在Cato Networks的SASE主权

Cato如何在不妥协数据主权的情况下提供安全性和网络设备

概览

数字主权正越来越多地影响组织设计、采购和运营其技术基础设施的方式。 对于政府、国际组织、关键基础设施运营商和受监管企业,问题变得非常具体:我的流量是否在区域内? 在哪里检查? 安全性决策是在哪里做出的? 遥测和日志存储在哪里? 现在的回答直接影响技术采购和风险管理的决策。

这种趋势没有放缓。 随着数据主权法规和国家安全政策在各地区不断增加,要求变得更加具体、可审计,并且难以用通用云基础设施满足。

在这一转变的背后,有几个驱动因素:

  • 监管框架:欧盟的 GDPR、NIS2 和 DORA,以及全球的等效国家框架,要求对数据处理位置、基础设施运营者以及跨境数据流动的治理进行可验证的控制。
  • 地缘政治风险:美国 CLOUD 法案和 FISA 第 702 条款等法律为外国政府提供强制访问位于其管辖区内的供应商持有的数据的机制,无论数据的实际存储位置。 供应商居住地已成为具有跨境风险的组织的重要采购考虑因素。
  • 行业要求:金融服务监管机构(EBA、BaFin)、国防机构和政府采购框架日益将主权控制视为监管和敏感行业中供应商资格的先决条件。

为何 SASE 架构对主权重要

当组织评估主权 SASE 时,讨论通常从地理位置开始:服务器在哪里?适用哪个国家的法律? 这些是必要的问题。 但它们忽略了更根本的问题:SASE 平台的内部架构本身决定了是否可以实现和维护主权承诺。

在对任何主权部署的 SASE 供应商进行评估时,有几个直接的问题可以排除市场噪音:

  • SASE 服务如 SD-WAN、SWG、CASB/DLP、AI-Security 是否在一个统一的平台上运行,具有一个控制平面、一个数据平面和一个数据湖,还是属于独立的平台集群?
  • 供应商是否拥有并运营其云基础设施,还是依赖于第三方超大规模企业?
  • 供应商能否提供涵盖所有服务的单一审计范围,还是每个组件都需要单独的合规评估?
  • 客户数据在服务的所有组件中存储在哪些位置,并受哪个法律管辖?

对这些问题的回答决定了供应商能否做出具有约束力的主权承诺,以及这些承诺是涵盖整个服务还是仅限于某些部分。

Cato 统一架构

Cato 是从零构建为单个平台的。 每项功能(SD-WAN、FWaaS、SWG、IPS、CASB、DLP、ZTNA、RBI 和 AI 安全)都在一个统一的数据平面和控制平面上运行。 客户数据保存在单一的数据湖中,在单一的访问控制框架下,并在一个区域性边界内。

Cato 的 95 多个全球 PoP 运行在 Cato 拥有的 Tier-4 数据中心的物理基础设施上,使用为 AI 驱动的安全处理量身定制的 GPU 硬件。 所有网络和安全处理都在本地连接的 PoP 进行。 没有反向传输,也没有不同 PoP、产品或平台之间的服务链。

对于主权评估,这直接转化为降低复杂性和降低风险:一个审计范围,一个数据存储,一个法律上的区域实体,以及一套涵盖整个服务的合同义务。

Cato 主权 SASE 部署模型

Cato 提供三种主权部署配置。 这三种配置都在相同的 Cato SASE 平台上运行,具有相同的完整功能集。 模型的选择决定了谁拥有和操作基础设施,而不是可用的功能。

部署模型 典型客户 合规适配
主权公共 SASE 云 受监管企业 GDPR、NIS2、DORA、行业要求
服务提供商的主权 SASE 云 国家电信公司、MSP、MSSP 国家框架,关键基础设施
客户的主权 SASE 云 政府、国防、金融机构 最高分类
SASE.png

主权公共 SASE 云

最适合那些通过 Cato 的区域公共基础设施即可满足主权要求的受监管企业。

  • 区域 CMA(Cato 管理应用程序)实例提供控制和管理平面服务。 目前在美国、欧盟、印度和日本可用,计划未来部署更多区域实例。 客户策略、配置和事件数据固定在选定区域内,并不离开该区域。
  • 区域 Cato PoPs(数据平面)服务于其地理边界内的客户,确保流量检查和安全规定在区域内执行。
  • 所有 SASE 服务均提供细粒度的地理围栏选项。 管理员可以配置策略,以确保流量仅由区域 PoPs 处理,并在其生命周期内保持在定义的区域边界内。

服务提供商的主权 SASE 云

最适合需要通过国家电信运营商或托管安全服务商提供的私有基础设施控件的组织。

  • 服务提供商在其自己的主权基础设施内部署 Cato 私有 PoPs,全面控制数据平面。
  • 两种控制平面选项:控制平面可以在 Cato 的区域公共 CMA 实例上运行,实现操作简单,或者服务提供商可以部署并运营专用的私有 CMA 实例,以全面掌控管理平面。 通过私有 CMA 选项,服务提供商负责管理加密密钥。

  • 区域服务提供商拥有该服务的运营控制权。 Cato 在后台透明地管理软件生命周期(更新、补丁、功能推出)。

    • 这种方法的一大优势在于流量通过服务提供商自己的主干网和最后一公里基础设施传输,而不是通过第三方中转网络。 这样可以让客户流量留在服务提供商合规的、本地监管的网络域内,符合国家数据驻留、主权和合法访问要求。 因此,流量流动和操作控制均遵循区域法规框架。

客户的主权 SASE 云

最佳政府机构、国防组织及拥有最高主权和安全分类需求的金融机构。

  • 客户将私有 PoPs(数据平面)和 CMA 实例(控制平面)托管在自己的数据中心或主权基础设施内。
  • 两种控制平面选项:客户可以使用 Cato 的区域公共 CMA,或部署并运营自己的私有 CMA,以全面掌控管理平面所有权。 通过私有 CMA 选项,客户负责管理加密密钥。
  • 客户全面掌控服务的每个组件的物理和操作。 Cato 提供软件平台并管理软件生命周期。

区域法律实体和支持

架构和部署模型是主权所需但不足够的条件。 客户与供应商之间的法律关系同样重要。

Cato 已在关键管辖区根据当地法律成立区域法律实体。 这些实体作为其地区内客户的合同方,确保法律关系及其产生的所有义务由当地法律管辖并可执行。

Cato 目前的区域法律实体包括:

  • 美国
  • 德国(欧盟)
  • 荷兰(欧盟)
  • 意大利(欧盟)
  • 法国(欧盟)
  • 新加坡
  • 英国
  • 澳大利亚
  • 日本
  • 菲律宾
  • 以色列
  • 随着 Cato 继续扩展区域业务,未来将有更多司法管辖区。

除了法律实体外,Cato 还运营区域支持团队,在该区域提供技术支持。 客户受益于由在相同法律框架和司法边界下操作的员工提供的支持。

摘要

Cato Networks 通过三项基本原则为主权 SASE 提供服务:

  • 单平台架构:一个数据平面,一个控制平面和一个数据湖。 所有处理过程都在本地连接的区域 PoP 进行。 这消除了拼凑多产品平台中固有的分散审计范围和合规复杂性。 对连接站点和 ZTNA 用户轻松实现地理围栏。
  • 灵活的 SASE 部署模型:三种主权部署选项(区域公共云、服务提供商的私有 SASE、客户的私有 SASE)满足主权要求。
  • 区域法律架构:美国、欧盟(荷兰、德国、法国、意大利)、英国、新加坡、澳大利亚、日本、菲律宾、以色列及其他地区的区域法律实体确保客户合同由当地法律管辖,监管义务在当地可执行。

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论