SDP User？

こんにちは。
株式会社フーバーブレイン SE の香取です。

Cato Cloudのモバイルやリモートワークで利用するユーザーを「SDP User」と言います。
SDP？ Software-Defined Perimeter・・・？

そうです！ 今回は ZTNA（Zero Trust Network Access）のお話です。

SDP 一般

よく見る SDP の概念図

Cloud Security Alliance Software Defined Perimeter（SDP）and Zero Trust

[1]～[3]で、制御プレーン（Control Plane）が確立します。

各ホストが SDP コントローラーの制御下に入りました。しかし、まだホスト間の通信はできません。

従来の境界型防御
宛先のIPルートが正しく設定されているなら、通信の可否はファイアウォールなどアクセス制御次第

ゼロトラスト
ルートすらない。まったく通信できない。

SDP コントローラーは通信したい両者を評価（認証とか機器の設定状態など）して、OK ならデータプレーンを開いてくれます。このルートを使って目的の通信ができます。

一連の通信が終わるとデータプレーンは消滅します。

永遠に信頼し合えない、ゼロトラストの宿命

セキュリティ上は大変好ましい！

Cato SDP User の動作

Cato Cloud の場合、SDPコントローラーの制御下にないインターネットとの通信が出てきます。この様な通信にもデータプレーンが用いられます。

【Q】SDP User と誰の間のデータプレーン？
【A】Cato PoP です！

ちょっと解りづらいですね。図にしてみます。

• Cato Client が Cato Cloud への接続を完了した時点で制御プレーンが作られます（切断時に消滅）

• Cato 拠点の各ホストとの通信リクエスト時に、SDPコントローラーが許可すると、データプレーンが作られます（一連の通信終了時に消滅）

ところで、拠点について。「拠点」という単位だと、内側の「ユーザー」が誰だか不明です。ポリシーの設定など十分にできないのでは…と、思われるかも知れません。

実は、できます！
User Awarenessという機能です。また別の機会に解説します。