VSI:将VRF分段提升到下一个级别

概述

网络分段长期以来一直是企业安全架构的基石。 虚拟路由和转发(VRF)技术引入了在单一物理基础设施内创建隔离路由域的能力——这是一个强大的概念,但受到传统网络的限制。 Cato Networks通过引入虚拟化的SASE实例(VSI),对该概念进行了彻底的重新构想,将完整的网络和安全隔离带入云原生SASE时代。

传统VRF的限制

VRF允许单一物理路由器或交换机同时维护多个独立的路由表,实现网络分段而无需部署单独的物理基础设施。 虽然这解决了早期的分段需求,但这种方法在当今复杂的企业环境中存在显著的操作和架构限制。

传统VRF的常见用例

  • 隔离生产、开发和管理网络

  • 在共享基础设施中隔离多租户环境

  • 符合规范要求的网络隔离

  • 在工业环境中隔离IT和OT/物联网环境

操作挑战

  • 仅路由隔离——安全策略分别由每个VRF管理,缺少集成执行。

  • 复杂的VRF间连接需要路由泄漏或额外的防火墙集成

  • 共享管理平面——所有VRF在同一管理上下文中可见和管理

  • 在分布式环境中多个VRF的复杂故障排除显著增加

  • 缺乏本地RBAC隔离——所有网络管理员通常都可以访问所有VRF

  • 当流量必须穿越VRF边界或被整合到共享路由/安全域时,重叠的IP地址空间会变得复杂。

  • 每个VRF可能需要独立的安全工具集成,使管理开销倍增

Cato VSI:为SASE时代重新想象的VRF

Cato的虚拟化SASE实例(VSI)采用VRF的核心概念——隔离的网络域——并将其扩展到整个SASE堆栈。 VSI不仅仅隔离路由层,它创建了一个完全独立的SASE环境,拥有自己的网络结构、安全策略、管理平面和管理访问控制。

每个VSI实际上是一个在Cato全球骨干内运行的专用SASE云实例。 组织可以在单个Cato账户中部署多个VSI,每个VSI根据不同业务单元、环境类型或子公司的特定需求进行定制。

每个VSI提供什么

  • 独立的安全策略堆栈——防火墙、CASB、DLP、IPS等,每个VSI配置

  • 隔离的管理和数据平面——每个VSI都有独立的配置、流量处理和操作可视性

  • 细粒度RBAC——仅授予管理员访问他们负责管理的VSI的权限

  • 功能集的灵活性——根据使用案例要求针对每个VSI启用不同的功能

  • 专用网络拓扑——独立的SD-WAN、路由和连接性设置

  • 全面的审核和日志隔离——每个VSI的独立事件流

用例1:为IT、物联网和OT提供平行环境

VSI的一个最引人注目的应用是使组织能够为本质上不同的网络群体——IT用户、物联网设备和OT系统——运行独立的SASE环境,每个环境都有独立的安全姿态,适合其风险概要和操作要求。

usecase_1.png

为何重要

IT、物联网和OT环境在安全性和连接性要求上有显著不同。 基于传统VRF的分段隔离了路由,但仍需共享安全基础设施和管理工具,带来了风险和复杂性。 借助VSI,每个环境都作为一个独立的SASE实例运行:

IT / 物联网 / OT VSI架构

  • IT VSI: 以用户为中心的完整安全堆栈——ZTNA、CASB、DLP、防止恶意软件、用户身份集成

  • 物联网VSI: 轻量级连接性配置文件——设备清单、严格的出口控制、最小化攻击面

  • OT VSI:OT系统的隔离式隔离,具有策略控制与IT VSI的连接,以实现批准的数据流 

每个团队的管理员仅管理自己的VSI,消除了意外跨环境配置更改的风险,同时支持为每个域提供专业知识。

用例2:并购

IP地址冲突是并购后最常见且最具挑战性的集成挑战之一。 当被收购公司使用互不重叠的RFC 1918地址空间时,管理员面临艰难的选择:进行代价昂贵且具有破坏性的重新寻址项目,或实施复杂的基于NAT的变通方案。

传统方法及其问题

  • IP重新寻址项目耗时、破坏性大且成本高昂——通常持续12-24个月

  • 复杂的双重NAT配置引入延迟、中断应用程序,并带来持续的故障排除挑战

  • 基于VRF的变通方案需要持续的配置管理,并限制集成的灵活性

  • 共享的管理基础设施在集成期间产生可见性和访问控制问题

VSI方法

借助VSI,被购公司直接在新的、专用的SASE实例中加入。 其现有的IP寻址方案保持完全不变。 母公司的VSI和被购公司的VSI然后通过精确的、基于策略的访问控制相互连接——允许特定流量流动,同时在边界上实施零信任原则。

M&A集成模式与VSI

步骤1:为被收购公司启动一个新的VSI——耗时分钟,非几个月

步骤2:将被收购公司的站点、用户和工作负载加入新的VSI

步骤3:保留现有的IP寻址方案——无需重新寻址

步骤4:定义VSI互联策略——在两个VSI之间进行细粒度的零信任访问

步骤5:IT集成项目可以以可控的步伐继续进行,而不会造成操作中断

usecase_2.png

这种方法特别适合正在管理多个运营子公司的控股公司。 每个子公司可以在自己的VSI内保持一定程度的IT和网络独立性,而母公司却能在VSI边界中拥有控制权并选择性地共享资源或服务。

VSI互联:边界上的零信任

VSI不是孤立的岛屿——Cato通过基于策略的访问控制提供了VSI之间的受控互联,以零信任原则为基础。 与传统VRF设计的粗粒度路由泄漏不同,VSI互联强制执行:

  • 身份和情境感知的访问——何时可以访问什么,在什么条件下

  • 应用程序级别的分段 - 特定应用程序或服务,而不是整个子网

  • 持续检查——跨越VSI边界的流量通过Cato的安全堆栈

  • 集中化的策略可见性 - 互联规则在熟悉的Cato管理应用程序中进行管理

这种能力将VSI的互互联从一个操作后的思考转变为一流的安全控制——与现代零信任架构对齐而没有增加额外的基础设施复杂性。

传统VRF与Cato VSI:一目了然

功能

传统VRF

Cato VSI

路由隔离

仅第三层

完整SASE堆栈(L3-L7)

安全策略

每个VRF单独配置

每个VSI独立

管理平面

共享

完全隔离

RBAC

有限

细粒度,每个VSI

互联

复杂路由泄漏

基于零信任策略

IP重叠(并购)

需要复杂的NAT

本地支持

供应时间

天/周

分钟

故障排除

复杂,多工具

单一控制台

总结

虚拟化的SASE实例是超越传统VRF技术的根本演变。 通过将隔离从路由层扩展到完整的SASE堆栈——涵盖安全策略、管理平面、RBAC和数据平面——VSI使组织能够在云规模下架构真正独立的网络和安全环境。

无论目标是分隔IT与OT、管理并购后集成,还是在控股公司结构内实现子公司独立,VSI都能以专用基础设施部署的隔离性,结合统一云平台的操作简便性实现。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论