La segmentation réseau a longtemps été un pilier de l'architecture de sécurité des entreprises. La technologie Virtual Routing and Forwarding (VRF) a introduit la possibilité de créer des domaines de routage isolés au sein d'une infrastructure physique unique — un concept puissant, mais limité par les contraintes du réseau traditionnel. Cato Networks a radicalement réimaginé ce concept avec l'introduction des Instances SASE Virtualisées (VSI), amenant l'isolation réseau et sécurité à la pile SASE native du cloud.
Le VRF permet à un routeur ou commutateur physique unique de maintenir plusieurs tables de routage indépendantes simultanément, permettant la segmentation réseau sans déploiement physique séparé. Bien que cela ait résolu les premiers besoins en segmentation, l'approche présente d'importantes limitations opérationnelles et architecturales dans les environnements d'entreprise complexes d'aujourd'hui.
-
Séparer les réseaux de production, de développement et de gestion
-
Isoler les environnements multi-locataires dans une infrastructure partagée
-
Conformité réglementaire nécessitant la ségrégation des réseaux
-
Séparer les environnements IT et OT/IoT dans les milieux industriels
-
Isolation de routage seulement — les politiques de sécurité sont gérées séparément par VRF, sans application intégrée
-
Connectivité complexe entre VRFs nécessite fuites de route ou intégration pare-feu supplémentaire
-
Plan de gestion partagé — tous les VRFs sont visibles et gérés depuis le même contexte administratif
-
La complexité du dépannage augmente considérablement avec plusieurs VRFs dans des environnements distribués
-
Pas d'isolation RBAC native — tous les administrateurs réseau ont généralement une visibilité sur tous les VRFs
-
Les espaces d'adresses IP chevauchants deviennent complexes lorsque le trafic doit franchir les limites VRF ou être intégré dans un domaine de routage/sécurité partagé.
-
Chaque VRF peut nécessiter une intégration d'outils de sécurité dédiée, multipliant la charge de gestion
L'Instance SASE virtualisée (VSI) de Cato reprend le concept fondamental de VRF - des domaines réseau isolés - et l'étend à l'ensemble de la pile SASE. Plutôt que d'isoler uniquement la couche de routage, un VSI crée un environnement SASE complètement indépendant avec son propre tissu réseau, ses politiques de sécurité, son plan de gestion et ses contrôles d'accès administratifs.
Chaque VSI est, en fait, une instance du cloud SASE dédiée fonctionnant au sein de l'ossature mondiale de Cato. Les organisations peuvent déployer plusieurs VSI au sein d'un même compte Cato, chacun étant adapté aux exigences spécifiques d'une unité commerciale distincte, d'un type d'environnement ou d'une filiale.
-
Pile de politiques de sécurité indépendante — Firewall, CASB, DLP, IPS, et plus, configurés pour chaque VSI
-
Plans de gestion et de données isolés — chaque VSI possède une configuration séparée, une gestion du trafic et une visibilité opérationnelle
-
RBAC granulaire — n'octroie l'accès aux administrateurs qu'aux VSI qu'ils sont responsables de gérer
-
Flexibilité des groupes de fonctionnalités — différentes capacités activées par VSI pour correspondre aux exigences des cas d'utilisation
-
Topologie réseau dédiée — paramétrage indépendant en SD-WAN, routage, et connectivité
-
Isolation complète de l'audit et des journaux — flux d'événements séparés par VSI
Une des applications les plus convaincantes du VSI est de permettre aux organisations de fonctionner dans des environnements SASE distincts pour des populations réseau fondamentalement différentes — utilisateurs informatiques, appareils IoT et systèmes OT — chacun ayant des postures de sécurité indépendantes adaptées à leurs profils de risque et exigences opérationnelles.
Les environnements IT, IoT et OT ont des exigences de sécurité et de connectivité radicalement différentes. La segmentation basée sur VRF traditionnel isole le routage mais nécessite quand même une infrastructure de sécurité partagée et des outils de gestion, créant des risques et des complexité. Avec le VSI, chaque environnement fonctionne comme une instance SASE indépendante :
Architecture IT/IOT/OT VSI
-
VSI IT : Pile de sécurité centrée sur l'utilisateur — ZTNA, CASB, DLP, prévention des logiciels malveillants, intégration des identités utilisateur
-
VSI IoT : Profil de connectivité léger — liste d'accès des appareils, contrôle strict des sorties, surface d'attaque minimale
-
VSI OT : Isolation de style air gap pour les systèmes OT, avec des connexions contrôlées par des politiques au VSI IT pour les flux de données approuvés
Les administrateurs de chaque équipe ne gèrent que leur propre VSI, éliminant le risque de changements de configuration involontaires entre environnements tout en permettant à chaque domaine une expertise spécialisée.
Les conflits d'adresses IP sont parmi les défis d'intégration les plus courants et complexes après une fusion ou une acquisition. Lorsque l'entreprise acquise utilise de l'espace d'adresses RFC 1918 qui se chevauche, les administrateurs ont un choix difficile : entreprendre un projet de re-adressage coûteux et perturbateur ou mettre en œuvre des solutions de contournement basées sur le NAT complexes.
-
Les projets de re-adressage IP sont chronophages, perturbateurs et coûteux — souvent pendant 12–24 mois
-
Les configurations double NAT complexes introduisent de la latence, cassent les applications et créent des défis de dépannage persistants
-
Les solutions de contournement basées sur VRF nécessitent une gestion continue de la configuration et limitent la flexibilité de l'intégration
-
Une infrastructure de gestion partagée crée des préoccupations en matière de visibilité et de contrôle d'accès pendant la période d'intégration
Avec VSI, l'entreprise acquise est simplement intégrée à une nouvelle instance SASE dédiée. Leur schéma d'adressage IP existant reste totalement intact. Le VSI de l'entreprise mère et le VSI de l'entreprise acquise sont ensuite interconnectés avec des contrôles d'accès précis, gouvernés par des politiques — permettant des flux de trafic spécifiques tout en appliquant les principes Zero Trust à la frontière.
Étape 1 : Démarrer un nouveau VSI pour l'entreprise acquise — prend des minutes, pas des mois
Étape 2 : Intégration des sites, utilisateurs et charges de travail de l'entreprise acquise au nouveau VSI
Étape 3 : Conserve le schéma d'adressage IP existant — aucun ré-adressage requis
Étape 4 : Définir les politiques d'interconnexion de VSI — accès granulaire, Zero Trust entre les deux VSI
Étape 5 : Les projets d'intégration IT peuvent avancer à un rythme mesuré sans disruption opérationnelle
Cette approche est particulièrement bien adaptée aux sociétés de portefeuille gérant plusieurs filiales opérationnelles (op-cos). Chaque op-co peut maintenir un certain degré d'indépendance IT et réseau au sein de son propre VSI, tandis que l'organisation mère conserve la gouvernance et la capacité de partager ou d'utiliser sélectivement des ressources ou des services entre les frontières du VSI.
Les VSI ne sont pas des îles isolées — Cato offre une interconnexion contrôlée entre les VSI avec des contrôles d'accès basés sur des politiques enracinés dans les principes Zero Trust. Plutôt que les fuites de route à grain grossier des conceptions de VRF traditionnelles, l'interconnect de VSI applique :
-
Accès conscient de l'identité et du contexte — qui peut atteindre quoi, dans quelles conditions
-
Segmentation au niveau des applications — applications ou services spécifiques, pas des sous-réseaux entiers
-
Inspection continue — le trafic traversant les frontières VSI passe par la pile de sécurité de Cato
-
Visibilité centralisée des politiques — les règles d'interconnexion sont gérées au sein de l'application de gestion Cato familière
Cette capacité transforme l'interconnexion VSI d'une réflexion opérationnelle à un contrôle de sécurité de première classe — aligné sur les architectures Zero Trust modernes sans introduire de complexité d'infrastructure supplémentaire.
|
Capacité |
VRF Traditionnel |
Cato VSI |
|---|---|---|
|
Isolation de Routage |
Couche 3 uniquement |
Pile SASE complète (L3–L7) |
|
Politiques de Sécurité |
Config séparée par VRF |
Indépendant par VSI |
|
Plan de Gestion |
Partagé |
Complètement isolé |
|
RBAC |
Limité |
Granulaire, par VSI |
|
Interconnexion |
Fuites de route complexes |
Basé sur des politiques Zero Trust |
|
Chevauchement IP (F&A) |
NAT complexe requis |
Support natif |
|
Temps de Provisionnement |
Jours/semaines |
Minutes |
|
Dépannage |
Complexe, multi-outils |
Console unique |
Les Instances SASE Virtualisées représentent une évolution fondamentale au-delà de la technologie VRF traditionnelle. En étendant l'isolation de la couche de routage à la pile SASE complète — englobant politique de sécurité, plan de gestion, RBAC et plan de données — le VSI permet aux organisations d'architecturer des environnements réseau et de sécurité véritablement indépendants à l'échelle du cloud.
Que l'objectif soit de séparer l'IT de l'OT, de gérer une intégration post-acquisition, ou de permettre l'indépendance des filiales au sein d'une structure de société de portefeuille, le VSI offre l'isolation d'un déploiement d'infrastructure dédié avec la simplicité opérationnelle d'une plateforme cloud unifiée.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.