Souveraineté SASE chez Cato Networks

Comment Cato offre sécurité et réseau sans compromettre la souveraineté des données

Vue d'ensemble

La souveraineté numérique façonne de plus en plus comment les organisations conçoivent, acquièrent et exploitent leur infrastructure technologique. Pour les gouvernements, organisations internationales, opérateurs d'infrastructure critique et entreprises réglementées, les questions deviennent très spécifiques : Mon trafic est-il contenu dans la région ? Où est-ce inspecté? Où sont prises les décisions de sécurité? Où sont stockées la télémétrie et les journaux? Les réponses influencent désormais directement les décisions d'achat technologique et de gestion des risques.

Cette tendance ne ralentit pas. Avec la prolifération des réglementations sur la souveraineté des données et des politiques de sécurité nationale à travers les régions, les exigences deviennent plus spécifiques, plus auditées et plus difficiles à satisfaire avec une infrastructure cloud générique.

Derrière ce changement se trouvent plusieurs moteurs de renforcement :

  • Cadres règlementaires: RGPD, NIS2 et DORA dans l’UE, ainsi que les cadres nationaux équivalents à l'échelle mondiale, exigent des contrôles démontrables sur où les données sont traitées, qui opère l'infrastructure, et comment les flux transfrontaliers de données sont gouvernés.
  • Risque géopolitique : Des lois comme la loi américaine CLOUD et la section 702 de la FISA créent des mécanismes permettant aux gouvernements étrangers de contraindre l'accès aux données détenues par des fournisseurs dont le siège est dans leur juridiction, indépendamment de l’endroit où résident physiquement les données. Le domicile des fournisseurs est devenu une considération matérielle pour les organisations exposées aux échanges transfrontaliers.
  • Mandats sectoriels : Les régulateurs des services financiers (ABE, BaFin), les agences de défense, et les cadres de passation de marchés publics traitent de plus en plus les contrôles de souveraineté comme une condition préalable pour la qualification des fournisseurs dans les secteurs réglementés et sensibles.

Pourquoi l'architecture SASE compte pour la souveraineté

Lorsqu'une organisation évalue un SASE souverain, la conversation commence typiquement par la géographie : où sont les serveurs et quelle loi du pays s'applique? Ce sont des questions nécessaires. Mais elles passent à côté d'un problème plus fondamental : l'architecture interne de la plateforme SASE elle-même détermine si des engagements de souveraineté peuvent réellement être pris et tenus.

Lors de l'évaluation d'un fournisseur SASE pour des déploiements souverains, quelques questions simples permettrons de naviguer à travers le marketing :

  • Tous les services SASE tels que SD-WAN, SWG, CASB/DLP, AI-Security fonctionnent-ils sur une plateforme convergée unique, avec un plan de contrôle, un plan de données et un lac de données, ou est-ce une collection de plateformes séparées ?
  • Le fournisseur possède-t-il et exploite-t-il son infrastructure cloud, ou s'appuie-t-il sur des hyper-spéchialistes tiers ?
  • Le fournisseur peut-il fournir une portée d'audit unique couvrant tous les services, ou chaque composant nécessite-t-il une évaluation de conformité distincte ?
  • Où est stockée la donnée client à travers tous les composants du service et sous quelle juridiction légale ?

Les réponses à ces questions déterminent si un fournisseur peut prendre des engagements de souveraineté contraignants et si ces engagements couvrent l'ensemble du service ou seulement une partie de celui-ci.

Architecture unifiée de Cato

Cato a été construit en tant que plateforme unique dès le départ. Chaque capacité (SD-WAN, FWaaS, SWG, IPS, CASB, DLP, ZTNA, RBI et AI Security) fonctionne sur un plan de données unifié et un plan de contrôle unifié. Les données des clients sont conservées dans un seul lac de données, sous un cadre de contrôle d'accès unique, dans une seule limite régionale.

Les 95+ points de présence mondiaux de Cato fonctionnent sur une infrastructure physique détenue par Cato dans des centres de données de niveau 4, alimentée par du matériel GPU spécialement conçu pour le traitement de la sécurité piloté par l'IA. Tout le traitement réseau et de sécurité a lieu au PoP localement connecté. Il n'y a pas de backhauling, ni de chaînage de services entre différents PoPs, produits ou plateformes.

Pour les évaluations de souveraineté, cela se traduit directement par une complexité réduite et un risque réduit : une portée d'audit, un dépôt de données, une entité légale régionale et un ensemble d'obligations contractuelles couvrant l'ensemble du service.

Modèles de déploiement souverain SASE de Cato

Cato propose trois configurations de déploiement souverain. Les trois fonctionnent sur la même plateforme Cato SASE avec le même ensemble complet de fonctionnalités. Le choix du modèle détermine qui possède et exploite l'infrastructure, pas quelles capacités sont disponibles.

Modèle de déploiement Client type Ajustement réglementaire
Nuage public SASE souverain Entreprises réglementées RGPD, NIS2, DORA, mandats sectoriels
Nuage SASE souverain pour les fournisseurs de services Opérateurs télécoms nationaux, FSP, PSF Cadres nationaux, infrastructures critiques
Nuage SASE souverain pour les clients Gouvernement, défense, institutions financières Plus haute classification
SASE.png

Nuage public SASE souverain

Le mieux pour les entreprises réglementées dont les besoins de souveraineté peuvent être satisfaits par l'infrastructure publique régionale de Cato.

  • Les instances régionales de CMA (Application de Gestion Cato) fournissent des services de plan de contrôle et de gestion. Actuellement disponible aux États-Unis, dans l'UE, en Inde, et au Japon, avec davantage d'instances régionales prévues pour un déploiement futur. Les politiques, la configuration, et les données d'événements du client sont ancrées à la région sélectionnée et ne la quittent pas.
  • Les PoPs régionaux de Cato (plan de données) servent les clients au sein de leur limite géographique, garantissant que l'inspection du trafic et l'application de la sécurité se produisent dans la région.
  • Des options de géorepérage granulaires sont disponibles pour tous les services SASE. Les administrateurs peuvent configurer des politiques pour s'assurer que le trafic est traité exclusivement par des PoPs régionaux et reste dans les limites régionales définies tout au long de son cycle de vie.

Nuage SASE souverain pour les fournisseurs de services

Le mieux pour les organisations qui nécessitent un contrôle d'infrastructure privée fourni par un opérateur de télécommunications national ou un MSSP.

  • Le fournisseur de services déploie des PoPs privés de Cato au sein de sa propre infrastructure souveraine, conservant un contrôle physique total sur le plan de données.
  • Deux options pour le plan de contrôle : le plan de contrôle peut fonctionner sur l'instance régionale publique CMA de Cato pour une simplicité opérationnelle, ou le fournisseur de services peut déployer et exploiter une instance privée CMA dédiée pour un contrôle total du plan de gestion. Avec l'option CMA privée, les clés de chiffrement sont gérées par le fournisseur de services qui possède l'instance CMA.

  • Le prestataire de services régional a le contrôle opérationnel du service. Cato gère le cycle de vie du logiciel (mises à jour, correctifs, déploiements de fonctionnalités) de manière transparente en arrière-plan.

    • Un avantage clé de cette approche est que le trafic est acheminé via le réseau de l’épine dorsale et l'infrastructure de dernier kilomètre du fournisseur de services, plutôt que de traverser des réseaux de transit tiers. Cela permet au trafic des clients de rester dans le domaine réseau conforme et réglementé localement du SP, en accord avec les exigences nationales de résidence, de souveraineté et d'accès légal aux données. Par conséquent, le flux de trafic et le contrôle opérationnel adhèrent aux cadres réglementaires régionaux.

Nuage SASE souverain pour les clients

Le mieux pour les agences gouvernementales, les organisations de défense et les institutions financières ayant les exigences de souveraineté et de classification de sécurité les plus élevées.

  • Le client héberge à la fois des PoPs privés et l'instance de CMA (plan de contrôle) dans ses propres centres de données ou infrastructure souveraine.
  • Deux options de plan de contrôle : les clients peuvent utiliser le CMA public régional de Cato ou déployer et exploiter leur propre CMA privé pour une pleine propriété du plan de gestion. Avec l'option CMA privée, les clés de chiffrement sont gérées par le client qui possède l'instance CMA.
  • Le client contrôle physiquement et opérationnellement chaque composant du service. Cato fournit la plateforme logicielle et gère le cycle de vie logiciel.

Entités juridiques et support régionaux

L'architecture et le modèle de déploiement sont nécessaires mais ne suffisent pas à la souveraineté. La relation légale entre le client et le fournisseur est tout aussi importante.

Cato a établi des entités légales régionales incorporées sous la loi locale dans des juridictions clés. Ces entités servent de partie contractante pour les clients dans leur région, garantissant que la relation légale et toutes les obligations qu'elle crée sont régies par et exécutables selon la loi locale.

Les entités légales régionales de Cato comprennent actuellement :

  • États-Unis
  • Allemagne (UE)
  • Pays-Bas (UE)
  • Italie (UE)
  • France (UE)
  • Singapour
  • Royaume-Uni
  • Australie
  • Japon
  • Philippines
  • Israël
  • Jurisdictions supplémentaires car Cato continue d'étendre sa présence régionale

En plus des entités légales, Cato exploite des équipes de support régionales qui fournissent un support technique dans la région. Les clients bénéficient du support fourni par des employés opérant sous le même cadre légal et la même limite juridictionnelle que leur déploiement.

Résumé

Cato Networks délivre un SASE souverain grâce à une combinaison de trois principes fondamentaux :

  • Architecture à plateforme unique : Un plan de données, un plan de contrôle et un lac de données. Tous les traitements se font au PoP régionalement connecté. Cela élimine la portée d'audit fragmentée et la complexité de conformité inhérente aux plateformes multi-produits cousues ensemble. Le géorepérage est facilement réalisable pour les sites connectés et les utilisateurs ZTNA.
  • Modèles de déploiement SASE flexibles : Trois options de déploiement souverain (Nuage Public Régional, SASE Privé pour Fournisseurs de Services, SASE Privé pour Client) répondent aux exigences de souveraineté.
  • Structure légale régionale : Les entités juridiques régionales aux États-Unis, dans l'UE (Pays-Bas, Allemagne, France, Italie), Royaume-Uni, Singapour, Australie, Japon, Philippines, Israël, et plus encore assurent que les contrats clients sont régis par la loi locale et que les obligations réglementaires sont localement applicables.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire