SDP User?
こんにちは。
株式会社フーバーブレイン SE の香取です。
Cato Cloudのモバイルやリモートワークで利用するユーザーを「SDP User」と言います。
SDP? Software-Defined Perimeter・・・?
そうです! 今回は ZTNA(Zero Trust Network Access)のお話です。
SDP 一般
よく見る SDP の概念図
[1]~[3]で、制御プレーン(Control Plane)が確立します。
各ホストが SDP コントローラーの制御下に入りました。しかし、まだホスト間の通信はできません。
従来の境界型防御
宛先のIPルートが正しく設定されているなら、通信の可否はファイアウォールなどアクセス制御次第
ゼロトラスト
ルートすらない。まったく通信できない。
SDP コントローラーは通信したい両者を評価(認証とか機器の設定状態など)して、OK ならデータプレーンを開いてくれます。このルートを使って目的の通信ができます。
一連の通信が終わるとデータプレーンは消滅します。
セキュリティ上は大変好ましい!
Cato SDP User の動作
Cato Cloud の場合、SDPコントローラーの制御下にないインターネットとの通信が出てきます。この様な通信にもデータプレーンが用いられます。
【Q】SDP User と誰の間のデータプレーン?
【A】Cato PoP です!
ちょっと解りづらいですね。図にしてみます。
Cato Client が Cato Cloud への接続を完了した時点で制御プレーンが作られます(切断時に消滅)
Cato 拠点の各ホストとの通信リクエスト時に、SDPコントローラーが許可すると、データプレーンが作られます(一連の通信終了時に消滅)
ところで、拠点について。「拠点」という単位だと、内側の「ユーザー」が誰だか不明です。ポリシーの設定など十分にできないのでは…と、思われるかも知れません。
実は、できます!
User Awarenessという機能です。また別の機会に解説します。
この記事が気に入ったらサポートをしてみませんか?