Como a Cato entrega segurança e redes sem comprometer a soberania de dados
A soberania digital está cada vez mais moldando como as organizações projetam, adquirem e operam suas infraestruturas de tecnologia. Para governos, organizações internacionais, operadores de infraestrutura crítica e empresas regulamentadas, as questões estão se tornando muito específicas: Meu tráfego está contido dentro da região? Onde é inspecionado? Onde são tomadas as decisões de segurança? Onde são armazenados a telemetria e logs? As respostas agora influenciam diretamente a compra de tecnologia e as decisões de gerenciamento de risco.
Esta tendência não está desacelerando. Conforme as regulamentações de soberania de dados e políticas de segurança nacional proliferam pelas regiões, os requisitos estão se tornando mais específicos, mais auditáveis e mais difíceis de satisfazer com infraestrutura em nuvem genérica.
Por trás dessa mudança estão vários fatores de reforço:
- Estruturas regulatórias: GDPR, NIS2 e DORA na UE, junto com estruturas nacionais equivalentes globalmente, exigem controles demonstráveis sobre onde os Dados são processados, quem opera a infraestrutura e como os Valores cruzam fronteiras.
- Risco geopolítico: leis como o Acesso à Nuvem dos EUA CLOUD Act e FISA Seção 702 criam mecanismos para que governos estrangeiros forcem o acesso aos Dados mantidos por Fornecedores sediados em sua jurisdição, independentemente de onde os Dados estão fisicamente localizados. O domicílio do Fornecedor tornou-se uma consideração material para a contratação de organizações com exposição transfronteiriça.
- Mandatos setoriais: reguladores de serviços financeiros (EBA, BaFin), agências de defesa e estruturas de compras governamentais tratam cada vez mais os controles de soberania como condição prévia para a qualificação de fornecedores em setores regulados e sensíveis.
Quando as organizações avaliam o SASE soberano, a conversa geralmente começa com geografia: onde estão os servidores e qual lei do país se aplica? Essas são perguntas necessárias. Mas elas perdem uma questão mais fundamental: a arquitetura interna da própria plataforma SASE determina se compromissos de soberania podem realmente ser feitos e mantidos.
Ao avaliar qualquer fornecedor SASE para implantações soberanas, algumas perguntas simples cortam o marketing:
- Todos os serviços SASE, tais como SD-WAN, SWG, CASB/DLP, AI-Security, executam em uma única plataforma convergente, com um plano de controle, um plano de dados e um data lake, ou é uma coleção de plataformas separadas?
- O Fornecedor possui e opera sua própria infraestrutura de nuvem ou depende de hyperscalers terceirizados?
- O Fornecedor pode fornecer um escopo de auditoria único cobrindo todos os serviços ou cada componente requer uma avaliação de conformidade separada?
- Onde os dados do Cliente são armazenados em todos os componentes do Serviço, e sob qual jurisdição legal?
As respostas a estas perguntas determinam se um fornecedor pode fazer compromissos de soberania vinculativos e se esses compromissos cobrem o serviço inteiro ou apenas parte dele.
Cato foi construído como uma plataforma única desde o princípio. Cada capacidade (SD-WAN, FWaaS, SWG, IPS, CASB, DLP, ZTNA, RBI e Segurança com IA) opera em um plano de dados unificado e um plano de controle unificado. Os dados dos clientes são mantidos em um único data lake, sob um único framework de controle de acesso, dentro de um único limite regional.
95+ PoPs globais da Cato operam em infraestrutura física de propriedade da Cato em centros de dados de Tier-4, alimentados por hardware de GPU criado especialmente para processamento de segurança orientado por IA. Todo processamento de rede e segurança ocorre no PoP localmente conectado. Não há encadeamento de serviços ou encadeamento de serviços entre diferentes PoPs, produtos ou plataformas.
Para avaliações de soberania, isso se traduz diretamente em menor complexidade e risco reduzido: um escopo de auditoria, um armazenamento de dados, uma entidade regional legal e um conjunto de obrigações contratuais cobrindo o serviço inteiro.
Cato oferece três configurações de implantação soberana. Os três operam na mesma plataforma SASE Cato com o mesmo conjunto completo de recursos. A escolha do modelo determina quem possui e opera a infraestrutura, não quais capacidades estão disponíveis.
| Modelo de Implantação | Cliente Típico | Adequação Regulatória |
|---|---|---|
| Nuvem Pública SASE Soberana | Empresas Reguladas | GDPR, NIS2, DORA, mandatos setoriais |
| Nuvem SASE Soberana para Provedores de Serviço | Operadoras Nacionais, MSPs, MSSPs | Estruturas nacionais, infraestrutura crítica |
| Nuvem SASE Soberana para Clientes | Governo, defesa, instituições financeiras | Classificação mais alta |
Melhor para empresas reguladas cujos requisitos de soberania podem ser satisfeitos pela infraestrutura pública regional da Cato.
- Instâncias regionais do CMA (Aplicativo de Gerenciamento Cato) oferecem serviços de controle e gerenciamento de plano. Atualmente disponível nos EUA, UE, Índia e Japão, com mais instâncias regionais planejadas para implantação futura. A política, configuração e dados de evento do Cliente estão ancorados na região selecionada e não a deixam.
- PoPs regionais da Cato (plano de dados) atendem clientes dentro do seu limite geográfico, garantindo que a inspeção de tráfego e a aplicação de segurança ocorram na região.
- Opções de geo-fencing granular estão disponíveis para todos os Serviços SASE. Os Administradores podem configurar políticas para garantir que o Tráfego seja processado exclusivamente por Pops regionais e permaneça dentro do limite regional definido durante todo o seu ciclo de vida.
Melhor para organizações que exigem controle de infraestrutura privada entregue por um operador de telecomunicações nacional ou MSSP.
- O Provedor de Serviço implanta PoPs Privados Cato em sua própria infraestrutura soberana, mantendo controle físico total sobre o plano de dados.
- Duas opções de plano de controle: o plano de controle pode ser executado na instância regional pública da CMA da Cato para simplicidade operacional, ou o Provedor de Serviço pode implantar e operar uma instância CMA privada dedicada para controle total do plano de gerenciamento. Com a opção CMA Privada, as chaves de Criptografia são geridas pelo Provedor de Serviço que possui a instância CMA.
-
O provedor de serviços regional tem controle operacional do serviço. Cato gerencia o ciclo de vida do software (atualizações, patches, lançamentos de recursos) de forma transparente em segundo plano.
- A principal vantagem dessa abordagem é que o Tráfego é transportado pela própria rede e infraestrutura de última milha do Provedor de Serviço, em vez de atravessar redes de trânsito de terceiros. Isso permite que o tráfego do Cliente permaneça dentro do domínio de rede localmente regulamentado e em conformidade com o Provedor de Serviço, alinhando-se com os requisitos nacionais de residência de dados, soberania e acesso legal. Como resultado, tanto o fluxo de tráfego quanto o controle operacional aderem às estruturas regulatórias regionais.
Melhor para agências governamentais, organizações de defesa e instituições financeiras com requisitos de soberania e classificação de segurança mais elevados.
- O Cliente hospeda tanto os PoPs Privados (plano de dados) quanto a instância CMA (plano de controle) em seus próprios data centers ou infraestrutura soberana.
- Duas opções de plano de controle: os Clientes podem usar a CMA pública regional da Cato ou implantar e operar sua própria CMA privada para total propriedade do plano de gerenciamento. Com a opção CMA Privada, as chaves de Criptografia são geridas pelo Cliente que possui a instância CMA.
- O Cliente tem controle físico e operacional sobre todos os Componentes do Serviço. A Cato fornece a plataforma de software e gerencia o ciclo de vida do software.
Arquitetura e modelo de implantação são necessários, mas não suficientes para soberania. A relação legal entre o cliente e o fornecedor é igualmente importante.
Cato estabeleceu entidades legais regionais incorporadas sob a lei local em jurisdições chave. Essas entidades servem como a parte contratante para clientes em sua região, garantindo que a relação legal e todas as obrigações que cria sejam governadas e aplicáveis sob a lei local.
As entidades legais regionais da Cato atualmente incluem:
- Estados Unidos
- Alemanha (UE)
- Países Baixos (UE)
- Itália (UE)
- França (UE)
- Cingapura
- Reino Unido
- Austrália
- Japão
- Filipinas
- Israel
- Jurisdições adicionais enquanto a Cato continua a expandir sua presença regional
Além das entidades legais, Cato opera equipes de suporte regionais que fornecem suporte técnico na região. Os clientes beneficiam-se do suporte fornecido por equipe operando sob o mesmo framework legal e limite jurisdicional de sua implantação.
A Cato Networks oferece SASE soberano por meio de uma combinação de três princípios fundamentais:
- Arquitetura de plataforma única: um plano de dados, um plano de controle e um data lake. Todo o processamento acontece no PoP regional localmente conectado. Isso elimina o escopo fragmentado de auditoria e a complexidade de conformidade inerentes a plataformas multi-produto costuradas. O geo-fencing é facilmente alcançado para sites conectados e usuários ZTNA.
- Modelos de implantação SASE flexíveis: Três opções de implantação soberana (Nuvem Pública Regional, SASE Privado para Provedores de Serviço, SASE Privado para Clientes) acomodam os requisitos de soberania.
- Estrutura legal regional: entidades legais regionais nos EUA, UE (Países Baixos, Alemanha, França, Itália), Reino Unido, Cingapura, Austrália, Japão, Filipinas, Israel, e mais garantem que os contratos com os clientes sejam regidos por leis locais, e que as obrigações regulamentares sejam aplicáveis localmente.
0 comentário
Por favor, entre para comentar.