Cato Networks에서의 SASE 주권

Cato가 데이터 주권을 위협하지 않고 보안과 네트워킹을 어떻게 제공하는지

개요

디지털 주권은 점점 더 조직이 기술 인프라를 설계, 조달, 운영하는 방식을 형성하고 있습니다. 정부, 국제 조직, 주요 인프라 운영자, 규제된 기업에게는 질문이 아주 특정해지고 있습니다: 내 트래픽이 지역 내에 포함되어 있습니까? 어디에서 검사됩니까? 보안 결정은 어디에서 이루어집니까? 텔레메트리와 로그는 어디에 저장됩니까? 현재 답변은 기술 조달과 위험 관리 결정에 직접적인 영향을 미칩니다.

이 추세는 멈추지 않고 있습니다. 데이터 주권 규정과 국가 보안 정책이 지역을 넘어 확산됨에 따라 요구 사항이 점점 더 구체적이고 감사 가능하며 일반적인 클라우드 인프라로 충족하기 어려워지고 있습니다.

이 변화 뒤에는 여러 가지 강화 요인이 있습니다.

  • 규제 프레임워크: GDPR, NIS2, DORA 및 전세계의 유사 국가 프레임워크는 데이터가 처리되는 위치, 인프라를 운영하는 사람 및 국경 간 데이터 흐름을 관리하는 방법에 대한 실증적 통제를 요구합니다.
  • 지정학적 위험: US CLOUD Act, FISA 섹션 702와 같은 법률은 외국 정부가 그들의 관할권 내에 본사를 둔 벤더가 보유한 데이터에 접근하도록 강제하는 메커니즘을 생성합니다, 데이터가 물리적으로 어디에 위치하든 상관없이. 벤더의 소재지는 국경 간 노출이 있는 조직의 중요한 조달 고려사항이 되었습니다.
  • 부문 명령: 금융 서비스 규제 기관(EBA, BaFin), 방위 기관 및 정부 조달 프레임워크는 주권 통제를 규제 및 민감한 부문의 벤더 자격 요건의 전제 조건으로 점차 간주하고 있습니다.

주권을 위한 SASE 아키텍처의 중요성

조직이 주권 SASE를 평가할 때 대화는 일반적으로 지리학으로 시작됩니다: 서버가 어디에 있으며, 어느 나라의 법이 적용됩니까? 이러한 질문들은 필수적입니다. 그러나 그들은 더 근본적인 문제를 놓칩니다: SASE 플랫폼 자체의 내부 아키텍처가 주권의 약속이 실제로 이루어질 수 있는지 여부를 결정합니다.

소버린 배치를 위해 어떤 SASE 벤더를 평가할 때 몇 가지 간단한 질문이 마케팅을 뛰어넘습니다:

  • 모든 SASE 서비스, 예를 들어 SD-WAN, SWG, CASB/DLP, AI-보안은 단일 융합 플랫폼에서 실행되나요, 아니면 각각의 플랫폼 모음인가요?
  • 벤더가 클라우드 인프라를 소유하고 운영하나요, 아니면 서드파티 하이퍼스케일러에 의존하나요?
  • 벤더가 모든 서비스를 포함하는 단일 감사 범위를 제공할 수 있나요, 아니면 각각의 구성요소가 별도의 컴플라이언스 평가를 필요로 하나요?
  • 고객 데이터가 서비스의 모든 구성요소에 걸쳐 어디에 저장되나요, 그리고 어떤 법적 관할권 하에 있나요?

이 질문들에 대한 답변은 벤더가 주권 약속을 실행할 수 있는지, 그리고 그 약속이 전체 서비스 또는 일부만을 다루는지를 결정합니다.

Cato 통합 아키텍처

Cato는 처음부터 하나의 플랫폼으로 구축되었습니다. 모든 기능(SD-WAN, FWaaS, SWG, IPS, CASB, DLP, ZTNA, RBI, 및 AI 보안)은 하나의 통합 데이터 평면과 하나의 통합 제어 평면에서 작동합니다. 고객 데이터는 하나의 데이터 레이크에 보관되며, 단일 접근 제어 프레임워크 아래에서 단일 지역적 경계 내에 있습니다.

Cato의 95개 이상의 글로벌 PoPs는 AI 기반 보안 처리를 위한 목적에 맞게 제작된 GPU 하드웨어로 Tier-4 데이터 센터에서 Cato 소유의 물리적 인프라에서 실행됩니다. 모든 네트워크 및 보안 처리는 현지 연결된 PoP에서 이루어집니다. 어떠한 백홀링이나 서로 다른 PoP, 제품, 또는 플랫폼 간의 서비스 체이닝은 없습니다.

주권 평가에 있어, 이는 감소된 복잡성과 위험으로 직접 번역됩니다: 하나의 감사 범위, 하나의 데이터 스토어, 하나의 법적 지역 엔티티 및 전체 서비스를 다루는 계약 의무의 집합.

Cato 주권 SASE 배포 모델

Cato는 세 가지 주권 배포 구성을 제공합니다. 모든 세 가지는 동일한 완전한 기능 세트를 가진 Cato SASE 플랫폼에서 실행됩니다. 모델의 선택은 누가 인프라를 소유하고 운영하는지를 결정하며, 어떤 기능이 사용 가능한지 결정하지 않습니다.

배포 모델 일반적인 고객 규제 적합성
주권 퍼블릭 SASE 클라우드 규제된 기업 GDPR, NIS2, DORA, 부문 명령
서비스 제공자를 위한 주권 SASE 클라우드 국내 텔코, MSP, MSSP 국가적 프레임워크, 중요 인프라
고객을 위한 주권 SASE 클라우드 정부, 국방, 금융 기관 최고 분류
SASE.png

주권 퍼블릭 SASE 클라우드

Cato의 지역 공공 인프라로 주권 요구를 처리할 수 있는 규제받는 기업에 가장 적합합니다.

  • 지역 CMA (Cato 관리 애플리케이션) 인스턴스는 컨트롤 및 관리 평면 서비스를 제공합니다. 현재 미국, 유럽 연합, 인도, 일본에서 제공되며 더 많은 지역 인스턴스가 향후 배포 예정입니다. 고객 정책, 구성 및 이벤트 데이터는 선택된 지역에 고정되며 이 지역을 벗어나지 않습니다.
  • 지역 Cato PoPs(데이터 평면)는 지정된 경계 내 고객에게 서비스를 제공하여 트래픽 검사 및 보안 시행이 지역 내에서 이루어지도록 합니다.
  • 모든 SASE 서비스에 대해 세밀한 위치 제한 옵션이 제공됩니다. 관리자는 정책을 구성하여 트래픽이 지정된 지역 경계 내에서만 처리되고 유지되도록 할 수 있습니다.

서비스 제공자를 위한 주권 SASE 클라우드

국가 통신 운영자 또는 MSSP를 통해 제공되는 개인 인프라 제어가 필요한 조직에 가장 적합합니다.

  • 서비스 제공자는 그들 자신의 주권 인프라 내에서 Cato 비공개 PoPs를 배치하여 데이터 평면에 대한 완전한 물리적 통제를 유지합니다.
  • 두 가지 제어 평면 옵션: 제어 평면은 운영의 간편성을 위해 Cato의 지역 퍼블릭 CMA 인스턴스에서 실행되거나, 서비스 제공자가 완전한 관리 평면 통제를 위해 전용 비공개 CMA 인스턴스를 배치하고 운영할 수 있습니다. 비공개 CMA 옵션을 사용할 경우, 암호화 키는 CMA 인스턴스를 소유한 서비스 제공자가 관리합니다.

  • 지역 서비스 제공자는 서비스에 대한 운영 통제를 갖습니다. Cato는 백그라운드에서 투명하게 소프트웨어 라이프사이클(업데이트, 패치, 기능 롤아웃)을 관리합니다.

    • 이 접근방식의 주요 이점은 트래픽이 타사 전송 네트워크를 통과하는 것이 아니라 서비스 제공자의 자체 백본 및 최종 마일 인프라를 통해 운반된다는 것입니다. 이를 통해 고객 트래픽은 SP의 준수, 지역 규제 네트워크 내에 머물며, 국가 데이터를 국적으로 유지하고 적법한 접근 요구사항과 일치합니다. 결과적으로, 트래픽 흐름과 운영 통제는 지역 규제 프레임워크에 따라 운영됩니다.

고객을 위한 주권 SASE 클라우드

주권 및 보안 분류 요구 사항이 가장 높은 정부 기관, 방위 조직 및 금융 기관에 가장 적합합니다.

  • 고객은 그들의 데이터 센터 또는 주권 인프라 내에 비공개 PoPs(데이터 평면) 및 CMA 인스턴스(제어 평면)를 호스팅합니다.
  • 두 가지 제어 평면 옵션: 고객은 Cato의 지역 퍼블릭 CMA를 사용하거나 전용 비공개 CMA를 배치하고 운영하여 완전한 관리 평면 소유권을 가질 수 있습니다. 비공개 CMA 옵션을 사용할 경우, 암호화 키는 CMA 인스턴스를 소유한 고객이 관리합니다.
  • 고객은 서비스의 모든 구성요소에 대한 물리적 및 운영적 통제를 가집니다. Cato는 소프트웨어 플랫폼을 제공하며, 소프트웨어 라이프사이클을 관리합니다.

지역 법인 및 지원

아키텍처 및 배포 모델은 필수적이지만 주권에 충분하지 않습니다. 고객과 벤더 간의 법적 관계는 똑같이 중요합니다.

Cato는 주요 관할권의 현지 법 아래에 지역 법적 엔티티를 설립했습니다. 이 엔티티는 해당 지역에 있는 고객에 대한 계약 당사자로서, 법적 관계 및 생성되는 모든 의무가 현지 법 아래에서 관할되며 집행 가능하도록 보장합니다.

Cato의 지역 법적 엔티티는 현재 다음과 같습니다:

  • 미국
  • 독일 (유럽 연합)
  • 네덜란드 (유럽 연합)
  • 이탈리아 (유럽 연합)
  • 프랑스 (유럽 연합)
  • 싱가포르
  • 영국
  • 호주
  • 일본
  • 필리핀
  • 이스라엘
  • 추가 관할 지역은 Cato가 지역 존재를 계속 확장해가는 곳으로

법적 엔티티 외에도, Cato는 지역적 지원 팀을 운영하여 지역 내 기술 지원을 제공합니다. 고객은 동일한 법적 프레임워크와 관할 경계하에 운영하는 직원이 제공한 지원을 통해 혜택을 얻습니다.

요약

Cato Networks는 세 가지 기본 원칙의 조합을 통해 주권 SASE를 제공합니다:

  • 단일 플랫폼 아키텍처: 하나의 데이터 평면, 하나의 제어 평면, 하나의 데이터 레이크. 모든 처리는 지역적으로 연결된 지역 PoP에서 이루어집니다. 이는 여러 제품 플랫폼을 결합한 복잡한 컴플라이언스와 파편화된 감사 범위를 제거합니다. 연결된 사이트 및 ZTNA 사용자에 대해 위치 제한이 쉽게 이루어집니다.
  • 유연한 SASE 배포 모델: 주권 요구사항을 수용하기 위한 세 가지 주권 배포 옵션(지역 퍼블릭 클라우드, 서비스 제공자를 위한 비공개 SASE, 고객을 위한 비공개 SASE)이 있습니다.
  • 지역 법적 구조: 미국, 유럽 연합(네덜란드, 독일, 프랑스, 이탈리아), 영국, 싱가포르, 호주, 일본, 필리핀, 이스라엘 및 기타 지역 법인이 현지 법률에 따라 고객 계약을 관리하고 규제 의무를 현지에서 시행할 수 있도록 합니다.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개