자세한 정보는 비공개 접근 정책 구성을 참조하십시오.

비공개 접근 정책의 주요 구성 요소

사용자 / 그룹은 애플리케이션에 접근할 수 있는 사용자와 그룹을 정의합니다

기준 설정은 애플리케이션에 대한 사용자 접근 조건을 정의합니다. 이를 통해 관리자는 유효한 안티바이러스 솔루션이 있는 장치만 연결 가능하다는 등 컨텍스트 기반의 제어 설정을 추가할 수 있습니다.

비공개 앱 설정은 사용자에게 사용 가능한 비공개 애플리케이션의 범위를 정의합니다.

비공개 접근 정책 모범 사례

필요한 신원에 사용자 / 사용자 그룹 범위를 지정하세요.
사용자가 접근하도록 하는데 필요한 비공개 앱만 선택하세요.