VSI:将VRF分段提升到下一个级别

概览

网络分段长期以来一直是企业安全架构的基石。 虚拟路由和转发(VRF)技术引入了在单一物理基础设施内创建隔离路由域的能力——这是一个强大的概念,但受到传统网络的限制。 Cato Networks通过引入虚拟化的SASE实例(VSI),对该概念进行了彻底的重新构想,将完整的网络和安全隔离带入云原生SASE时代。

传统 VRF 的限制

VRF允许单一物理路由器或交换机同时维护多个独立的路由表,实现网络分段而无需部署单独的物理基础设施。 虽然这解决了早期的分段需求,但这种方法在当今复杂的企业环境中存在显著的操作和架构限制。

传统 VRF 的常见用例

  • 分离生产、开发和管理网络
  • 在共享基础设施中隔离多租户环境
  • 需要网络隔离的监管合规性
  • 分离工业环境中的IT和运营技术/物联网设备设置

操作挑战

  • 仅路由隔离—安全性策略分别每个VRF管理,未进行集成强制
  • 复杂的VRF间连接需要路由泄漏或额外的防火墙集成
  • 共享管理平面—所有VRF都能在同一管理上下文中查看和管理
  • 随着分布式环境中多个VRF的增加,故障排查复杂性显著提升
  • 没有原生RBAC隔离—所有网络管理员通常能看到所有VRF
  • 当流量必须跨越VRF边界或集成到共享路由/安全性域中时,重叠的IP地址空间变得复杂
  • 每个VRF可能需要专用安全性工具集成,增加管理负担

Cato VSI:为SASE时代重新构想的VRF

Cato的虚拟化SASE实例(VSI)采用VRF的核心概念——隔离的网络域——并将其扩展到整个SASE堆栈。 VSI不仅仅隔离路由层,它创建了一个完全独立的SASE环境,拥有自己的网络结构、安全策略、管理平面和管理访问控制。

每个VSI实际上是一个在Cato全球骨干内运行的专用SASE云实例。 组织可以在Cato管理应用程序中部署多个VSI,每个VSI都是为特定业务单元、环境类型或子公司量身定制的

每个VSI提供的内容

  • 独立安全性策略堆栈—防火墙、CASB、DLP、IPS以及其他配置,针对每个VSI进行配置
  • 隔离的管理和数据平面—每个VSI都有独立的配置、流量处理和运营可见性
  • 精细的RBAC—仅授予管理员负责管理的VSI的访问权
  • 功能集灵活性—根据用例要求为每个VSI启用不同功能
  • 专用网络拓扑—独立的SD-WAN、路由和连接设置
  • 完整的审核和日志隔离—每个VSI有独立的事件流

用例1:IT、物联网设备与运营技术的平行环境

VSI的一个最引人注目的应用是使组织能够为本质上不同的网络群体——IT用户、物联网设备和OT系统——运行独立的SASE环境,每个环境都有独立的安全姿态,适合其风险概要和操作要求。

usecase_1.png

为何重要

IT、物联网和OT环境在安全性和连接性要求上有显著不同。 基于传统VRF的分段隔离了路由,但仍需共享安全基础设施和管理工具,带来了风险和复杂性。 借助VSI,每个环境都作为一个独立的SASE实例运行:

IT / 物联网 / OT VSI架构

  • IT VSI:完整的用户中心安全性堆栈—ZTNA、CASB、DLP、恶意软件防护、用户身份集成
  • 物联网设备VSI:轻量级连接属性—设备允许名单、严格出口控制、最小攻击面
  • 运营技术VSI:为运营技术系统提供气隙式隔离,政策控制连接到IT VSI以批准的数据流 

每个团队的管理员仅管理自己的VSI,消除了意外跨环境配置更改的风险,同时支持为每个域提供专业知识。

用例2:合并与收购

IP地址冲突是并购后最常见且最具挑战性的集成挑战之一。 当被收购公司使用互不重叠的RFC 1918地址空间时,管理员面临艰难的选择:进行代价昂贵且具有破坏性的重新寻址项目,或实施复杂的基于NAT的变通方案。

传统方法及其问题

  • IP重新地址项目耗时、破坏性和昂贵—通常耗12到24个月
  • 复杂的双NAT配置导致延迟、应用程序故障并创建持久的故障排除挑战
  • 基于VRF的解决方案要求持续的配置管理并限制集成灵活性
  • 共享管理基础设施在集成期间造成可见性和访问控制问题

VSI方法

借助VSI,被购公司直接在新的、专用的SASE实例中加入。 其现有的IP寻址方案保持完全不变。 母公司的VSI和被购公司的VSI然后通过精确的、基于策略的访问控制相互连接——允许特定流量流动,同时在边界上实施零信任原则。

通过VSI进行的合并与收购集成模式

步骤1:为被收购公司启动一个新的VSI——耗时分钟,非几个月

步骤2:将被收购公司的站点、用户和工作负载加入新的VSI

步骤3:保留现有的IP寻址方案——无需重新寻址

步骤4:定义VSI互联策略——在两个VSI之间进行细粒度的零信任访问

步骤5:IT集成项目可以以可控的步伐继续进行,而不会造成操作中断

usecase_2.png

这种方法特别适合正在管理多个运营子公司的控股公司。 每个子公司可以在自己的VSI内保持一定程度的IT和网络独立性,而母公司却能在VSI边界中拥有控制权并选择性地共享资源或服务。

VSI互连:边界零信任

VSI不是孤立的岛屿——Cato通过基于策略的访问控制提供了VSI之间的受控互联,以零信任原则为基础。 与传统VRF设计的粗粒度路由泄漏不同,VSI互联强制执行:

  • 身份和上下文感知访问—谁能在什么条件下访问
  • 应用程序级别分割—特定应用程序或服务,而不是整个子网
  • 连续检查—跨越VSI边界的流量通过Cato的安全性堆栈
  • 集中的策略可见性—互连规则在熟悉的Cato管理应用程序中管理

这种能力将VSI的互互联从一个操作后的思考转变为一流的安全控制——与现代零信任架构对齐而没有增加额外的基础设施复杂性。

传统VRF与Cato VSI:概况

功能 传统VRF Cato VSI
路由隔离 仅第3层 完整SASE堆栈(L3–L7)
安全性策略 每个VRF单独配置 每个VSI独立配置
管理平面 共享 完全隔离
RBAC 有限 每个VSI精细化
互连 复杂路由泄漏 基于零信任策略
重叠IP(合并与收购) 复杂NAT必填。 原生支持
配置时间 日/周 分钟
故障排除 复杂,多工具 单一面板

概要

虚拟化的SASE实例是超越传统VRF技术的根本演变。 通过将隔离从路由层扩展到完整的SASE堆栈——涵盖安全策略、管理平面、RBAC和数据平面——VSI使组织能够在云规模下架构真正独立的网络和安全环境。

无论目标是分隔IT与OT、管理并购后集成,还是在控股公司结构内实现子公司独立,VSI都能以专用基础设施部署的隔离性,结合统一云平台的操作简便性实现。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论