À medida que as organizações modernizam sua infraestrutura de TI, garantir o acesso seguro a aplicações privadas se torna crítico. As abordagens tradicionais baseadas em rede expõem o acesso direto às redes internas e ativam modo de depuração desnecessário para usuários e dispositivos. Em ambientes distribuídos onde usuários, cargas de trabalho e aplicações abrangem filiais, centros de dados e plataformas em nuvem, a segurança deve ser reforçada no nível da aplicação.
A Cato SASE Cloud entrega Permissão de Acesso à Rede Zero Trust (ZTNA) para aplicações privadas garantindo que apenas usuários autenticados e autorizados possam acessar as aplicações publicadas. As aplicações nunca são expostas aos usuários não autorizados e só são alcançáveis por meio de acesso controlado por políticas na Cato Cloud.
Este artigo fornece uma visão geral arquitetônica de alto nível de como o Cato Cloud funciona como um corretor de segurança ZTNA e descreve dois modelos de implantação para permitir acesso seguro a aplicações privadas via sites Cato ou Conectores de Aplicativo.
O diagrama acima mostra um exemplo de usuários conectando-se a aplicações privadas em diferentes ambientes via um Cato Socket físico ou Conectores de Aplicativo. Neste diagrama, existem:
- Domínios de roteamento independentes para cada rede privada
- Nenhum requisito para espaços de IP exclusivos
- Os Cato PoPs atuam como o corretor ZTNA para acesso às aplicações
No núcleo da arquitetura da Cato está a rede global de Pontos de Presença (PoPs) que formam a Nuvem SASE da Cato. Cada PoP funciona como um intermediário de segurança ZTNA entre usuários e aplicações privadas.
Cato oferece vários métodos para usuários acessarem aplicações privadas. Embora este artigo se concentre no acesso remoto usando dispositivos gerenciados ou não gerenciados, os mesmos princípios se aplicam à abordagem Universal ZTNA (UZTNA) da Cato para usuários conectando-se de trás de um site.
Usuários acessam aplicações privadas conectando-se primeiro ao Cato Cloud usando o Cliente Cato ou acesso via navegador seguro. Isso estabelece uma sessão segura para o PoP mais próximo.
Independentemente do método, os princípios fundamentais de Zero Trust, motores de Segurança e aplicação de política permanecem consistentes em todos os cenários de acesso.
- Usuários iniciam uma conexão segura com o Cato ZTNA Broker e passam por autenticação usando métodos como SSO ou autenticação multifator (MFA) via IdP.
- Por padrão, nenhuma aplicação está visível ou acessível. Uma vez autenticado, o usuário e o dispositivo são avaliados em relação à política de Acesso Privado, função, postura do dispositivo, localização, comportamento e nível de risco.
- Em cada solicitação de sessão, todos os critérios de política (postura do dispositivo do usuário, comportamento, risco e mais) são continuamente avaliados.
O PoP aplica controle de acesso orientado por identidade e negocia de forma segura conexões entre usuários e aplicações.
Uma vez que a autenticação e autorização são concluídas, o PoP coordena a conexão para a aplicação permitida através do modelo de acesso apropriado (Conector de Aplicativo ou Socket).
As aplicações nunca são expostas diretamente aos usuários. Por padrão, todo o Acesso à Nuvem de aplicação é negado até que seja explicitamente permitido pelo corretor de ZTNA da Cato e a Regras de Acesso Privado.
Uma vez que o acesso é concedido, todo o tráfego está sujeito à pilha completa de segurança da Cato, incluindo Prevenção de Ameaças e inspeção CASB/DLP.
Esse modelo mediado garante controle de acesso a nível de aplicação, autorização baseada em identidade, avaliação contínua de postura e risco, e aplicação de política centralizada.
Neste modelo, aplicações privadas são publicadas através de Conectores de Aplicativo implantados dentro do ambiente de aplicação.
Um Conector de Aplicativo é implantado no mesmo ambiente de rede que a aplicação protegida, seja em um centro de dados físico ou uma nuvem pública VPC. Isso representa um modelo de acesso neutro em relação à rede, onde o acesso à aplicação é aplicado no Cato Cloud em vez de depender da topologia de rede subjacente. O conector estabelece uma conexão segura com o Cato Cloud e publica as aplicações através de um Grupo de Conectores de Aplicativo.
Quando um usuário é autorizado a acessar uma aplicação privada, o PoP negocia a sessão com o melhor Conector de Aplicativo disponível associado a essa aplicação. O conector encaminha apenas sessões autorizadas para a aplicação.
Vários conectores podem ser agrupados em um Grupo de Conectores de Aplicativo. Isso habilita resiliência e distribuição de carga. Se um conector específico se tornar indisponível, a aplicação pode automaticamente usar outro conector disponível dentro do mesmo grupo. Para mais informações, consulte O que é Acesso Privado Cato?
Neste modelo, o tipo de local (Socket, vSocket ou IPsec) fornece acesso seguro a aplicações privadas localizadas atrás daquele local. O local conecta-se ao Cato Cloud e estende a arquitetura ZTNA para aplicações dentro desse ambiente. O PoP permanece como o mediador de segurança ZTNA, autenticando usuários e aplicando políticas antes de coordenar o acesso às aplicações hospedadas atrás do local.
Um Socket ou vSocket serve como o dispositivo de borda seguro para o local inteiro. Aplicações privadas dentro do local podem ser publicadas e acessadas com base na política ZTNA, sem expor recursos internos de rede.
O Cato ZTNA Broker (implementado como parte do Cato SASE Cloud) atua como intermediário entre o usuário e a aplicação privada, conectando de forma segura seus túneis de saída com base na política. Por padrão, todo acesso à aplicação é bloqueado e apenas políticas ZTNA definidas explicitamente podem conceder acesso.
Os administradores podem criar políticas granulares que especificam quais usuários ou grupos podem acessar quais aplicações, suportando tanto HTTP/S quanto qualquer protocolo e porta (incluindo TCP/IP e UDP), em qualquer direção. Uma vez que o acesso é concedido, todo o tráfego da aplicação está sujeito à inspeção por todos os motores de segurança (Prevenção de Ameaças, CASB/DLP) e aplicação de política.
- O acesso é concedido por aplicação em vez de por rede
- A autorização é baseada em identidade e direcionada por política
- Aplicações permanecem ocultas a menos que explicitamente permitidas
- Todas as sessões permitidas são inspecionadas pelos motores de segurança da Cato
Ao separar o acesso à aplicação da exposição à rede, a Cato permite que as organizações adotem princípios de Zero Trust em centros de dados, filiais e ambientes de nuvem sem redesenhar sua infraestrutura.
0 comentário
Por favor, entre para comentar.