Примечание
Примечание: Пожалуйста, свяжитесь с feature-releases@catonetworks.com для получения дополнительной информации о включении и использовании этой функции.
Приватный доступ Cato позволяет предоставить безопасный, основанный на идентификации доступ к приватным приложениям без расширения вашей сети для пользователей. Вместо предоставления прямого соединения на уровне сети, как в традиционном VPN, вы обеспечиваете наименьше привилегированный, специфический для приложений доступ на основе идентификации пользователя и контекста.
Приложения остаются скрытыми и недоступными, если только они явно не авторизованы. Пользователи подключаются к облаку Cato, и авторизованные сеансы безопасно связываются с приложением через исходящие коннекторы приложения. Эта архитектура уменьшает поверхность атаки, ограничивает латеральное перемещение и устраняет необходимость в правилах входящего файервола, рекламных маршрутах или в реконструкции сети.
Приватный доступ предназначен для быстрого внедрения и постепенного принятия. Вы можете включить приложения без изменения топологии WAN или IP-адресации.
Приватный доступ Cato предоставляет доступ пользователей к приложению через брокерскую архитектуру. Пользователи не подключаются напрямую к сети, которая размещает приложение. Вместо этого доступ устанавливается только к приложениям, которые явно определены и экспонируются через коннекторы приложения.
Приватный доступ поддерживает доступ, инициированный пользователем только. Приложения не инициируют подключения к пользователям, а серверное соединение или двусторонние коммуникационные паттерны не поддерживаются. Этот дизайн обеспечивает строгое изолирование между пользователями и средами приложений и устраняет необходимость в открытии внутренних сетей или объявлении маршрутов.
Сценарии, требующие серверного инициирования или двусторонней связи, выходят за пределы области приватного доступа и поддерживаются полной сетевой архитектурой Cato с IPsec и площадками Socket.
Для получения дополнительной информации смотрите Доступ без доверия к приватным приложениям с использованием Cato SASE Cloud.
-
Пользователь подключается к облаку Cato, используя клиент Cato или доступ без клиента.
-
PoP аутентифицирует пользователя и оценивает политику приватного доступа.
-
Если пользователь авторизован, сессия осуществляется через исходящий DTLS-туннель к коннектору приложения.
-
Коннектор приложения проводит трафик локально к приложению.
Приложения никогда не принимают входящие подключения и не выставляются на пользовательские сети. Доступ всегда инициируется пользователем и определяется политикой.
Приватные приложения представляют внутренние приложения, которые вы публикуете через Cato.
Для каждого приложения вы публикуете внутренние ресурсы безопасно, определяя, как пользователи получают доступ к приложению и какая группа коннекторов обеспечивает авторизованное соединение. Приложения абстрагированы от внутренней IP-адресации, и пользователи получают доступ к опубликованному домену, а не внутренней сети.
Вы внедряете коннекторы приложений в той же среде, что и защищенное приложение (центр данных, облачный VPC или LAN), чтобы безопасно соединить эту среду с облаком Cato. Каждый коннектор устанавливает исключительно исходящий DTLS-туннель и передает только те сессии, которые были явно авторизованы политикой. Поскольку коннекторы не принимают входящие подключения и не требуют изменений маршрутизации, вы можете ввести приватный доступ без переработки сетевого приложения. Вы можете внедрить несколько коннекторов для увеличения устойчивости и масштаба.
Группы коннекторов приложений логически группируют коннекторы для обеспечения высокой доступности, распределения нагрузки и операционной раздробленности. Приватные приложения прикрепляются к группе коннекторов, а не к конкретному коннектору. Это означает, что если конкретный коннектор испытывает проблему, приложение может автоматически использовать другой доступный коннектор в группе.
Вы используете политику приватного доступа, чтобы контролировать, кто может получить доступ к каким приватным приложениям и на каких условиях. Политика позволяет вам предоставить доступ на уровне приложений на основе идентификации пользователя и контекста, поддерживая позицию по умолчанию - отказ. Авторизация оценивается на PoP до того, как любая сессия будет установлена в среде приложения, гарантируя, что только явно разрешенные подключения передаются к приложению.
Безопасно экспонируйте внутренние приложения без изменения маршрутизации, рекламирования подсетей или изменения архитектуры WAN.
Приватный доступ не требует правил входящего файервола, использует только исходящие туннели из среды приложения, не требует IP переадресации и не требует включения площадок. Это делает его идеальным для быстрого включения приватных приложений при сохранении существующего сетевого дизайна.
В сценариях M&A пересекающиеся диапазоны IP часто задерживают интеграцию.
Приватный доступ публикует приложения без необходимости переадресации IP, абстрагирует внутреннюю адресацию с помощью CGNAT и DNS-маппинга, и позволяет доступ пользователям без интеграции маршрутизационного домена. Это поддерживает быстрое, не нарушающее включение приобретенных сред.
Если двусторонняя или серверная инициированная соединяемость потребуется позже, вы можете включить среду как полноценную площадку Cato.
0 комментариев
Войдите в службу, чтобы оставить комментарий.