التجزئة الشبكية كانت منذ فترة طويلة ركيزة أساسية في بنية الأمن بالمؤسسات. أدخلت تقنية التوجيه الافتراضي وإعادة توجيه (VRF) إمكانية إنشاء مجالات توجيه معزولة داخل بنية تحتية مادية واحدة — وهو مفهوم قوي، لكنه مقيد بقيود الشبكات التقليدية. أعادت Cato Networks تصور هذا المفهوم بشكل جذري بإدخال مثيلات SASE الافتراضية (VSI)، مما جلب العزلة الكاملة للشبكة والأمان إلى عصر SASE المبني على السحابة.
يمكن لبرنامج VRF أن يمكن جهاز توجيه مادي واحد أو مفتاح من الحفاظ على جداول توجيه مستقلة متعددة في وقت واحد، مما يمكن تجزئة الشبكات دون الحاجة إلى نشر بنية تحتية مادية منفصلة. بينما حل هذا متطلبات التجزئة المبكرة، فإن النهج يحمل قيودًا تشغيلية ومعمارية كبيرة في بيئات المؤسسات المعقدة اليوم.
-
فصل الشبكات الخاصة بالإنتاج، التطوير، والإدارة
-
عزل البيئات متعددة المستأجرين في بنية تحتية مشتركة
-
التوافق التنظيمي الذي يتطلب فصل الشبكات
-
فصل بيئات تكنولوجيا المعلومات وOT/IoT في إعدادات صناعية
-
عزل التوجيه فقط — تتم إدارة سياسات الأمان بشكل منفصل لكل VRF، بدون فرض متكامل
-
تتطلب الاتصالات المعقدة بين VRFs تسريب المسارات أو دمج إضافي للجدار الناري
-
طائرة إدارة مشتركة — جميع VRFs تكون مرئية ومدارة من نفس السياق الإداري
-
يؤدي تعقيد استكشاف الأخطاء وإصلاحها إلى زيادة كبيرة مع تعدد VRFs عبر البيئات الموزعة
-
لا يوجد عزل RBAC أصلي — عادةً ما يتمتع جميع مشرفي الشبكة بالرؤية عبر جميع VRFs
-
تصبح مساحات عناوين IP المتداخلة معقدة عندما يتعين على المرور عبور حدود VRF أو يتم دمجها في مجال توجيه/أمان مشترك.
-
قد تتطلب كل VRF دمج أدوات أمان مخصصة، مما يؤدي إلى زيادة النشاط الإداري
تقوم مثيل SASE الافتراضي (VSI) من Cato بأخذ المفهوم الأساسي ل VRF - مجالات الشبكة المعزولة - وتمدده عبر المجموعة الكاملة ل SASE. بدلاً من عزل فقط طبقة التوجيه، ينشئ VSI بيئة SASE مستقلة تمامًا خاصة بها مع نسيج شبكة خاص، سياسات أمان، طائرة إدارة، ووسائل وصول إدارية.
كل VSI يعد مثيلًا سحابيًا مخصصًا ل SASE يعمل داخل عمود Cato العالمي. يمكن للمؤسسات نشر عدة VSIs داخل حساب Cato واحد، كل منها مُصمم وفقًا للمتطلبات الخاصة بوحدة عمل متميزة، نوع بيئة، أو شركة تابعة.
-
مجموعة سياسات أمان مستقلة — حائط حماية، CASB، DLP، IPS، وأكثر، مكونة لكل VSI
-
طائرات إدارة وبيانات معزولة — لكل VSI تكوينات منفصلة، ومعالجة المرور، ورؤية تشغيلية
-
RBAC دقيق — منح الوصول للمسؤولين فقط إلى VSIs الذين يكونون مسؤولين عن إدارتها
-
مرونة مجموعة الميزات — يتم تمكين قوى مختلفة لكل VSI لتلبية متطلبات حالات الاستخدام
-
طوبولوجيا شبكة مخصصة — SD-WAN مستقل، توجيه، وإعدادات الاتصال
-
عزل كامل للتدقيق وتسجيل الأحداث — تدفقات الأحداث المنفصلة لكل VSI
أحد التطبيقات الأكثر إقناعًا لـ VSI هو تمكين المؤسسات من تشغيل بيئات SASE مختلفة للسكان الشبكيين المختلفين جذريًا — مستخدمو تكنولوجيا المعلومات، أجهزة IoT، وأنظمة OT — كل منها مع مواقف أمان مستقلة مناسبة لملفاتهم الشخصية للمخاطر ومتطلباتهم التشغيلية.
لدى بيئات تكنولوجيا المعلومات وIoT وOT متطلبات متباينة بشكل كبير بشأن الأمان والاتصال. يؤدي التقسيم القائم على VRF التقليدي إلى عزل التوجيه ولكن لا يزال يتطلب بنية تحتية أمانية مشتركة وأدوات إدارة، مما يخلق المخاطر والتعقيد. مع VSI، تعمل كل بيئة كمثيل SASE مستقل:
معمارية IT / IoT / OT VSI
-
IT VSI: مجموعة كاملة من الأمان المستند إلى المستخدم — ZTNA، CASB، DLP، الوقاية من البرمجيات الخبيثة، تكامل هوية المستخدم
-
IoT VSI: ملف اتصال خفيف الوزن — قائمة السماح للأجهزة، ضوابط خروج صارمة، سطح الهجوم الأدنى
-
OT VSI: عزل نمط فجوة الهواء لأنظمة OT، مع الاتصالات التي تتحكم فيها السياسة إلى IT VSI لتدفقات البيانات المسجلة
يدير مشرفو كل فريق فقط VSI الخاص بهم، مما يلغي مخاطر تغيير الإعداد الوسطاء بين البيئات أثناء تمكين الخبرة المتخصصة لكل مجال.
تعتبر تناقضات عناوين IP من بين التحديات الأكثر شيوعًا وصعوبة في التكامل بعد الدمج أو الاستحواذ. عندما تستخدم الشركة المكتسبة مساحة عناوين RFC 1918 متداخلة، يواجه المسؤولون خيارًا صعبًا: القيام بمشروع إعادة العنوان المكلف والمزعج، أو تنفيذ حلول معتمدة على NAT معقدة.
-
تستغرق مشاريع إعادة التوجيه لعناوين IP وقتًا طويلًا، وهي مضطربة، ومكلفة — تمتد غالبًا لمدة 12 إلى 24 شهرًا
-
تؤدي تكوينات NAT المزدوجة المعقدة إلى إدخال التأخير، وكسر التطبيقات، وخلق تحديات مستمرة في تحديد الأخطاء
-
تتطلب الحلول الملتفة المعتمدة على VRF إدارة تهيئة مستمرة وتحد من مرونة التكامل
-
تخلق البنية التحتية المشتركة للإدارة مخاوف بشأن الرؤية والتحكم في الوصول خلال فترة التكامل
مع VSI، يتم ببساطة إعداد الشركة المكتسبة إلى مثيل SASE جديد ومخصص. يبقى نظام توجيه IP الحالي الخاص بهم سليمًا تمامًا. ثم يتم توصيل VSI للشركة الأم و VSI للشركة المكتسبة بتحكمات وصول دقيقة تحكمها السياسة — مما يسمح بتدفقات مرور محددة أثناء فرض مبادئ Zero Trust عند الحدود.
الخطوة 1: قم بإعداد VSI جديدة للشركة المكتسبة — يستغرق دقائق، وليس شهورًا
الخطوة 2: ضم مواقع الشركة المكتسبة والمستخدمين وأعباء العمل إلى VSI الجديدة
الخطوة 3: احتفظ بنظام توجيه عناوين IP الحالي — لا تحتاج إلى إعادة توجيه
الخطوة 4: تعريف سياسات الربط البيني لـ VSI — الوصول الدقيق، Zero Trust بين VSIs
الخطوة 5: يمكن للمشاريع التي تتعلق بتكامل تكنولوجيا المعلومات الاستمرار بوتيرة محكومة دون تعطيل التشغيل
هذا النهج مناسب بشكل خاص ل holding companies التي تدير الشركات التابعة متعددة التشغيلية (op-cos). يمكن لكل op-co الحفاظ على قدر من استقلالية تكنولوجيا المعلومات والشبكات ضمن VSI الخاص بها، بينما تحتفظ المنظمة الأم بحوكمة والقدرة على مشاركة الموارد أو الخدمات بشكل اختياري عبر حدود VSI.
ليست VSIs جزرًا معزولة - توفر Cato الربط البيني المحكم بين VSIs بمراقبات وصول قائمة على السياسة مرتبطة بمبادئ Zero Trust. بدلاً من تسريب المسار ذي الحبيبات الخشنة لتصميمات VRF التقليدية، فإن الربط البيني لـ VSI يفرض:
-
الوصول الواعي للهويتة والسياق — من يمكنه الوصول إلى ماذا، وتحت أي ظروف
-
التجزئة على مستوى التطبيق - التطبيقات أو الخدمات المحددة، وليس الشبكات الفرعية الكاملة
-
التدقيق المستمر — يمر المرور عبر حدود VSI من خلال مجموعة السيطرة الأمنية لـ Cato
-
رؤية السياسة المركزية - يتم إدارة قواعد الربط البيني داخل تطبيق إدارة Cato المألوف
يحيل هذه القدرة الربط البيني لـ VSI من اعتبار تشغيلي بعد التفكير إلى التحكم الأمني ذي التصنيف الأول — بما يتماشى مع معمارية Zero Trust الحديثة دون إدخال تعقيد إضافي في البنية التحتية.
|
القدرة |
VRF التقليدي |
Cato VSI |
|---|---|---|
|
عزل التوجيه |
الطبقة 3 فقط |
المجموعة الكاملة لـ SASE (L3–L7) |
|
سياسات الأمان |
تعديل مستقل لكل VRF |
مستقلة لكل VSI |
|
طائرة الإدارة |
مشتركة |
معزولة بالكامل |
|
RBAC |
محدودة |
دقيقة، لكل VSI |
|
الربط البيني |
تسريب مسار معقد |
استناد إلى سياسة Zero Trust |
|
IP المتداخلة (M&A) |
تتطلب NAT معقدة |
دعم أصلي |
|
وقت الإعداد |
أيام/أسابيع |
دقائق |
|
استكشاف الأخطاء وإصلاحها |
معقد، متعدد الأدوات |
وحدة تحكم واحدة |
تمثل مثيلات SASE الافتراضية تطورًا أساسيًا يتجاوز تقنيات VRF التقليدية. من خلال تمديد العزلة من طبقة التوجيه إلى المجموعة الكاملة لـ SASE — بما في ذلك سياسة الأمان، الطائرة الإدارية، RBAC، وطائرة البيانات — يمكن لـ VSI أن تمكن المؤسسات من تصميم بيئات شبكية وأمانية مستقلة حقًا على نطاق السحابة.
سواء كان الهدف هو فصل IT عن OT، إدارة عملية التكيف بعد الاستحواذ، أو تمكين استقلالية الشركة التابعة ضمن بنية شركة قابضة، فإن VSI يوفر العزلة للنشر المستقل للبنية التحتية وبساطة التشغيل لمنصة سحابية موحدة.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.