CATO CLOUD

Cato Cloudの構成提案や構築等を行うことが時折あるため、ポイントをメモしておきたいと思います。

Cato Cloudとは

今流行りのSASEソリューションのひとつです。それぞれ特徴がありますが、例えばZscaler、Prisma Access、Fortinet SASE等の仲間、、、と言うより競合ですね。

基本構成

CATO Cloudへ通信を誘導する方法は大きく2つです。言わずもがなですが、設計によってさらに柔軟に対応できます。

1つの方法は拠点にSocketと呼ばれる専用アプライアンスを設置します。Socketはファイアウォールのような位置づけで機能し、そこを経由するユーザの通信がCATOに転送されます。実態としてはSocketとCATO Cloudの間でVPNが張られ、その中をユーザトラフィックが流れていくものとなっています。複数拠点に設置してSD-WANのようにNWの管理ができます。

ちなみにSocketは物理、AWS向けの仮想、Azure向けの仮想があります。

もう1つの方法は、ユーザのPCにクライアントソフトを入れることでCATOに接続できます。外出先のネットワークからもCATOに接続できます。コロナ渦によるリモートワークへのシフトと、ゼロトラスト(≒SASE)の導入が広まる中で良く採用されるようになったと(個人的には)思っています。

SocketのHA(High Availability)

冗長構成です。LAN側はVRRPを利用して冗長化ができます。

SocketのHAのWAN側Failover

Socketからすべてのインターネット接続が不可となり、10秒経つとStandby機へのフェイルオーバーが生じます。

The Sockets use a probing mechanism to determine the Internet connectivity status. If the primary Socket determines that Internet connectivity is down on all the Internet links (Cato links) for more than 10 seconds, then it stops transmitting the HA keepalive messages. This causes a failover to the secondary Socket.
https://support.catonetworks.com/hc/en-us/articles/360002732078-What-is-Socket-High-Availability-HA