随着组织现代化其 IT 基础设施,保护对私有应用程序的访问变得至关重要。 传统的基于网络的方法暴露了对内部网络的直接访问,并向用户和设备延长了不必要的信任。 在用户、工作负载和应用程序跨越分支机构、数据中心和云平台的分布环境中,安全性必须在应用程序级别实施。
Cato SASE Cloud通过确保只有经过认证和授权的用户才能访问发布的应用程序,为私有应用程序提供零信任网络访问(ZTNA)。 应用程序永不向未授权的用户暴露,仅通过在Cato Cloud中受策略驱动的访问控制才可访问。
本文提供了Cato云如何作为ZTNA安全代理的高级架构概览,并描述了两种部署模型,以通过Cato站点或应用连接器启用对私有应用程序的安全访问。
上面的图表显示了一个示例,用户通过物理Cato Socket或应用连接器连接到不同环境中的私有应用程序。 在此图表中,有:
- 每个私有网络的独立路由域名
- 不需要唯一的IP空间
- Cato PoPs充当应用程序访问的ZTNA中介
Cato架构的核心是形成Cato SASE云的全球驻点网络(PoPs)。 每个PoP都作为用户和私有应用程序之间的ZTNA安全代理。
Cato提供多种方法供用户访问私有应用程序。 虽然本文重点介绍使用管理或非管理设备进行远程访问,但相同的原则适用于Cato的Universal ZTNA (UZTNA)方法,用于用户从站点后面连接。
用户通过首先使用Cato 客户端或安全基于浏览器的访问连接到 Cato Cloud 来访问私有应用程序。 这将建立一个到最近 PoP 的安全会话。
无论采用何种方法,核心零信任原则、安全引擎和策略执行在所有访问场景中保持一致。
- 用户通过连接到 Cato ZTNA Broker 发起安全连接,并使用如 SSO 或多因素认证 (MFA) 的方法通过 IdP 进行认证。
- 默认情况下,没有应用程序是可见或可访问的。 认证后,用户和设备根据访问权限策略、角色、设备姿态、位置、行为和风险等级进行评估。
- 在每个会话请求中,所有策略标准(用户的设备姿态、行为、风险等)都在不断评估。
在此模型中,私有应用程序通过部署在应用程序环境中的应用连接器发布。
应用连接器与受保护应用程序在同一网络环境中部署,无论是在物理数据中心还是公共云 VPC。 这体现了网络中立的访问模型,其中应用程序访问是在 Cato Cloud 中强制执行,而非依赖于底层网络拓扑。 连接器建立到 Cato Cloud 的安全连接,并通过应用连接器组发布应用程序。
当用户被授权访问私有应用程序时,PoP 将会话代理到与该应用程序相关的最佳可用应用连接器。 连接器仅转发授权会话到应用程序。
多个连接器可以在应用连接器组中聚合。 这启用了弹性和负载分配。 如果一个特定连接器变得不可用,应用程序可以自动使用同一组内的另一个可用连接器。 有关更多信息,请参见什么是 Cato 私有访问?
在此模型中,站点类型(Socket、vSocket 或 IPsec)提供对位于该站点后面的私有应用程序的安全访问。 站点连接到 Cato Cloud 并将 ZTNA 架构扩展到该环境中的应用程序。 PoP 仍然是进行认证用户和执行策略的 ZTNA 安全代理,然后代理访问位于站点后面的应用程序。
Socket 或 vSocket 作为整个站点的安全边缘设备。 站点内的私有应用程序可以根据 ZTNA 策略发布和访问,而不暴露内部网络资源。
Cato ZTNA Broker(作为 Cato SASE Cloud 的一部分实施)充当用户与私有应用程序之间的代理,基于策略安全连接其出站隧道。 默认情况下,所有应用程序访问都被阻止,只有明确定义的 ZTNA 策略可以授予访问权限。
管理员可以创建细化策略,指定哪些用户或组可以访问哪些应用程序,支持 HTTP/S 以及任何协议和端口(包括 TCP/IP 和 UDP),在任意方向。 一旦授予访问权限,所有应用程序流量都要经过所有安全引擎(威胁防护,CASB/DLP)和策略执行的检查。
- 访问是按应用程序而不是按网络授予的
- 授权是基于身份和策略驱动的
- 应用程序保持隐藏,除非明确允许
- 所有允许的会话都由 Cato 的安全引擎检查
通过将应用程序访问与网络曝光分离,Cato 使组织能够在数据中心、分支机构和云环境中采用零信任原则,而无需重新设计其基础设施。
0 条评论
请登录写评论。