Сегментация сети уже долгое время является краеугольным камнем архитектуры безопасности предприятия. Технология виртуальной маршрутизации и переадресации (VRF) ввела возможность создания изолированных доменов маршрутизации в пределах единственной физической инфраструктуры — мощный концепт, но ограниченный возможностями традиционных сетей. Cato Networks radикально пересмотрела этот концепт с введением Виртуализированных Инстансов SASE (VSI), предоставляя полное изолирование сети и безопасности в эпоху облачного SASE.
VRF позволяет одному физическому маршрутизатору или коммутатору поддерживать несколько независимых таблиц маршрутизации одновременно, включая сеть сегментации без необходимости развертывания отдельной физической инфраструктуры. Хотя это решало ранние требования к сегментации, подход имеет серьезные операционные и архитектурные ограничения в современных сложных корпоративных средах.
-
Разделение производственных, разработческих и сетей управления
-
Изоляция многоарендных сред в общей инфраструктуре
-
Соответствие нормативным требованиям, требующим сегрегации сети
-
Разделение IT и OT/IoT сред в промышленных установках
-
Изоляция только маршрутизации — политики безопасности управляются отдельно для каждого VRF, без интегрированного применения
-
Подключение сложных меж-VRF требует утечки маршрута или дополнительной интеграции межсетевого экрана
-
Общая плоскость управления — все VRF видны и управляются из одного административного контекста
-
Сложность диагностики увеличивается значительно с увеличением количества VRF в распределенных средах
-
Отсутствие нативной изоляции RBAC — все сетевые администраторы имеют доступ к просмотру через все VRF.
-
Перекрывающиеся пространства IP-адресов становятся сложными, когда трафик должен пересекать границы VRF или интегрироваться в общие домены маршрутизации/безопасности.
-
Каждому VRF может потребоваться интеграция с выделенными инструментами безопасности, что увеличивает накладные расходы на управление.
Виртуализированный Инстанс SASE Cato (VSI) берет основную концепцию VRF — изолированные домены сетей — и расширяет ее на весь стек SASE. Вместо изолирования только слоя маршрутизации, VSI создает полностью независимую среду SASE с собственным сетевым узлом, политиками безопасности, плоскостью управления и административными контролями доступа.
Каждый VSI фактически является выделенным облачным инстансом SASE, работающим внутри глобальной магистрали Cato. Организации могут развернуть несколько VSI в рамках одной учетной записи Cato, каждая из которых адаптирована к конкретным требованиям отдельного бизнес-единицы, типа среды или дочернего предприятия.
-
Независимый стек политик безопасности — межсетевой экран, CASB, DLP, IPS и многое другое, настроенное для каждого VSI
-
Изолированные плоскости управления и данных — каждый VSI имеет отдельную конфигурацию, обработку трафика и операционную видимость
-
Гранулированный RBAC — предоставление доступа администраторам только к тем VSI, за которые они несут ответственность за управление
-
Гибкость набора функций — различные возможности активируются для каждого VSI, чтобы соответствовать требованиям использования
-
Выделенная топология сети — независимая SD-WAN, маршрутизация и настройка подключений
-
Полная изоляция аудита и логирования — отдельные потоки событий для каждого VSI
Одним из наиболее убедительных применений VSI является предоставление организациям возможности запускать отдельные среды SASE для принципиально разных сетевых популяций — пользователей IT, устройств IoT и систем OT — каждая с независимой позицией безопасности, соответствующей их профилям риска и операционным требованиям.
Среды IT, IoT и OT имеют крайне разные требования к безопасности и подключению. Традиционная сегментация на основе VRF изолирует маршрутизацию, но по-прежнему требует общей инфраструктуры безопасности и управления, создавая риск и сложность. С VSI каждая среда работает как независимый инстанс SASE:
Архитектура IT / IoT / OT VSI
-
VSI для IT: Полноценный стек безопасности, ориентированный на пользователей — ZTNA, CASB, DLP, предотвращение вредоносных программ, интеграция идентичности пользователей
-
VSI для IoT: Легкий профиль подключения — разрешение устройства, строгие правила исходящего трафика, минимальная поверхность атак
-
VSI для OT: Изоляция в стиле воздушного зазора для систем OT, с соединениями, контролируемыми политиками, к VSI IT для утвержденных потоков данных
Администраторы каждой команды управляют только своими собственными VSI, исключая риск непреднамеренных изменений конфигурации между средами, при этом обеспечивая специализированную экспертизу для каждого домена.
Конфликты IP-адресов являются одними из самых распространенных и сложных задач интеграции после слияния или приобретения. Когда приобретенная компания использует пересекающееся адресное пространство RFC 1918, администраторы сталкиваются с трудным выбором: приступить к дорогостоящему и разрушительному проекту перенумерации или внедрить сложные обходные решения на базе NAT.
-
Проекты перенумерации IP отнимают много времени, создают нарушения и дороги — часто длятся от 12 до 24 месяцев
-
Сложные конфигурации с двойным NAT вводят задержку, ломают приложения и создают постоянные вызовы для диагностики
-
Обходные пути на основе VRF требуют постоянного управления конфигурацией и ограничивают гибкость интеграции
-
Общая инфраструктура управления создает опасения по поводу видимости и контроля доступа в период интеграции
С VSI приобретенная компания просто переводится на новый, выделенный инстанс SASE. Существующая схема адресации IP остается полностью неприкосновенной. VSI родительской компании и VSI приобретенной компании затем взаимосвязаны с точными контролями доступа, управляемыми политикой — позволяет определенные потоки трафика, обеспечивая при этом принципы Zero Trust на границе.
Шаг 1: Создать новый VSI для приобретенной компании — занимает минуты, а не месяцы
Шаг 2: Загрузить сайты, пользователей и рабочие нагрузки приобретенной компании на новый VSI
Шаг 3: Сохранение существующей схемы адресации IP — перенумерация не требуется
Шаг 4: Определить политики межсоединения VSI — гранулированный, Zero Trust доступ между двумя VSI
Шаг 5: Проекты интеграции IT могут продвигаться соизмеримо без операционных сбоев
Этот подход особенно подходит для холдинговых компаний, управляющих несколькими операционными дочерними компаниями (операционными компаниями). Каждая дочерняя компания может поддерживать степень независимости IT и сети в своем собственном VSI, в то время как родительская организация сохраняет надзор и возможность избирательного обмена ресурсами или услугами через границы VSI.
VSI не являются изолированными островами — Cato предоставляет контролируемое межсоединение между VSI с политически ориентированными контролями доступа, укорененными в принципах Zero Trust. Вместо грубого утечки маршрута в традиционных VRF-дизайнах, межсоединение VSI обеспечивает:
-
Доступ с учетом идентичности и контекста — кто может получить доступ куда, при каких условиях
-
Сегментация на уровне приложений — конкретные приложения или услуги, а не целые подсети
-
Непрерывная инспекция — трафик, пересекающий границы VSI, проходит через стек безопасности Cato
-
Централизованная видимость политики — правила межсоединения управляются в знакомом приложении управления Cato
Эта возможность преобразует межсоединение VSI из операционного послепланового шага в полноценный контроль безопасности — соответствующий современным архитектурам Zero Trust без внесения дополнительной сложности в инфраструктуру.
|
Возможность |
Традиционный VRF |
Cato VSI |
|---|---|---|
|
Изоляция маршрутизации |
Только уровень 3 |
Полный стек SASE (L3–L7) |
|
Политики безопасности |
Отдельные конфигурации per-VRF |
Независимый пер VSI |
|
Управляющая плоскость |
Общая |
Полностью изолированная |
|
RBAC |
Ограничено |
Гранулированный, per-VSI |
|
Межсоединение |
Сложные утечки маршрутов |
Zero Trust на основе политики |
|
Перекрывающиеся IP-адреса (M&A) |
Требуется сложный NAT |
Нативная поддержка |
|
Время настройки |
Дни/недели |
Минуты |
|
Диагностика |
Сложные, многоканальные инструменты |
Единая консоль |
Виртуализированные Инстансы SASE представляют собой фундаментальную эволюцию за пределами традиционной технологии VRF. Расширив изоляцию от маршрутизационного слоя до полного стека SASE — в том числе политика безопасности, плоскость управления, RBAC и плоскость данных — VSI позволяет организациям проектировать действительно независимые сетевые и безопасностные среды на уровне облака.
Независимо от того, является ли целью разделение IT и OT, управление интеграцией после приобретения или обеспечение независимости дочерних компаний в структуре холдинговой компании, VSI обеспечивает изоляцию выделенной развернутой инфраструктуры с операционной простотой объединенной облачной платформы.
0 комментариев
Войдите в службу, чтобы оставить комментарий.