A segmentação de rede tem sido por muito tempo uma pedra angular da arquitetura de segurança empresarial. A tecnologia de Virtual Routing and Forwarding (VRF) introduziu a capacidade de criar domínios de roteamento isolados dentro de uma única infraestrutura física — um conceito poderoso, mas limitado pelas restrições do networking tradicional. A Cato Networks fundamentalmente reimaginou esse conceito com a introdução das Instâncias SASE Virtualizadas (VSI), trazendo isolamento total de rede e segurança para a era SASE nativa da nuvem.
O VRF permite que um único roteador ou switch físico mantenha múltiplas tabelas de roteamento independentes simultaneamente, possibilitando a segmentação de rede sem a necessidade de implantar infraestrutura física separada. Embora isso tenha resolvido os primeiros requisitos de segmentação, a abordagem acarreta limitações operacionais e arquitetônicas significativas nos complexos ambientes empresariais de hoje.
-
Separar redes de produção, desenvolvimento e gerenciamento
-
Isolar ambientes de multi-locatário em infraestrutura compartilhada
-
Conformidade regulatória exigindo segregação de rede
-
Separar ambientes de TI e OT/IoT em configurações industriais
-
Isolamento de roteamento somente — políticas de segurança são gerenciadas separadamente por VRF, sem aplicação integrada
-
A conectividade complexa entre VRFs requer vazamento de rotas ou integração adicional com firewalls
-
Plano de gerenciamento compartilhado — todos os VRFs são visíveis e gerenciados a partir do mesmo contexto administrativo
-
A complexidade no troubleshooting aumenta significativamente com múltiplos VRFs em ambientes distribuídos
-
Sem isolamento RBAC nativo — todos os administradores de rede geralmente têm visibilidade em todos os VRFs
-
Os espaços de endereços IP sobrepostos tornam-se complexos quando o tráfego deve atravessar limites VRF ou serem integrados em um domínio de roteamento/segurança compartilhado.
-
Cada VRF pode exigir integração dedicada de ferramentas de segurança, multiplicando o overhead de gerenciamento
A Instância SASE Virtualizada (VSI) da Cato leva o conceito fundamental de VRF - domínios de rede isolados - e o estende por todo o stack SASE. Em vez de isolar apenas a camada de roteamento, um VSI cria um ambiente SASE totalmente independente com seu próprio tecido de rede, políticas de segurança, plano de gerenciamento e controles de acesso administrativos.
Cada VSI é, de fato, uma instância dedicada na nuvem SASE operando dentro da espinha dorsal global da Cato. As organizações podem implantar múltiplos VSIs dentro de uma única conta da Cato, cada um ajustado aos requisitos específicos de uma unidade de negócios distinta, tipo de ambiente ou subsidiária.
-
Pilha independente de políticas de segurança — Firewall, CASB, DLP, IPS e mais, configurados por VSI
-
Planos de gerenciamento e dados isolados — cada VSI possui configuração separada, gerenciamento de tráfego e visibilidade operacional
-
RBAC granular — apenas concede acesso aos administradores para os VSIs que são responsáveis por gerenciar
-
Flexibilidade do conjunto de recursos — diferentes capacidades habilitadas por VSI para corresponder aos requisitos do caso de uso
-
Topologia de rede dedicada — configuração independente de SD-WAN, roteamento e conectividade
-
Isolamento total de auditoria e logs — fluxos de eventos separados por VSI
Um dos aplicativos mais convincentes do VSI é habilitar as organizações a operar ambientes distintos de SASE para populações de rede fundamentalmente diferentes — usuários de TI, dispositivos IoT e sistemas OT — cada um com posturas de segurança independentes apropriadas aos seus perfis de risco e requisitos operacionais.
Ambientes de TI, IoT e OT têm requisitos de segurança e conectividade dramaticamente diferentes. A segmentação baseada em VRF tradicional isola o roteamento, mas ainda assim requer infraestrutura de segurança compartilhada e ferramentas de gerenciamento, criando risco e complexidade. Com o VSI, cada ambiente opera como uma instância SASE independente:
Arquitetura VSI TI / IoT / OT
-
VSI TI: Pilha de segurança centrada no usuário — ZTNA, CASB, DLP, prevenção de malware, integração de identidade do usuário
-
VSI IoT: Perfil de conectividade leve — lista de permissão de dispositivo, controles de saída estritos, superfície mínima de ataque
-
VSI OT: Isolamento ao estilo air gap para sistemas OT, com conexões controladas por políticas para o VSI IT para fluxos de dados aprovados
Os administradores de cada equipe gerenciam somente seu próprio VSI, eliminando o risco de alterações de configuração inadvertidas entre ambientes enquanto permite uma especialização para cada domínio.
Conflitos de endereço IP estão entre os desafios de integração mais comuns e desafiadores após uma fusão ou aquisição. Quando a empresa adquirida usa espaço de endereço sobreposto RFC 1918, administradores enfrentam uma escolha difícil: realizar um projeto de reendereçamento caro e disruptivo, ou implementar soluções de contorno complexas baseadas em NAT.
-
Projetos de reendereçamento de IP são demorados, disruptivos e caros — muitas vezes durando de 12 a 24 meses
-
Configurações complexas de double-NAT introduzem latência, quebram aplicativos e criam desafios persistentes de troubleshooting
-
Soluções de contorno baseadas em VRF exigem gerenciamento de configuração contínuo e limitam a flexibilidade de integração
-
A infraestrutura de gerenciamento compartilhada cria preocupações de visibilidade e controle de acesso durante o período de integração
Com o VSI, a empresa adquirida é simplesmente integrada em uma nova instância SASE dedicada. Seu esquema de endereçamento IP existente permanece completamente intacto. A VSI da empresa matriz e a VSI da empresa adquirida estão então interconectadas com controles de acesso precisos e governados por políticas — permitindo fluxos de tráfego específicos enquanto aplica princípios de Confiança Zero na fronteira.
Passo 1: Criar uma nova VSI para a empresa adquirida — leva minutos, não meses
Passo 2: Integrar sites, usuários e cargas de trabalho da empresa adquirida na nova VSI
Passo 3: Manter o esquema de endereçamento IP existente — não é necessário reendereçamento
Passo 4: Definir políticas de interconexão VSI — acesso granular e de Confiança Zero entre os dois VSIs
Passo 5: Projetos de integração de TI podem prosseguir em um ritmo medido sem interrupção operacional
Essa abordagem é especialmente adequada para empresas holdings que gerenciam múltiplas subsidiárias operacionais (op-cos). Cada op-co pode manter um grau de independência de TI e rede dentro de seu próprio VSI, enquanto a organização matriz retém a governança e a capacidade de compartilhar seletivamente recursos ou serviços entre fronteiras de VSI.
Os VSIs não são ilhas isoladas — a Cato fornece interconexão controlada entre VSIs com controles de acesso baseados em política enraizados em princípios de Confiança Zero. Em vez do vazamento de rota em granulação grossa dos designs tradicionais de VRF, a interconexão VSI aplica:
-
Acesso orientado pela identidade e contexto — quem pode alcançar o quê, sob quais condições
-
Segmentação ao nível de aplicação - aplicativos ou serviços específicos, e não sub-redes inteiras
-
Inspeção contínua — o tráfego que cruza fronteiras de VSI passa pela pilha de segurança da Cato
-
Visibilidade centralizada de políticas - regras de interconexão são gerenciadas dentro do aplicativo de gerenciamento familiar da Cato
Esta capacidade transforma a interconexão de VSI de um pensamento posterior operacional em um controle de segurança classe A — alinhando-se com arquiteturas modernas de Confiança Zero sem introduzir complexidade adicional de infraestrutura.
|
Capacidade |
VRF Tradicional |
Cato VSI |
|---|---|---|
|
Isolamento de Roteamento |
Apenas Camada 3 |
Stack SASE Completo (L3–L7) |
|
Políticas de Segurança |
Configuração por VRF separada |
Independente por VSI |
|
Plano de Gerenciamento |
Compartilhado |
Totalmente isolado |
|
RBAC |
Limitado |
Granular, por VSI |
|
Interconexão |
Vazamento de rota complexo |
Baseada em política de Confiança Zero |
|
IPs sobrepostos (M&A) |
NAT Complexo necessário |
Suporte nativo |
|
Tempo de Provisionamento |
Dias/semanas |
Minutos |
|
Troubleshooting |
Complexo, multi-ferramentas |
Console Único |
As Instâncias SASE Virtualizadas representam uma evolução fundamental além da tecnologia VRF tradicional. Ao estender o isolamento da camada de roteamento para o stack SASE completo — abrangendo política de segurança, plano de gerenciamento, RBAC e plano de dados — o VSI permite que organizações arquitetem ambientes de rede e segurança verdadeiramente independentes em escala de nuvem.
Se o objetivo é separar TI de OT, gerenciar uma integração pós-aquisição ou possibilitar a independência de subsidiárias em uma estrutura de holding, o VSI oferece o isolamento de uma implantação de infraestrutura dedicada com a simplicidade operacional de uma plataforma de nuvem unificada.
0 comentário
Por favor, entre para comentar.