Сегментация сети уже долгое время является краеугольным камнем архитектуры безопасности предприятия. Технология виртуальной маршрутизации и переадресации (VRF) ввела возможность создания изолированных доменов маршрутизации в пределах единственной физической инфраструктуры — мощный концепт, но ограниченный возможностями традиционных сетей. Cato Networks radикально пересмотрела этот концепт с введением Виртуализированных Инстансов SASE (VSI), предоставляя полное изолирование сети и безопасности в эпоху облачного SASE.
VRF позволяет одному физическому маршрутизатору или коммутатору поддерживать несколько независимых таблиц маршрутизации одновременно, включая сеть сегментации без необходимости развертывания отдельной физической инфраструктуры. Хотя это решало ранние требования к сегментации, подход имеет серьезные операционные и архитектурные ограничения в современных сложных корпоративных средах.
- Разделение производственных, разработческих и управленческих сетей
- Изоляция многоарендных сред в общей инфраструктуре
- Соответствие нормативам, требующих разделения сетей
- Разделение сред ИТ и OT/IoT в промышленной среде
- Изоляция маршрутизации только — политики безопасности управляются отдельно для каждого ВРФ, без интегрированного применения
- Сложная меж-ВРФ соединяемость требует утечки маршрута или дополнительной интеграции файервола
- Общая плоскость управления — все ВРФ видны и управляются из одного административного контекста
- Сложность устранения неполадок значительно увеличивается при многократных ВРФ в распределенных средах
- Нет родной изоляции RBAC — все сетевые администраторы обычно имеют видимость всех ВРФ
- Перекрывающиеся пространственные адреса IP становятся сложными, когда трафик должен пересекать границы ВРФ или интегрироваться в общий домен маршрутизации/безопасности.
- Каждый ВРФ может требовать выделенной интеграции инструментов безопасности, увеличивая управленческую нагрузку
Виртуализированный Инстанс SASE Cato (VSI) берет основную концепцию VRF — изолированные домены сетей — и расширяет ее на весь стек SASE. Вместо изолирования только слоя маршрутизации, VSI создает полностью независимую среду SASE с собственным сетевым узлом, политиками безопасности, плоскостью управления и административными контролями доступа.
Каждый VSI фактически является выделенным облачным инстансом SASE, работающим внутри глобальной магистрали Cato. Команды могут внедрять множество VSI в приложении управления Cato, каждый подстраивается под специфические требования отдельного бизнес подразделения, типа среды или дочернего предприятия.
- Независимый стек политики безопасности — Файервол, CASB, DLP, IPS и другое, настроенные по каждому VSI
- Изолированные плоскости управления и данных — каждый VSI имеет отдельные конфигурации, обработку трафика и операционную видимость
- Гранулярный RBAC — предоставление администратору доступа только к тем VSI, за которые он отвечает
- Гибкость набора функций — различные способности включены по каждому VSI для удовлетворения требований использования
- Выделенная топология сети — независимые SD-WAN, маршрутизация и настройки соединяемости
- Полная изоляция аудита и ведения логов — отдельные потоки событий для каждого VSI
Одним из наиболее убедительных применений VSI является предоставление организациям возможности запускать отдельные среды SASE для принципиально разных сетевых популяций — пользователей IT, устройств IoT и систем OT — каждая с независимой позицией безопасности, соответствующей их профилям риска и операционным требованиям.
Среды IT, IoT и OT имеют крайне разные требования к безопасности и подключению. Традиционная сегментация на основе VRF изолирует маршрутизацию, но по-прежнему требует общей инфраструктуры безопасности и управления, создавая риск и сложность. С VSI каждая среда работает как независимый инстанс SASE:
Архитектура IT / IoT / OT VSI
- IT VSI: Полный безопасность централизованная на пользователя — ZTNA, CASB, DLP, предотвращение вредоносных программ, интеграция идентификации пользователя
- IoT VSI: Легкий профиль соединяемости — белый список устройств, строгий контроль выхода, минимальная атака поверхности
- OT VSI: Изоляция по типу воздушного зазора для систем OT, с политически управляемыми соединениями к IT VSI для утвержденных потоков данных
Администраторы каждой команды управляют только своими собственными VSI, исключая риск непреднамеренных изменений конфигурации между средами, при этом обеспечивая специализированную экспертизу для каждого домена.
Конфликты IP-адресов являются одними из самых распространенных и сложных задач интеграции после слияния или приобретения. Когда приобретенная компания использует пересекающееся адресное пространство RFC 1918, администраторы сталкиваются с трудным выбором: приступить к дорогостоящему и разрушительному проекту перенумерации или внедрить сложные обходные решения на базе NAT.
- Проекты по переадресации IP требуют много времени, вызывают нарушения и стоят дорого — часто занимают от 12 до 24 месяцев
- Сложные конфигурации двойного NAT вводят задержку, прерывают приложения и создают устойчивые проблемы устранения неполадок
- Решения на основе ВРФ требуют постоянного управления конфигурацией и ограничивают гибкость интеграции
- Общая инфраструктура управления создает проблемы видимости и контроля доступа во время интеграционного периода
С VSI приобретенная компания просто переводится на новый, выделенный инстанс SASE. Существующая схема адресации IP остается полностью неприкосновенной. VSI родительской компании и VSI приобретенной компании затем взаимосвязаны с точными контролями доступа, управляемыми политикой — позволяет определенные потоки трафика, обеспечивая при этом принципы Zero Trust на границе.
Шаг 1: Создать новый VSI для приобретенной компании — занимает минуты, а не месяцы
Шаг 2: Загрузить сайты, пользователей и рабочие нагрузки приобретенной компании на новый VSI
Шаг 3: Сохранение существующей схемы адресации IP — перенумерация не требуется
Шаг 4: Определить политики межсоединения VSI — гранулированный, Zero Trust доступ между двумя VSI
Шаг 5: Проекты интеграции IT могут продвигаться соизмеримо без операционных сбоев
Этот подход особенно подходит для холдинговых компаний, управляющих несколькими операционными дочерними компаниями (операционными компаниями). Каждая дочерняя компания может поддерживать степень независимости IT и сети в своем собственном VSI, в то время как родительская организация сохраняет надзор и возможность избирательного обмена ресурсами или услугами через границы VSI.
VSI не являются изолированными островами — Cato предоставляет контролируемое межсоединение между VSI с политически ориентированными контролями доступа, укорененными в принципах Zero Trust. Вместо грубого утечки маршрута в традиционных VRF-дизайнах, межсоединение VSI обеспечивает:
- Идентификация и доступ, осведомленные о контексте — кто может получить доступ, и при каких условиях
- Сегментация на уровне приложения - специфические приложения или услуги, а не целые подсети
- Постоянная инспекция — превышающий границы VSI трафик проходит через стек безопасности Cato
- Централизованная видимость политики - правила межсоединений управляются в знакомом приложении управления Cato
Эта возможность преобразует межсоединение VSI из операционного послепланового шага в полноценный контроль безопасности — соответствующий современным архитектурам Zero Trust без внесения дополнительной сложности в инфраструктуру.
| Возможность | Традиционный ВРФ | Cato VSI |
|---|---|---|
| Изоляция маршрутизации | Только уровень 3 | Полный стек SASE (L3–L7) |
| Политики безопасности | Отдельная конфигурация для каждого ВРФ | Независимое по VSI |
| Плоскость управления | Общее | Полностью изолированный |
| RBAC | Ограничено | Гранулярный, по-VSI |
| Межсоединение | Сложная утечка маршрутов | Политика на основе нулевого доверия |
| Перекрывающие IPs (M&A) | Требуется сложный NAT | Поддержка по умолчанию |
| Время предоставления | Дни/недели | Минуты |
| Устранение неполадок | Сложный, многопрофильный | Единое рабочее пространство |
Виртуализированные Инстансы SASE представляют собой фундаментальную эволюцию за пределами традиционной технологии VRF. Расширив изоляцию от маршрутизационного слоя до полного стека SASE — в том числе политика безопасности, плоскость управления, RBAC и плоскость данных — VSI позволяет организациям проектировать действительно независимые сетевые и безопасностные среды на уровне облака.
Независимо от того, является ли целью разделение IT и OT, управление интеграцией после приобретения или обеспечение независимости дочерних компаний в структуре холдинговой компании, VSI обеспечивает изоляцию выделенной развернутой инфраструктуры с операционной простотой объединенной облачной платформы.
0 комментариев
Войдите в службу, чтобы оставить комментарий.