Cómo Cato entrega seguridad y redes sin comprometer la soberanía de los datos
La soberanía digital está cada vez más influyendo en cómo las organizaciones diseñan, adquieren y operan su infraestructura tecnológica. Para gobiernos, organizaciones internacionales, operadores de infraestructuras críticas y empresas reguladas, las preguntas se están volviendo muy específicas: ¿Está mi tráfico contenido dentro de la región? ¿Dónde se inspecciona? ¿Dónde se toman decisiones de seguridad? ¿Dónde se almacenan la telemetría y los registros? Las respuestas ahora influyen directamente en la compra de tecnología y en las decisiones de gestión de riesgos.
Esta tendencia no está desacelerando. A medida que las regulaciones de soberanía de datos y las políticas de seguridad nacional proliferan en las regiones, los requisitos se están volviendo más específicos, más auditables y más difíciles de satisfacer con infraestructura genérica en la nube.
Detrás de este cambio hay varios impulsores de refuerzo:
- Marcos regulatorios: GDPR, NIS2 y DORA en la Unión Europea, junto con marcos nacionales equivalentes a nivel mundial, requieren controles demostrables sobre dónde se procesan los datos, quién opera la infraestructura y cómo se regulan los flujos de datos transfronterizos.
- Riesgo geopolítico: leyes como el US CLOUD Act y FISA Sección 702 crean mecanismos para que gobiernos extranjeros obliguen el acceso a datos mantenidos por proveedores con sede en su jurisdicción, independientemente de dónde residen físicamente los datos. El domicilio del proveedor se ha convertido en una consideración material de adquisición para organizaciones con exposición transfronteriza.
- Mandatos sectoriales: reguladores de servicios financieros (EBA, BaFin), agencias de defensa y marcos de adquisición gubernamentales tratan cada vez más los controles de soberanía como un requisito previo para la calificación del proveedor en sectores regulados y sensibles.
Cuando las organizaciones evalúan el SASE soberano, la conversación típicamente comienza con la geografía: ¿dónde están los servidores y bajo qué ley de país se aplica? Estas son preguntas necesarias. Pero pasan por alto un problema más fundamental: la arquitectura interna de la plataforma SASE en sí determina si se pueden asumir y mantener compromisos de soberanía.
Al evaluar cualquier proveedor SASE para despliegues soberanos, unas pocas preguntas directas cortan el marketing:
- ¿Todos los servicios SASE como SD-WAN, SWG, CASB/DLP, AI-Security funcionan en una única plataforma convergente, con un plano de control, un plano de datos y un lago de datos, o es una colección de plataformas separadas?
- ¿El proveedor posee y opera su infraestructura de nube o depende de hiperescaladores de terceros?
- ¿Puede el proveedor proporcionar un solo alcance de auditoría que cubra todos los servicios, o cada componente requiere una evaluación de cumplimiento separada?
- ¿Dónde se almacenan los datos del cliente en todos los componentes del servicio y bajo qué jurisdicción legal?
Las respuestas a estas preguntas determinan si un proveedor puede hacer compromisos de soberanía vinculantes y si esos compromisos cubren todo el servicio o solo una parte de él.
Cato fue construido como una plataforma única desde cero. Cada capacidad (SD-WAN, FWaaS, SWG, IPS, CASB, DLP, ZTNA, RBI y Seguridad AI) funciona en un plano de datos unificado y un plano de control unificado. Los datos del cliente se mantienen en un solo lago de datos, bajo un marco único de control de acceso, dentro de un límite regional único.
Las 95+ Ubicaciones de Cato en todo el mundo funcionan en infraestructura física propiedad de Cato en centros de datos de nivel 4, impulsados por hardware de GPU diseñado para procesamiento de seguridad impulsado por IA. Todo el procesamiento de red y seguridad se lleva a cabo en la Ubicación PoP localmente conectada. No hay retroceso, y no hay encadenamiento de servicios entre diferentes Ubicaciones, productos o plataformas.
Para evaluaciones de soberanía, esto se traduce directamente en reducción de complejidad y riesgo: un único alcance de auditoría, un solo almacén de datos, una única entidad regional legal y un conjunto de obligaciones contractuales que cubren todo el servicio.
Cato ofrece tres configuraciones de despliegue soberano. Los tres funcionan en la misma plataforma Cato SASE con el mismo conjunto completo de características. La elección del modelo determina quién posee y opera la infraestructura, no qué capacidades están disponibles.
| Modelo de Despliegue | Cliente Típico | Adaptación Regulatoria |
|---|---|---|
| Nube SASE Pública Soberana | Empresas Reguladas | GDPR, NIS2, DORA, mandatos sectoriales |
| Nube SASE Soberana para Proveedores de Servicios | Telecomunicaciones nacionales, MSPs, MSSPs | Marcos nacionales, infraestructura crítica |
| Nube SASE Soberana para Clientes | Gobierno, defensa, instituciones financieras | Clasificación más alta |
Mejor para empresas reguladas cuyas necesidades de soberanía pueden ser satisfechas por la infraestructura pública regional de Cato.
- Las instancias regionales de CMA (Aplicación de Gestión de Cato) ofrecen servicios de plano de control y gestión. Actualmente disponible en Estados Unidos, Unión Europea, India y Japón, con más instancias regionales planeadas para su implementación futura. La política, configuración y datos de eventos del cliente están anclados a la región seleccionada y no salen de ella.
- Las PoPs regionales de Cato (plano de datos) sirven a los clientes dentro de su límite geográfico, asegurando que la inspección del tráfico y la aplicación de seguridad ocurran en la región.
- Opciones de geo-cercado granular están disponibles para todos los servicios SASE. Los administradores pueden configurar políticas para asegurar que el tráfico sea procesado exclusivamente por PoPs regionales y permanezca dentro del límite regional definido durante todo su ciclo de vida.
Mejor para organizaciones que requieren control de infraestructura privada entregado a través de un operador nacional de telecomunicaciones o MSSP.
- El proveedor de servicios despliega PoPs Privadas de Cato dentro de su propia infraestructura soberana, reteniendo control físico completo sobre el plano de datos.
- Dos opciones de plano de control: el plano de control puede funcionar en la instancia regional pública de CMA de Cato para simplicidad operativa, o el proveedor de servicios puede desplegar y operar una instancia privada de CMA dedicada para control completo del plano de gestión. Con la opción de CMA Privada, las claves de cifrado son gestionadas por el proveedor de servicios que posee la instancia de CMA.
-
El proveedor regional de servicios tiene control operativo sobre el servicio. Cato gestiona el ciclo de vida del software (actualizaciones, parches, implementación de características) de manera transparente en el fondo.
- Una ventaja clave de este enfoque es que el tráfico se transporta a través del propio backbone del proveedor de servicios e infraestructura de última milla, en lugar de atravesar redes de tránsito de terceros. Esto permite que el tráfico del cliente permanezca dentro del dominio de red del SP conforme, regulado localmente, alineándose con los requisitos nacionales de residencia de datos, soberanía y acceso legal. Como resultado, tanto el flujo de tráfico como el control operativo se adhieren a los marcos regulatorios regionales.
Mejor para agencias gubernamentales, organizaciones de defensa e instituciones financieras con los requisitos de soberanía y clasificación de seguridad más altos.
- El cliente alberga tanto los PoPs Privados (plano de datos) como la instancia de CMA (plano de control) dentro de sus propios centros de datos o infraestructura soberana.
- Dos opciones de plano de control: los clientes pueden utilizar la CMA pública regional de Cato o desplegar y operar su propia CMA privada para propiedad completa del plano de gestión. Con la opción de CMA Privada, las claves de cifrado son gestionadas por el cliente que posee la instancia de CMA.
- El cliente tiene control físico y operativo sobre cada componente del servicio. Cato proporciona la plataforma de software y gestiona el ciclo de vida del software.
La arquitectura y el modelo de despliegue son necesarios pero no suficientes para la soberanía. La relación legal entre el cliente y el proveedor es igualmente importante.
Cato ha establecido entidades legales regionales, incorporadas bajo la ley local en jurisdicciones clave. Estas entidades sirven como la parte contratante para clientes en su región, asegurando que la relación legal y todas las obligaciones que crea estén gobernadas y sean ejecutables bajo la ley local.
Las entidades legales regionales de Cato incluyen actualmente:
- Estados Unidos
- Alemania (Unión Europea)
- Países Bajos (Unión Europea)
- Italia (Unión Europea)
- Francia (Unión Europea)
- Singapur
- Reino Unido
- Australia
- Japón
- Filipinas
- Israel
- Jurisdicciones adicionales a medida que Cato continúa expandiendo su presencia regional
Además de las entidades legales, Cato opera equipos de soporte regional que proporcionan soporte técnico en la región. Los clientes se benefician del soporte entregado por personal operando bajo el mismo marco legal y límite jurisdiccional que su despliegue.
Cato Networks ofrece SASE soberano mediante una combinación de tres principios fundamentales:
- Arquitectura de plataforma única: Un plano de datos, un plano de control y un lago de datos. Todo el procesamiento ocurre en el PoP regional conectado localmente. Esto elimina el alcance de auditoría fragmentado y la complejidad de cumplimiento inherente en plataformas multi-producto cosidas juntas. El geo-cercado se logra fácilmente para sitios conectados y usuarios de ZTNA.
- Modelos de despliegue SASE flexibles: Tres opciones de despliegue soberano (Nube Pública Regional, SASE Privado para Proveedores de Servicios, SASE Privado para Cliente) acomodan los requisitos de soberanía.
- Estructura legal regional: Las entidades legales regionales en Estados Unidos, Unión Europea (Países Bajos, Alemania, Francia, Italia), Reino Unido, Singapur, Australia, Japón, Filipinas, Israel y más aseguran que los contratos con clientes estén gobernados por leyes locales, que las obligaciones regulatorias sean ejecutables localmente.
0 comentarios
Inicie sesión para dejar un comentario.