はじめに
従業員の在宅勤務(リモートワーク)の必要性が高まっています。
特に非常事態下では、安全かつ生産的なテレワークが事業継続計画の重要な柱となります。
これまで一般的に使用されてきたファイアウォールとVPNですが、
どちらもハブ&スポーク型ネットワークや城と堀のセキュリティ モデルを採用しているため、
これらのツールに過度に依存したセキュリティは現代の組織に大きなリスクをもたらします。
Cato Cloudは多要素認証ときめ細かなアプリケーションアクセスポリシーを適用し、オンプレミスとクラウドの承認済みアプリケーションへのアクセスを制御します。
レガシーVPNとCato Cloudの比較
(1) 非常にスケーラブルなアーキテクチャ
レガシーVPNでは、グローバルな労働力をカバーするために、専用のハードウェアアプライアンスと地域コンセントレータが必要です。アーキテクチャはアプライアンススペースであるため、特に在宅勤務ユーザーの緊急な増加に伴い、容量の制約を受けます。
Catoはシームレスに拡張でき、追加のインフラストラクチャを分散して任意の数のユーザーへの最適化された安全なアクセスをサポートします。
(2) 安全なアクセスを認証
レガシーVPNは、ネットワーク全体への安全なアクセスを提供します。
これにより、攻撃対象領域が拡大し、過激なアクセスが可能になり、侵略やデータ侵略のリスクが高まります。
Cato Cloudは、多要素認証ときめ細かなアプリケーションアクセスポリシーを適用し、オンプレミスとクラウドの承認済みアプリケーションへのアクセスを制御します。
ユーザーがネットワーク層に無制限にアクセスできることはありません。
(3) 継続的な脅威の防止
レガシーVPNには、認証後の脅威から保護するための継続的なディープパケットインスペクション(DPI)が含まれることはめったにありません。
これにより、侵害されたエンドポイントから発生する脅威が企業ネットワーク内で伝播する可能性があります。
Catoは、送信元と宛先に関係なく、すべてのトラフィックに脅威防止のためのディープパケットインスペクション(DPI)を適用し、
脅威に対する継続的な保護を提供します。保護は、インターネットアクセスだけでなく、オンプレミスやクラウドのアプリケーションアクセスにもシームレスに拡張されます。
(4) 最適なエンド・ツー・エンド性能
レガシーVPNでは、モバイルユーザーはパブリックインターネット経由でリソースにアクセスする必要があります。
パブリックインターネットルーティングの遅延とパケット損失の増加は、ユーザーエクスペリエンスを損ないます。
Catoを使用すると、リモートユーザーは、一貫性のある最適化されたユーザーエクスペリエンスを提供するCatoのグローバルプライベートバックボーンを介して、オンプレミスとクラウドのリソースにアクセスできます。
(5) 事業継続と在宅勤務
レガシーVPNは、一部のユーザーが短時間でアクセスできるように設計されています。
これは、ビジネス継続性のシナリオで必要とされるすべてのユーザへの24×7アクセス用には設計されていません。
Catoはグローバルに分散したクラウドスケールを提供し、オフィス、外出先、自宅にいすべての従業員への継続的なアクセスを可能にします。
Cato Clientでエンドポイントの保護
(1) エンドポイント用Cato Client
Catoは、Cato Clientを利用して、アクセス制御とエンドポイントの保護、検出、およびユーザーデバイスに対する応答を強化します。Cato Clientは、すべての主要OSで利用でき、ITソフトウェアの配布、またはセルフサービス型のデプロイを通じて提供されます。
Cato Clientは、 エンドポイントトラフィックの詳細な管理機能を提供し、Catoを利用しているWANおよびインターネットのトラフィックを選択的に制御できます。また、always-on(常時オン)モードにも対応し、企業エンドポイントを確実かつ継続的に保護します。
(2) ハイブリッドワークとリモートワーク
Cato ClientのUniversal Zero Trust Network Access(ZTNA)機能により、事業所内、移動中、および自宅において、リスクを基準とした組織のアプリケーションアクセスポリシーを適用できます。CatoのZTNAは、広範なデバイスのポスチャ分析機能やアイデンティティプロバイダーとの連携機能を提供するもので、アプリケーションへのアクセスが許可される前に、そしてセッション全体を通じて、完全な認証と会社ポリシーの遵守を実現します。ユーザーが接続すると、Cato SSE 360がすべてのトラフィックを継続的に検査し、脅威に対する防御とデータの保護を実行します。
(3) エンドポイントの保護、検出、応答
Cato Clientには、エンドポイントの保護、検出、応答(EPP/EDR)機能が含まれています。お客様は、悪質なファイルの検出とデバイス上の疑わしいアクティビティの関連付けを行う次世代アンチマルウェアエンジンを利用して、エンドポイント自体を保護することができます。Cato Clientは、エンドポイントのリスク関連のコンテキストとイベントをクラウドベースのデータレイクに送信します。Cato SSE 360エンジンが提供する詳細なネットワークコンテキストとの関連付けが行われ、Cato XDRがエンドポイントとネットワークドメインの枠を越えて、セキュリティインシデントの正確な状況を可視化します。
Windows、MacOS、Linux、Android、iOSをサポートするこのクライアントは、セキュリティやネットワーク パフォーマンスを犠牲にすることなく、Cato SASE Cloudプラットフォームの全機能をあらゆるユーザー デバイスに提供します。
クライアントのインストールについては、「Catoクライアントのインストール」を参照してください。
デバイスにクライアントをインストールした後、要件に合わせて機能とポリシーを構成できます。
ユーザーは認証され、安全にネットワークに接続できます。
クライアント接続プロセスの詳細については、「Catoクライアント接続フローの理解」を参照してください。
Always-On(常時オン)モードでユーザーを保護
Always-Onポリシーは、ユーザーまたはユーザー グループが Cato Cloud に常時接続するルールを定義することで、インターネットセキュリティを強化します。
これにより、すべてのトラフィックが PoPを通過し、Catoセキュリティエンジンがトラフィックを検査して、セキュリティ ポリシーに準拠していることを確認できます。
ユースケース - 従業員とサードパーティの請負業者の常時接続ポリシーをカスタマイズする
ABC社のネットワークは、社内リソースにアクセスできる自社の従業員と、社内リソースにアクセスできないサードパーティの請負業者によって使用されています。
同社は、サードパーティの請負業者がインターネットに直接アクセスできる一方で、自社の従業員に対して Always-On を有効にするルールを作成しました。
これにより、会社の従業員からのすべてのトラフィックが Cato Cloud を通過し、セキュリティポリシーによって保護されます。
順序付き常時オンポリシーの操作
Always-On ポリシーは順序付けられたルール ベースです。ポリシー内のルールは、次のようにユーザーまたはグループに適用されます。
ルールに合致すると、クライアントはルールに設定された構成に従います。
ルールに違反した場合はネットワークから切断されます。
常時オンポリシーの前提条件
Always-OnはLinuxクライアントではサポートされていません。
Always-On SSO 認証は、次のバージョン以降でサポートされています。
Windows クライアント v5.3
macOS クライアント v5.0
iOS クライアント v5.0
Android クライアント v5.0
常時接続ポリシーによるインターネット アクセスの提供
Always-On ポリシーを有効にしても、次の方法でユーザーにインターネットへの直接アクセスを提供できます。
一時的なバイパス方法の使用
オンデマンド接続ステータスのルールを作成
リカバリモードでインターネットアクセスを許可
Always-On ポリシーの設定につきましては、「Always-On ポリシーの設定」を参照してください。
まとめ
このようにCatoでは、Cato ClientとAlways-Onポリシーを通じて、従業員が安全にリモートワークできる環境を提供しています。
Catoは、グローバルクラウドネイティブサービスにより、ユーザーアクセス数を限りなく拡張できます。専用のVPNインフラを導入する必要もありません。ユーザーが最寄りのCato PoPに接続され、トラフィックがCatoのグローバルプライベートバックボーンを経由してオンプレミスまたはクラウドアプリケーションに最適にルーティングされます。Catoのセキュリティアズサービススタックは、リモートユーザーを脅威から保護し、アプリケーションのアクセス制御を適用します。
製品に関するお問い合わせや導入に関する相談、システム/セキュリティ全般に関わる相談等、お気軽にお問い合わせください。
Comments