注意
注意: 请联系 feature-releases@catonetworks.com ,了解有关启用和使用此功能的更多信息。
Cato私人访问使您可以在不将网络扩展到用户的情况下为私有应用程序提供基于身份的安全访问。 而不是像传统VPN那样授予直接网络级连接,您根据用户身份和上下文实施最小特权、应用程序特定的访问。
应用程序保持隐藏且不可达,除非明确授权。 用户连接到Cato Cloud,并通过出站应用连接器将授权会话安全地代理到应用程序。 这种架构减少攻击面,限制横向移动,并消除了入站防火墙规则、路由公告或网络重新设计的需求。
私人访问设计用于快速部署和增量采纳。 您可以在不修改WAN拓扑或IP地址的情况下上线应用程序。
Cato私人访问通过代理架构为用户提供到应用程序的访问。 用户不会直接连接到宿主应用程序的网络。 相反,访问仅对明确定义并通过应用连接器暴露的应用程序建立。
私人访问仅支持用户发起的访问。 应用程序不会对用户发起连接,且不支持服务器发起或双向通信模式。 这种设计在用户和应用环境之间执行严格隔离,并消除暴露内部网络或宣传路由的需求。
需要服务器发起或双向通信的场景超出了私人访问的范围,由Cato的IPsec和Socket站点完整网络架构支持。
如需更多信息,请参见 使用 Cato SASE Cloud 的私有应用程序零信任访问。
-
用户使用Cato客户端或无客户端访问连接到Cato Cloud。
-
PoP认证用户并评估私人访问策略。
-
如果用户授权,会话通过出站DTLS隧道代理到应用连接器。
-
应用连接器将流量本地转发到应用程序。
应用程序从不接受入站连接,也不暴露给用户网络。 访问始终由用户发起并由策略驱动。
私人应用程序代表您通过Cato发布的内部应用。
对于每个应用程序,您通过定义用户如何访问应用程序以及哪个连接器组提供授权连接,安全地发布内部资源。 应用程序从内部IP地址抽象,用户访问发布的域名而不是内部网络。
您在受保护应用程序的环境中(数据中心、云VPC或LAN)部署应用连接器,以便将该环境安全连接到Cato Cloud。 每个连接器建立一个仅出站的DTLS隧道,并仅转发策略明确授权的会话。 因为连接器不接受入站连接也不需要路由更改,您可以在不重新设计应用程序网络的情况下引入私人访问。 您可以部署多个连接器以提高弹性和扩展性。
应用连接器组逻辑上分组连接器以提供高可用性、负载分配和操作分离。 私人应用程序链接到连接器组而不是特定连接器。 这意味着如果某个连接器遇到问题,应用程序可以自动使用组中另一个可用连接器。
0 条评论
请登录写评论。