ネットワークセグメンテーションは、企業のセキュリティアーキテクチャの基盤となっています。 バーチャルルーティングおよびフォワーディング(VRF)技術は、単一の物理インフラ内に隔離されたルーティングドメインを作成する能力を提供します-パワフルなコンセプトですが、従来のネットワーキングの制約により制限されています。 Cato Networksは、仮想化されたSASEインスタンス(VSI)を導入することで、このコンセプトを根本的に再構築し、クラウドネイティブなSASE時代におけるフルスタックのネットワークとセキュリティの隔離を実現しました。
VRFは、単一の物理ルーターまたはスイッチが複数の独立したルーティングテーブルを同時に維持し、別の物理インフラを展開することなくネットワークのセグメンテーションを可能にします。 これにより初期のセグメンテーション要件は解決されましたが、このアプローチは、今日の複雑な企業環境において重要な運用上およびアーキテクチャ上の制限を抱えています。
-
プロダクション、開発、管理ネットワークの分離
-
共有インフラ内のマルチテナント環境の隔離
-
ネットワークの分離を要求する法令遵守
-
工業環境におけるITとOT/IoT環境の分離
-
ルーティングの隔離のみ–セキュリティポリシーは各VRFに個別に管理されており、統合された実施はありません
-
複雑なVRF間の接続は、ルート漏洩または追加のファイアウォール統合が必要になります
-
共有管理プレーン—すべてのVRFが同じ管理コンテキストから表示され、管理されます
-
分散環境で複数のVRFを持つと、トラブルシューティングの複雑さが著しく増加します
-
ネイティブのRBAC隔離なし—すべてのネットワーク管理者は通常すべてのVRFを参照可能です
-
IPアドレス空間の重複は、トラフィックがVRF境界を越えたり、共有ルーティング/セキュリティドメインに統合されたりするときに複雑化します。
-
各VRFは専用のセキュリティツール統合を必要とするかもしれません、管理のオーバーヘッドを増加させます
Catoの仮想化されたSASEインスタンス(VSI)は、VRFのコアコンセプトである-隔離されたネットワークドメイン-をSASEスタック全体に拡張します。 単にルーティングレイヤーを隔離するのではなく、VSIは独自のネットワークファブリック、セキュリティポリシー、管理プレーン、管理アクセス制御を持つ完全に独立したSASE環境を作成します。
各VSIは、事実上、Catoのグローバルバックボーン内で動作する専用のSASEクラウドインスタンスです。 組織は、単一のCatoアカウント内で複数のVSIを展開でき、各VSIは、特定のビジネスユニット、環境タイプ、または子会社の要件に合わせて調整されています。
VSIの最もいる魅力的なアプリケーションの1つは、組織が根本的に異なるネットワークの人口であるITユーザー、IoTデバイス、OTシステムのそれぞれに独立したセキュリティ姿勢を適用し、リスクプロファイルと運用要件に適したSASE環境を実行できるようにすることです。
IT、IoT、およびOT環境は、劇的に異なるセキュリティおよび接続要件を持っています。 従来のVRFベースのセグメンテーションは、ルーティングを隔離しますが、依然として共有のセキュリティインフラストラクチャと管理ツールが必要であり、リスクと複雑さを生み出します。 VSIを使用すると、各環境が独立したSASEインスタンスとして動作します:
IT / IoT / OT VSIアーキテクチャ
-
IT VSI: ユーザー中心のセキュリティスタックの全体—ZTNA、CASB、DLP、マルウェア予防、ユーザーアイデンティティ統合
-
IoT VSI: 軽量な接続プロファイル—デバイス許可リスト、厳密な出口制御、最小限の攻撃対象領域
-
OT VSI: OTシステムに対するエアギャップスタイルの隔離で、IT VSIへの承認されたデータフローへのポリシーコントロールされた接続を提供します
各チームの管理者は自分のVSIのみを管理し、無意識のクロス環境構成変更のリスクを排除し、各ドメインに特化した専門知識を可能にします。
IPアドレスの競合は、合併または買収後の統合の課題の中でも最も一般的で困難なものです。 取得した会社がRFC 1918アドレス空間を重複して使用している場合、管理者は費用がかかり混乱を引き起こす再アドレスプロジェクトを遂行するか、複雑なNATベースの回避策を実装するという困難な選択に直面します。
-
IP再アドレスプロジェクトは時間を要し、混乱を招き、高コストがかかります—通常12~24ヶ月に及びます
-
複雑なダブルNAT構成は、レイテンシーを導入し、アプリケーションを破壊し、持続的なトラブルシューティングの課題を生み出します
-
VRFベースの回避策は継続的な設定管理を必要とし、統合の柔軟性を制限します
-
共有管理インフラストラクチャは、統合期間中の可視性とアクセス制御の懸念を生じさせます
VSIを使用することで、取得した会社は簡単に新しい専用のSASEインスタンスにオンボードされます。 既存のIPアドレッシングスキームは完全に維持されます。 親会社のVSIと買収された会社のVSIは、特定のトラフィックフローを許可しゼロトラスト原則を境界で施行する正確でポリシーに基づいたアクセス制御によって相互接続されます。
ステップ1: 買収した会社のために新しいVSIをスピンアップ- 数分で完了し、数ヶ月はかかりません
ステップ2: 買収された会社のサイト、ユーザー、およびワークロードを新しいVSIにオンボード
ステップ3: 既存のIPアドレッシングスキームを維持—再アドレスは不要
ステップ4: VSI相互接続ポリシーを定義-二つのVSI間で細かいゼロトラストアクセス
ステップ5: IT統合プロジェクトは、運用の中断なしに計画的に進行可能
このアプローチは、複数の運用子会社(op-co)を管理する持株会社に特に適しています。 各op-coは自分のVSI内でITおよびネットワークの独立性を維持しながら、親組織はガバナンスを保持し、VSI境界を越えてリソースやサービスを選択的に共有する能力を持ちます。
VSIは孤立した島ではありません—Catoは、ゼロトラストの原則に根ざしたポリシーに基づくアクセス制御によってVSI間の制御された相互接続を提供します。 従来のVRF設計の粗いルート漏洩ではなく、VSI相互接続は次のことを実施します。
-
アイデンティティとコンテキストを意識したアクセス—誰が、どの条件下で、どこに到達できるか
-
アプリケーションレベルのセグメンテーション - 特定のアプリケーションまたはサービス、サブネット全体ではない
-
継続的な検査—VSIの境界を越えるトラフィックはCatoのセキュリティスタックを通過します
-
中央集権的なポリシーの可視性 - 相互接続のルールは、従来のCato管理アプリケーション内で管理されます
この機能は、運用後の考慮事項から一級のセキュリティ制御へとVSI相互接続を変換させます— 追加のインフラの複雑さを付加することなく、現代のゼロトラストアーキテクチャに調和します。
0件のコメント
サインインしてコメントを残してください。