いま注目のCato(ケイト)とは?概要やトライアルの際の注意点を解説
はじめに
本記事では、ゼロトラスト環境を構築するための製品である「Cato」とトライアルについてご紹介します。
参考コラム:ゼロトラストとは?意味・定義と境界型セキュリティとの違い |
Cato(ケイト)とは
SASEは、ネットワークサービスとセキュリティサービスを合わせたサービスです。
Catoが提供する機能例
ネットワークサービス
・拠点接続(SD-WAN)
・帯域制御(QoS)
・リモート接続(SDPクライアント)
セキュリティサービス
・脅威検出(IPS)
・通信制御(ファイアウォール)
・クラウド制御(CASB)
Catoは、これらの機能をシングルベンダーで提供し、一元管理可能な管理アプリケーションを提供しています。
SASEの詳細は次のコラムをご参照ください。
参考コラム:新たなセキュリティモデル「SASE」とは?ゼロトラストとの関係や導入時の注意点を解説 |
Catoを導入するメリット
・セキュリティに必要な情報を一元管理
・メンテナンス作業の軽減
管理対象の拡張
CASB機能やモバイルクライアント機能を利用することで、従来の境界型防御では管理が難しかったクラウド環境やリモートワーク環境を管理対象に加えることができます。
セキュリティに必要な情報を一元管理
セキュリティポリシー、通信内容、モバイルクライアントの接続情報など、セキュリティに関する重要な情報を一元管理することができます。
メンテナンス作業の軽減
従来の物理的なセキュリティ製品を利用した環境では、セキュリティパッチの適用などのメンテナンス作業が必要でしたが、Catoは多くの機能をクラウド側で管理しているため、メンテナンス作業を大幅に軽減することができます。
サービス体系
サービス環境
CatoのPoP(ポイント オブ プレゼンス)は世界中に100以上存在しており、各PoPはCato Networks社が独自に構築したデータセンター環境で運用されています。
日本には、東京と大阪にPoPが存在しており、Catoに接続する際には最適な拠点が自動的に選択されます。さらに、利用中のPoPが停止した場合でも、他のPoPに自動でフェイルオーバーされるため、障害時にPoPの切り替えを考慮する必要はありません。これにより、高い可用性と信頼性が確保されています。
接続方法
Catoのクラウド環境への接続は、専用機器であるSocket、もしくはモバイルクライアントを利用します。
Socket
Socketは、ルータやスイッチのような形状をしており、オフィス環境など複数ユーザをまとめてCatoに接続したい場合に利用します。
モバイルクライアント
モバイルクライアントは、端末にインストールする専用のソフトウェアです。少人数でCatoを利用する場合や、リモートワーク環境での利用に適しています。
対応OSは、WindowsとMacOSだけではなく、スマートフォンやLinuxにも対応しています。
・Windows
・Mac OS
・iOS
・Android
・Linux
料金体系
基本料金には、拠点の接続やモバイルクライアントなどCatoに接続するためのライセンスが含まれています。
クラウド環境の管理や、マルウェアなどの脅威対策を行うためには、オプションの追加契約が必要になります。
基本料金
サイトライセンス・Socketのレンタル費用・モバイルライセンスの3つに対して料金が発生します。(2024年9月)
サイトライセンス
拠点からCatoへ接続するためのライセンス費用です。
各拠点から通信時に利用する帯域を設定する必要があります。
最小25Mbpsから最大10Gbpsまでいくつかのメニューが存在しています。
拠点から契約以上の帯域が発生した場合、通信が抑制されるようになっています。
Socketレンタル費用
Socketには物理Socketと仮想Socketの2種類があります。物理Socketを利用する場合はレンタル料が発生しますが、仮想Socketはレンタル費用がかかりません。
モバイルライセンス
モバイルライセンスは端末からCatoへ接続するためのライセンスです。
接続するユーザの数だけ購入する必要があります。
機能概要
標準機能
オプション機能
トライアルについて
トライアルを実施した際に起きたトラブルや注意点をご紹介します。
アカウント名
トライアルの申込みにはアカウント名を決める必要があります。
アカウント名はトライアル終了後の本番環境でも継続して利用されるので、
testやtrialのような文字は含めないことをおすすめします。
また、管理画面や参照用のURLで、アカウント名が利用されることを確認しています。
MFAの登録
管理アカウントにはMFA認証が必須となるのですが、アカウントの登録時にQRコードが表示される仕組みになっています。QRコードのページは一度閉じてしまうと再度表示させることができません。
MFAのリセットは管理画面からのみ可能なため、他にログインできるアカウントがない場合はベンダーにお願いしてリセットする必要があります。
Socketが認識されない
Catoは、ゼロタッチプロビジョニングに対応しているため、社内ネットワークに接続して認識されるのを待っていたのですが、Cato側に認識されませんでした。
確認を行ったところSocketに設定されている内容とCato側の整合性が取れていないということがわかりました。
Socketを接続しても管理画面に反映されない場合はアカウントとの再紐付けが必要になります。
仮想Socketのデプロイ
仮想SocketはVMWareなどのOVFテンプレートとして提供されているのですが、テンプレートのバージョンによってデプロイ画面や初期動作が異なることを確認しています。
例えばですが、socket-idの例が画像のようにハイフンなしになっていますが、ハイフンを含めて値を入力する必要があります。
予約されたネットワークアドレス
Catoには予約されたネットワークアドレスが存在します。10.254.254.0/24が含まれるネットワークを設定しようとするとエラーが表示されます。既存のネットワークで利用している場合は、メーカーに依頼することで変更することも可能です。
トライアルの感想
導入時にはいくつかトラブルが発生したため心配していましたが、導入後は動作が安定しており、セキュリティ機能の検証も順調に進みました。管理UIもよくできており、ドキュメントをあまり読んでない状況でも直感的に操作することができました。
心残りとしては、一ヶ月という期間ではCatoの一部の機能しか検証できなかったことです。Catoの機能に対してトライアル期間一ヶ月は短いように感じました。
さいごに
今後もCatoについての機能紹介や技術検証を行っていければと考えています。
アクセリアでは、閉域網を使ったネットワークから、Catoを使ったゼロトラストネットワークまで、様々な形態のネットワーク構築を行っております。
Catoを使ったゼロトラスト環境への移行は、ぜひアクセリアにご相談ください。
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service