네트워크 분할은 오랫동안 기업 보안 아키텍처의 기초였습니다. 가상 라우팅 및 포워딩(VRF) 기술은 단일 물리적 인프라 내에서 격리된 라우팅 도메인을 생성할 수 있는 기능을 도입했습니다. 이는 강력한 개념이지만 전통적인 네트워킹의 제약에 제한됩니다. Cato Networks는 가상화된 SASE 인스턴스(VSI)를 도입하여 클라우드 네이티브 SASE 시대에 완전한 네트워크 및 보안 격리를 제공함으로써 이 개념을 근본적으로 혁신했습니다.
VRF는 단일 물리적 라우터 또는 스위치가 여러 독립적인 라우팅 테이블을 동시에 유지할 수 있도록 하여 별도의 물리적 인프라를 배치하지 않고도 네트워크 분할을 가능하게 합니다. 초기 분할 요구 사항을 해결했지만, 현대 복잡한 기업 환경에서는 이 접근법이 상당한 운영 및 아키텍처적 제한을 갖습니다.
-
프로덕션, 개발 및 관리 네트워크 분리
-
공유 인프라에서 다중 테넌트 환경을 격리
-
네트워크 분리를 요구하는 규정 준수
-
산업 현장에서 IT와 OT/IoT 환경 분리
-
라우팅 격리만 있음 - 보안 정책은 각 VRF별로 별도로 관리되며 통합 강제 적용이 없습니다.
-
복잡한 인터-VRF 연결은 경로 유출이나 추가 방화벽 통합을 요구합니다.
-
공유 관리 평면 - 모든 VRF는 동일한 관리 컨텍스트에서 볼 수 있으며 관리됩니다.
-
분산된 환경에서 여러 VRF가 있을 때 문제 해결의 복잡성이 크게 증가합니다.
-
네이티브 RBAC 격리가 없음 - 모든 네트워크 관리자에게 일반적으로 모든 VRF에 대한 가시성이 있습니다.
-
중첩된 IP 주소 공간은 트래픽이 VRF 경계를 넘어야 하거나 공유 라우팅/보안 도메인으로 통합되어야 할 때 복잡해집니다.
-
각 VRF는 전용 보안 도구 통합이 필요할 수 있으며, 이는 관리 오버헤드를 증가시킵니다.
Cato의 가상화된 SASE 인스턴스(VSI)는 격리된 네트워크 도메인이라는 VRF의 핵심 개념을 가져와 전체 SASE 스택에 걸쳐 확장합니다. 라우팅 레이어만을 격리하는 대신, VSI는 고유한 네트워크 패브릭, 보안 정책, 관리 평면 및 관리 액세스 제어를 갖춘 완전히 독립적인 SASE 환경을 생성합니다.
각 VSI는 사실상 Cato 글로벌 백본 내에서 작동하는 전용 SASE 클라우드 인스턴스입니다. 조직은 단일 Cato 계정 내에서 여러 개의 VSI를 배포할 수 있으며, 각각의 VSI는 별도의 비즈니스 유닛, 환경 유형 또는 자회사의 특정 요구사항에 맞춰져 있습니다.
-
독립 보안 정책 스택 — 방화벽, CASB, DLP, IPS 및 기타 특징들이 각 VSI별로 설정됩니다.
-
분리된 관리 및 데이터 플레인 — 각 VSI는 개별 구성, 트래픽 처리 및 운영 가시성을 가지고 있습니다.
-
세분화된 RBAC — 관리자는 책임이 있는 VSI에만 액세스 권한을 부여받습니다.
-
기능 세트 유연성 — 사용하는 사례 요구사항에 맞추어 각 VSI별로 다른 기능들을 활성화할 수 있습니다.
-
전용 네트워크 토폴로지 — 독립적인 SD-WAN, 라우팅 및 연결성 설정
-
완전한 감사 및 로그 분리 — 각 VSI당 별도의 이벤트 스트림이 제공됩니다.
VSI의 가장 설득력 있는 애플리케이션 중 하나는 조직이 다른 네트워크 인구 — IT 사용자, IoT 장치 및 OT 시스템 —에 대해 독립적인 SASE 환경을 운영할 수 있게 하며, 각 환경에 맞는 보안 상태를 갖추게 합니다.
IT, IoT 및 OT 환경은 극적으로 다른 보안 및 연결성 요구사항을 가지고 있습니다. 기존 VRF 기반 분할은 라우팅을 격리하지만 여전히 공유 보안 인프라 및 관리 도구가 필요하여 위험성과 복잡성을 초래합니다. VSI를 사용하면 각 환경이 독립적인 SASE 인스턴스로 운영됩니다:
IT / IoT / OT VSI 아키텍처
-
IT VSI: 완전한 사용자 중심 보안 스택 — ZTNA, CASB, DLP, 악성 소프트웨어 방지 및 사용자 ID 통합
-
IoT VSI: 경량 연결 프로파일 — 장치 허용, 엄격한 송신 제어 및 최소 공격 표면
-
OT VSI: OT 시스템을 위한 에어갭 스타일 격리, 승인된 데이터 흐름을 위한 정책 제어 연결
각 팀의 관리자는 자신만의 VSI를 관리하여 각 도메인에 대한 전문 지식을 활성화하면서 환경 간의 구성 변경 위험을 제거합니다.
IP 주소 충돌은 인수 또는 합병 후 가장 일반적이고 골치 아픈 통합 과제 중 하나입니다. 인수한 회사가 중첩된 RFC 1918 주소 공간을 사용하는 경우, 관리자는 비용이 많이 들고 방해가 되는 재주소 프로젝트를 수행하거나 복잡한 NAT 기반 해결책을 구현하는 어려운 선택에 직면합니다.
-
IP 재주소 프로젝트는 시간 소모적이고 방해가 되며 비싸서 종종 12-24개월이 소요됩니다.
-
복잡한 이중-NAT 구성은 지연 시간 증가, 애플리케이션 중단 및 지속적 장애 조정 문제를 초래합니다.
-
VRF 기반 해결책은 지속적인 구성 관리가 필요하고 통합 유연성을 제한합니다.
-
공유 관리 인프라는 통합 기간 동안 가시성과 접근 제어 문제를 생성합니다.
VSI를 통해 인수한 회사는 새로운 전용 SASE 인스턴스로 쉽게 온보드 됩니다. 그들의 기존 IP 주소 지정 계획은 완전히 그대로 남아 있습니다. 모회사와 인수한 회사의 VSI는 정밀하고 규칙에 따른 접근 제어로 상호 연결되며, 특정 트래픽 흐름을 허용하면서 경계에서 제로 트러스트 원칙을 구현합니다.
Step 1: 인수한 회사에 새로운 VSI를 스핀업합니다 — 몇 분만 걸리면 됩니다
Step 2: 인수한 회사 사이트, 사용자 및 워크로드를 새로운 VSI에 온보딩합니다
Step 3: 기존 IP 주소 지정 계획을 유지합니다 — 재주소 지정이 필요 없습니다
Step 4: 두 VSI 간의 세부적인 제로 트러스트 접근 권한을 정의합니다
Step 5: IT 통합 프로젝트는 운영 중단 없이 신중한 속도로 진행할 수 있습니다
이 접근 방식은 여러 운영 자회사를 관리하는 지주회사에 특히 잘 맞습니다. 각 자회사(op-co)는 자체 VSI 내에서 일정한 IT 및 네트워크 독립성을 유지할 수 있으며, 모회사는 선택적으로 리소스 또는 서비스를 공유할 수 있는 능력을 가지고 있습니다.
VSI는 고립된 섬이 아닙니다 — Cato는 정책기반 접근 제어가 뿌리내린 제로 트러스트 원칙과 함께 VSI 간의 제어된 상호 연결을 제공합니다. 기존 VRF 디자인의 대역 누출보다 VSI 상호 연결은 다음을 강제합니다:
-
신원 및 컨텍스트 인식 접근 — 누가, 어떤 조건에서 무엇에 접근할 수 있는지
-
애플리케이션 수준 분할 - 전체 서브넷이 아닌 특정 애플리케이션 또는 서비스
-
지속적인 검사가 이루어지며, VSI 경계를 넘나드는 트래픽은 Cato의 보안 스택을 통과합니다.
-
중앙 집중식 정책 가시성 - 상호 연결 규칙은 친숙한 Cato 관리 애플리케이션 내에서 관리됩니다.
이 기능은 VSI 상호 연결을 운영상의 고려 사항에서 일류의 보안 통제 수단으로 변환합니다 — 현대 제로 트러스트 아키텍처에 맞춰 추가적인 인프라 복잡성을 추가하지 않습니다.
가상화된 SASE 인스턴스는 기존 VRF 기술을 넘어서는 근본적인 발전을 나타냅니다. 라우팅 계층에서 전체 SASE 스택으로 고립을 확장하여 — 보안 정책, 관리 플레인, RBAC 및 데이터 플레인을 포함하여 — VSI는 조직이 진정으로 독립적인 네트워크 및 보안 환경을 클라우드 규모로 구축할 수 있게 해줍니다.
IT와 OT를 분리하는 것, 인수 후 통합을 관리하는 것, 지주 회사 구조 내에서 자회사의 독립성을 활성화하는 목표를 위해, VSI는 특정 운영의 단순성과 클라우드 플랫폼의 통일을 결합하여 전용 인프라 배포의 고립을 제공합니다.
댓글 0개
댓글을 남기려면 로그인하세요.