По мере модернизации ИТ-инфраструктуры организаций обеспечение безопасности доступа к частным приложениям становиться критически важным. Традиционные сетевые подходы допускают прямой доступ к внутренним сетям и продляют режим отладки пользователям и устройствам. В распределённых средах, где пользователи, рабочие нагрузки и приложения охватывают филиалы, дата-центры и облачные платформы, безопасность должна обеспечиваться на уровне приложения.
Cato SASE Cloud предоставляет доступ к сети по принципу нулевого доверия (ZTNA) для приватных приложений, гарантируя, что только аутентифицированные и авторизованные пользователи могут получить доступ к опубликованным приложениям. Приложения никогда не раскрываются пользователям, которые не имеют авторизации, и доступны только через доступ, контролируемый политиками безопасности в облаке Cato.
Эта статья предоставляет архитектурный обзор высокого уровня о том, как Cato Cloud функционирует в качестве брокера безопасности ZTNA, и описывает две модели развертывания для обеспечения безопасного доступа к приватным приложениям через Сайты Cato или Коннекторы приложения.
Диаграмма выше показывает пример подключения пользователей к приватным приложениям в различных средах через физический Cato Socket или Коннекторы приложения. На этой диаграмме показаны:
- Независимые домены маршрутизации для каждой частной сети
- Нет требования для уникальных IP пространств
- Точки присутствия Cato действуют как брокеры ZTNA для доступа к приложениям
В основе архитектуры Cato лежит глобальная сеть точек присутствия (PoP), которые формируют облако Cato SASE. Каждая точка присутствия (PoP) выполняет функции брокера безопасности ZTNA между пользователями и приватными приложениями.
Cato предлагает несколько методов для пользователей для доступа к приватным приложениям. Хотя эта статья сосредоточена на удаленном доступе с использованием управляемых или неуправляемых устройств, те же принципы применяются к универсальному подходу ZTNA Cato для пользователей, подключающихся из-за сайта.
Пользователи получают доступ к приватным приложениям, сначала подключившись к Cato Cloud с помощью Клиент Cato или защищенного доступа через браузер. Это устанавливает защищенный сеанс к ближайшему PoP.
Независимо от метода, основные принципы Zero Trust, движки безопасности и применение политики остаются неизменными во всех сценариях доступа.
- Пользователи инициируют защищенное подключение к Cato ZTNA Broker и проходят аутентификацию с использованием таких методов, как SSO или многофакторная аутентификация (MFA) через IdP.
- По умолчанию ни одно приложение не видно и недоступно. После аутентификации пользователь и устройство оцениваются по Политике Приватного Доступа, роли, состоянию устройства, местоположению, поведению и уровню риска.
- В каждом запросе на сеанс все критерии политики (состояние устройства пользователя, поведение, риск и другое) непрерывно оцениваются.
PoP обеспечивает контроль доступа на основе идентификации и безопасно управляет соединениями между пользователями и приложениями.
Как только аутентификация и авторизация завершены, PoP управляет соединением с разрешенным приложением через соответствующую модель доступа (Коннектор приложения или Socket).
Приложения никогда не подвергаются прямому отображению пользователям. По умолчанию весь доступ к приложениям запрещен до тех пор, пока он явно не разрешен брокером ZTNA от Cato и Политикой приватного доступа.
После предоставления доступа весь трафик проходит через полный стек безопасности Cato, включая предотвращение угроз и инспекцию CASB/DLP.
Эта модель посредничества обеспечивает контроль доступа уровня приложения, авторизацию на основе идентификации, непрерывную оценку состояния и риска, а также централизованное применение политики.
В этой модели приватные приложения публикуются через Коннекторы приложений, развернутые в среде приложений.
Коннектор приложения развертывается в той же сети, что и защищаемое приложение, будь то физический дата-центр или публичное облако VPC. Это представляет собой сетево-нейтральную модель доступа, где доступ к приложениям обеспечивается в Cato Cloud, а не зависит от базовой сетевой топологии. Коннектор создает защищенное соединение с Cato Cloud и публикует приложения через группу Коннекторов приложений.
Когда пользователю разрешен доступ к приватному приложению, PoP управляет сеансом с наилучшим доступным Коннектором приложений, связанным с этим приложением. Коннектор передает только авторизованные сеансы в приложение.
Несколько коннекторов могут быть объединены в группу Коннекторов приложений. Это обеспечивает устойчивость и распределение нагрузки. Если определенный коннектор становится недоступным, приложение может автоматически использовать другой доступный коннектор в той же группе. Для получения дополнительной информации см. Что такое Cato Private Access?
В этой модели тип площадки (Socket, vSocket или IPsec) обеспечивает защищенный доступ к приватным приложениям, расположенным за этой площадкой. Площадка подключается к Cato Cloud и расширяет архитектуру ZTNA на приложения в этой среде. PoP остается безопасным посредником ZTNA, аутентифицирующим пользователей и обеспечивающим выполнение политики перед управлением доступом к приложениям, размещенным за площадкой.
Socket или vSocket служит защищенным периферийным устройством для всей площадки. Приватные приложения в пределах площадки могут быть опубликованы и доступны на основе политики ZTNA, без раскрытия внутренних сетевых ресурсов.
Cato ZTNA Broker (реализованный как часть Cato SASE Cloud) выступает в качестве посредника между пользователем и приватным приложением, безопасно связывая их исходящие туннели на основе политики. По умолчанию доступ ко всем приложениям блокируется, и только явно определенные политики ZTNA могут предоставлять доступ.
Администраторы могут создавать детальные политики, которые определяют, какие пользователи или группы могут получать доступ к каким приложениям, поддерживая как HTTP/S, так и любые протоколы и порты (включая TCP/IP и UDP) в любом направлении. Как только доступ предоставляется, весь трафик приложения подлежит проверке всеми движками безопасности (Предотвращение угроз, CASB/DLP) и применению политики.
- Доступ предоставляется для каждого приложения, а не для каждой сети
- Авторизация выполняется на основе идентификации и управляется политикой
- Приложения остаются скрытыми, если не разрешены явно
- Все разрешенные сеансы проверяются движками безопасности Cato
Разъединяя доступ к приложениям от сетевого воздействия, Cato позволяет организациям применять принципы Zero Trust в дата-центрах, филиалах и облачных средах без переработки их инфраструктуры.
0 комментариев
Войдите в службу, чтобы оставить комментарий.