Catoがデータ主権を妥協せずにセキュリティおよびネットワーク機器を提供する方法
デジタル主権は、組織が技術インフラを設計、調達、および運用する方法においてますます重要な役割を果たしています。 政府、国際機関、重要インフラ運営者、規制企業にとって、その質問は非常に具体的なものになっています: 私のトラフィックは地域内に含まれているのか? どこで検査されますか? セキュリティの決定はどこで下されますか? テレメトリとログはどこに保存されますか? 回答は現在、技術調達とリスク管理の決定に直接影響を与えています。
この傾向は止まりません。 データ主権規制と国家安全保障政策が地域全体で展開される中、要件はより具体的で、より監査可能で、一般的なクラウドインフラでは満たしにくくなっています。
この変化の背後には、いくつかの強化策があります。
- 規制フレームワーク: GDPR、NIS2、および DORA(EU)、ならびに世界中の同等の国家フレームワークは、データの処理場所、インフラの運営者、および国境を越えたデータの流れがどのように管理されるかに関する実証可能な統制を要求する。
- 地政学的リスク: 米国CLOUD法やFISA第702条などの法律は、データが物理的にどこにあるかに関わらず、外国政府がその管轄に本社を置くベンダーが保持するデータへのアクセスを強制する仕組みを生み出している。 ベンダーの本拠地は、国境を越えたリスクを伴う組織の調達において重要な考慮事項となっている。
- セクターマンダテ: 金融サービスの規制機関(EBA、BaFin)、防衛機関、政府調達フレームワークは、規制された敏感なセクターでベンダー資格の条件として、ますます主権管理を前提条件として扱う傾向にある。
組織が主権SASEを評価する際、会話は通常地理から始まります。どこにサーバーがあり、どの国の法律が適用されるのか? これらは必要な質問です。 しかし、それらはより基本的な問題を見逃しています。SASEプラットフォームの内部アーキテクチャ自体が、主権のコミットメントを実際にできるか保持できるかを決定します。
主権展開のためにどのSASEベンダーを評価する際には、マーケティングを通じていくつかの簡単な質問が役立ちます。
- すべてのSASEサービス(SD-WAN、SWG、CASB/DLP、AIセキュリティなど)が単一の統合プラットフォームで、1つの制御プレーン、1つのデータプレーン、1つのデータレイクで動作しているか、それとも別々のプラットフォームの集合であるのか?
- そのベンダーは自社のクラウドインフラを所有し運営しているのか、それともサードパーティのハイパースケーラーを頼りにしているのか?
- ベンダーはすべてのサービスをカバーする単一の監査範囲を提供できるのか、それとも各コンポーネントごとに個別のコンプライアンス評価が必要なのか?
- すべてのサービスコンポーネントにわたって顧客のデータはどこに保存され、どの法域の下にあるのか?
これらの質問への回答は、ベンダーが拘束力のある主権のコミットメントを行えるかどうか、そしてそのコミットメントがサービス全体をカバーするのか、それともその一部に限定されるのかを決定します。
Catoは初めから単一のプラットフォームとして構築されました。 各機能(SD-WAN、FWaaS、SWG、IPS、CASB、DLP、ZTNA、RBI、AIセキュリティ)は、1つの統一されたデータプレーンと1つの統一された管理プレーンで動作します。 顧客データは、単一のデータレイクに保存され、単一のアクセス制御フレームワークにより管理され、単一の地域境界内に存在します。
Catoの95を超えるグローバルPoPは、AI駆動のセキュリティ処理のために専用設計されたGPUハードウェアによって支えられた、Tier-4データセンター内のCato所有の物理インフラ上で稼働します。 すべてのネットワークおよびセキュリティ処理は、ローカルに接続されたPoPで行われます。 異なるPoP、製品、またはプラットフォーム間でのバックホーリングやサービスチェーンはありません。
主権評価において、これは複雑さとリスクを直接的に軽減します。一つの監査スコープ、一つのデータストア、一つのリージョナルな法的実体、一つの契約上の義務セットがサービス全体をカバーします。
Catoは3つの主権展開構成を提供します。 3つとも同じCato SASEプラットフォーム上で、同じフル機能セットで動作します。 モデルの選択によって、インフラの所有と運用を決定し、利用可能な機能は変わりません。
| デプロイメントモデル | 典型的な顧客 | 規制適合性 |
|---|---|---|
| 主権公開SASEクラウド | 規制された企業 | GDPR、NIS2、DORA、セクターマンダテ |
| サービスプロバイダー向け主権SASEクラウド | 国内通信事業者(telcos)、MSP、MSSP | 国家フレームワーク、重要インフラ |
| 顧客向け主権SASEクラウド | 政府、防衛、金融機関 | 最高分類 |
主権要件をCatoの地域パブリックインフラで満たせる規制対象企業に最適です。
- 地域のCMA(Cato管理アプリケーション)インスタンスは、制御および管理プレーンサービスを提供する。 米国、EU、インド、日本で現在利用可能で、今後さらに多くの地域インスタンスがデプロイされる予定。 顧客ポリシー、設定、およびイベントデータは選択した地域に固定され、それを離れない。
- 地域のCato PoPs(データプレーン)がその地理的境界内で顧客にサービスを提供し、トラフィック検査とセキュリティの施行が地域内で行われることを保証する。
- すべてのSASEサービスに対して詳細なジオフェンシングオプションが利用可能。 管理者は、トラフィックをリージョナルPoPによってのみ処理し、そのライフサイクルを通じて定義された地域境界内に留まるようにポリシーを設定できる。
プライベートインフラ制御を国家通信事業者やMSSP経由で受ける必要がある組織に最適です。
- サービスプロバイダーは自社の主権インフラ内にCatoプライベートPoPsを展開し、データプレーンに対する完全な物理的制御を保持する。
- 2つの制御プレーンオプション:制御プレーンは、Catoの地域公開CMAインスタンスで動作して運用の簡素化を図るか、もしくはサービスプロバイダーが専用のプライベートCMAインスタンスを展開して運営し、管理プレーン全体を制御することができる。 プライベートCMAオプションの場合、暗号化キーはCMAインスタンスを所有するサービスプロバイダーによって管理される。
-
地域サービスプロバイダーはサービスの運用管理をしています。 Catoはバックグラウンドでソフトウェアのライフサイクル(更新、パッチ、機能展開)を透明に管理します。
- このアプローチの主要な利点は、トラフィックがサードパーティのトランジットネットワークを経由せずに、サービスプロバイダー自身のバックボーンとラストマイルインフラストラクチャを横断することである。 これにより、顧客のトラフィックをサービスプロバイダーの準拠した、ローカルに規制されたネットワークドメイン内に保持し、国家のデータ所在、主権、および合法アクセス要件に適合させることができる。 その結果、トラフィックフローと運用制御の両方が地域規制フレームワークに従う。
最高の主権とセキュリティ分類要件を持つ政府機関、防衛組織、および金融機関に最適です。
- 顧客は自社のデータセンターまたは主権インフラ内に、プライベートPoPs(データプレーン)とCMAインスタンス(制御プレーン)の両方をホストする。
- 2つの制御プレーンオプション:顧客はCatoの地域公開CMAを使用するか、もしくは自社のプライベートCMAを展開して運営し、管理プレーン全体を所有することができる。 プライベートCMAオプションでは、暗号化キーはCMAインスタンスを所有する顧客によって管理される。
- 顧客はサービスのすべてのコンポーネントに対する物理的および運用上の制御を持つ。 Catoはソフトウェアプラットフォームを提供し、ソフトウェアのライフサイクルを管理する。
アーキテクチャと展開モデルは主権に不可欠ですが、十分ではありません。 顧客とベンダーの法的関係も同様に重要です。
Catoは地域の法的実体を、重要な法管轄下で地元の法律に基づいて設立しました。 これらの実体は地域内の顧客の契約当事者として機能し、法的関係とそれが生じるすべての義務が地元の法律によって裁定され、執行可能であることを保証します。
Catoの地域法的実体には現在以下が含まれます:
- アメリカ合衆国
- ドイツ(EU)
- オランダ(EU)
- イタリア(EU)
- フランス(EU)
- シンガポール
- イギリス
- オーストラリア
- 日本
- フィリピン
- イスラエル
- Catoがその地域的存在感を拡大し続けるに伴う追加の法域
法的実体に加えて、Catoは地域の技術サポートを提供するリージョナルなサポートチームを運営しています。 顧客は、展開と同じ法的枠組みおよび法管轄境界のもとで運営されるスタッフから提供されたサポートの恩恵を受けることができます。
Cato Networksは、3つの基本原則を組み合わせることで主権SASEを提供する。
- 単一プラットフォームアーキテクチャ: 1つのデータプレーン、1つの制御プレーン、および1つのデータレイク。 すべての処理は、ローカルに接続された地域のPoPで行われる。 これにより、細切れの監査範囲と、多製品プラットフォームをつなぎ合わせた際に本来備わるコンプライアンスの複雑さが解消される。 ジオフェンシングは、接続されたサイトとZTNAユーザーのために簡単に達成できる。
- 柔軟なSASEデプロイメントモデル: 3つの主権デプロイメントオプション(地域公開クラウド、サービスプロバイダー向けプライベートSASE、顧客向けプライベートSASE)は、主権要件に対応。
- 地域法的構造: 米国、EU(オランダ、ドイツ、フランス、イタリア)、イギリス、シンガポール、オーストラリア、日本、フィリピン、イスラエルなどの地域の法人格があり、顧客契約を現地の法律に基づいて管理し、規制義務が現地で執行可能であることを保証する。
0件のコメント
サインインしてコメントを残してください。