La segmentación de la red ha sido durante mucho tiempo un pilar fundamental de la arquitectura de seguridad empresarial. La tecnología de Enrutamiento y Reenvío Virtual (VRF) introdujo la capacidad de crear dominios de enrutamiento aislados dentro de una infraestructura física única, un concepto poderoso, pero limitado por las restricciones de las redes tradicionales. Cato Networks ha reinventado fundamentalmente este concepto con la introducción de las Instancias Virtualizadas SASE (VSI), llevando el aislamiento total de red y seguridad a la era de SASE nativa en la nube.
El VRF permite que un solo router físico o conmutador mantenga varias tablas de enrutamiento independientes simultáneamente, habilitando la segmentación de la red sin desplegar infraestructura física separada. Aunque esto resolvía los requisitos iniciales de segmentación, el enfoque presenta limitaciones significativas operativas y arquitectónicas en los complejos entornos empresariales actuales.
-
Separación de redes de producción, desarrollo y gestión
-
Aislamiento de entornos multiarendatarios en infraestructura compartida
-
Cumplimiento regulatorio que requiere la segregación de la red
-
Separación de entornos IT y OT/IoT en configuraciones industriales
-
Aislamiento solo de enrutamiento — las políticas de seguridad se gestionan por separado por VRF, sin aplicación integrada
-
La conectividad inter-VRF compleja requiere el filtrado de rutas o la integración adicional de firewall
-
Plano de gestión compartido — todos los VRF son visibles y gestionados desde el mismo contexto administrativo
-
La complejidad de la solución de problemas aumenta significativamente con múltiples VRF en entornos distribuidos
-
No hay aislamiento nativo de RBAC — por lo general, todos los administradores de red tienen visibilidad a través de todos los VRF
-
Los espacios de direcciones IP superpuestos se vuelven complejos cuando el tráfico debe cruzar límites de VRF o integrarse en un dominio de enrutamiento/seguridad compartido.
-
Cada VRF puede requerir una integración de herramientas de seguridad dedicadas, multiplicando la sobrecarga de gestión
La Instancia SASE Virtualizada (VSI) de Cato toma el concepto central de VRF - dominios de redes aislados - y lo extiende a lo largo de toda la pila SASE. En lugar de aislar solo la capa de enrutamiento, un VSI crea un entorno SASE completamente independiente con su propio tejido de red, políticas de seguridad, plano de gestión y controles de acceso administrativo.
Cada VSI es, en efecto, una instancia SASE en la nube dedicada operando dentro de la columna vertebral global de Cato. Las organizaciones pueden desplegar múltiples VSI dentro de una sola cuenta de Cato, cada una adaptada a los requisitos específicos de una unidad de negocio distinta, tipo de entorno o subsidiaria.
-
Pila independiente de políticas de seguridad — Firewall, CASB, DLP, IPS y más, configurados por VSI
-
Planos de gestión y datos aislados — cada VSI tiene configuración, manejo de tráfico y visibilidad operacional separados
-
RBAC granular — solo otorgue acceso a los administradores a los VSI de los que son responsables de gestionar
-
Flexibilidad del conjunto de funciones — diferentes capacidades habilitadas por VSI para ajustarse a los requisitos de casos de uso
-
Topología de red dedicada — SD-WAN, enrutamiento y configuraciones de conectividad independientes
-
Aislamiento completo de auditoría y registro — flujos de eventos separados por VSI
Una de las aplicaciones más atractivas del VSI es permitir a las organizaciones ejecutar entornos SASE distintos para poblaciones de red fundamentalmente diferentes — usuarios IT, dispositivos IoT y sistemas OT — cada uno con posturas de seguridad independientes apropiadas para sus perfiles de riesgo y requisitos operativos.
Los entornos de TI, IoT y OT tienen requisitos de seguridad y conectividad dramáticamente diferentes. La segmentación basada en VRF tradicional aísla el enrutamiento pero aún requiere infraestructura de seguridad compartida y herramientas de gestión, creando riesgos y complejidad. Con VSI, cada entorno opera como una instancia SASE independiente:
Arquitectura VSI de TI / IoT / OT
-
VSI de TI: pila de seguridad centrada en el usuario completa - ZTNA, CASB, DLP, prevención de malware, integración de identidad del usuario
-
VSI de IoT: perfil de conectividad ligero - lista de dispositivos permitidos, controles de salida estrictos, superficie de ataque mínima
-
VSI de OT: aislamiento estilo división aérea para sistemas OT, con conexiones controladas por políticas al VSI de TI para flujos de datos aprobados
Los administradores de cada equipo gestionan solo su propio VSI, eliminando el riesgo de cambios de configuración entre entornos mientras permiten una especialización experta para cada dominio.
Los conflictos de direcciones IP están entre los desafíos de integración más comunes y difíciles tras una fusión o adquisición. Cuando la empresa adquirida usa espacio de direcciones RFC 1918 superpuesto, los administradores enfrentan una elección difícil: emprender un proyecto de re-direccionamiento costoso y perturbador, o implementar soluciones complicadas basadas en NAT.
-
Los proyectos de re-direccionamiento IP son laboriosos, disruptivos y costosos - a menudo se extienden de 12 a 24 meses
-
Las configuraciones NAT dobles complejas introducen latencia, rompen aplicaciones y crean desafíos persistentes de solución de problemas
-
Los arreglos basados en VRF requieren gestión continua de la configuración y limitan la flexibilidad de integración
-
La infraestructura de gestión compartida crea problemas de visibilidad y control de acceso durante el período de integración
Con VSI, la empresa adquirida se integra simplemente a una nueva instancia SASE dedicada. Su esquema de direccionamiento IP existente permanece completamente intacto. El VSI de la empresa matriz y el VSI de la empresa adquirida se interconectan con controles de acceso gobernados por políticas precisas - permitiendo flujos de tráfico específicos mientras se aplican principios de confianza cero en el límite.
Paso 1: Iniciar un nuevo VSI para la empresa adquirida - lleva minutos, no meses
Paso 2: Incorporar sitios, usuarios y cargas de trabajo de la empresa adquirida al nuevo VSI
Paso 3: Conservar el esquema de direccionamiento IP existente - no se requiere re-direccionamiento
Paso 4: Definir políticas de interconexión VSI - acceso granular de confianza cero entre los dos VSIs
Paso 5: Los proyectos de integración de TI pueden proceder a un ritmo medido sin interrupciones operativas
Este enfoque es especialmente adecuado para compañías de holding que gestionan múltiples subsidiarias operativas (op-cos). Cada op-co puede mantener un grado de independencia de TI y red dentro de su propio VSI, mientras que la organización matriz retiene el gobierno y la capacidad de compartir selectivamente recursos o servicios a través de los límites de VSI.
Las VSIs no son islas aisladas - Cato proporciona interconexión controlada entre VSIs con controles de acceso basado en políticas fundamentados en principios de confianza cero. En lugar de la filtración de rutas de grano grueso de diseños VRF tradicionales, la interconexión VSI aplica:
-
Acceso consciente de identidad y contexto - quién puede alcanzar qué, bajo qué condiciones
-
Segmentación a nivel de aplicación - aplicaciones o servicios específicos, no subredes enteras
-
Inspección continua - el tráfico que cruza los límites VSI pasa a través de la pila de seguridad de Cato
-
Visibilidad centralizada de políticas - las reglas de interconexión se gestionan dentro de la familiar Aplicación de Gestión de Cato
Esta capacidad transforma la interconexión VSI de un pensamiento secundario operativo en un control de seguridad de primera clase - alineando con arquitecturas modernas de confianza cero sin introducir complejidad adicional a la infraestructura.
|
Capacidad |
VRF Tradicional |
Cato VSI |
|---|---|---|
|
Aislamiento de enrutamiento |
Solo capa 3 |
Pila completa SASE (L3-L7) |
|
Políticas de seguridad |
Configuración separada por VRF |
Independiente por VSI |
|
Plano de gestión |
Compartido |
Totalmente aislado |
|
RBAC |
Limitado |
Granular, por VSI |
|
Interconexión |
Filtración de rutas compleja |
Basado en política de confianza cero |
|
IPs superpuestas (F&A) |
Se requiere NAT complejo |
Soporte nativo |
|
Tiempo de aprovisionamiento |
Días/semanas |
Minutos |
|
Solución de problemas |
Complejo, multiherramienta |
Consola única |
Las Instancias SASE Virtualizadas representan una evolución fundamental más allá de la tecnología VRF tradicional. Al extender el aislamiento desde la capa de enrutamiento hasta la pila completa SASE - abarcando política de seguridad, plano de gestión, RBAC y plano de datos - VSI permite a las organizaciones crear arquitecturas de red y seguridad verdaderamente independientes a escala en la nube.
Ya sea que el objetivo sea separar TI de OT, gestionar una integración post-adquisición, o permitir independencia de las subsidiarias dentro de una estructura de compañía de holding, VSI ofrece el aislamiento de un despliegue de infraestructura dedicada con la simplicidad operativa de una plataforma en la nube unificada.
0 comentarios
Inicie sesión para dejar un comentario.