网络分段长期以来一直是企业安全架构的基石。 虚拟路由和转发(VRF)技术引入了在单一物理基础设施内创建隔离路由域的能力——这是一个强大的概念,但受到传统网络的限制。 Cato Networks通过引入虚拟化的SASE实例(VSI),对该概念进行了彻底的重新构想,将完整的网络和安全隔离带入云原生SASE时代。
VRF允许单一物理路由器或交换机同时维护多个独立的路由表,实现网络分段而无需部署单独的物理基础设施。 虽然这解决了早期的分段需求,但这种方法在当今复杂的企业环境中存在显著的操作和架构限制。
Cato的虚拟化SASE实例(VSI)采用VRF的核心概念——隔离的网络域——并将其扩展到整个SASE堆栈。 VSI不仅仅隔离路由层,它创建了一个完全独立的SASE环境,拥有自己的网络结构、安全策略、管理平面和管理访问控制。
每个VSI实际上是一个在Cato全球骨干内运行的专用SASE云实例。 组织可以在Cato管理应用程序中部署多个VSI,每个VSI都是为特定业务单元、环境类型或子公司量身定制的
VSI的一个最引人注目的应用是使组织能够为本质上不同的网络群体——IT用户、物联网设备和OT系统——运行独立的SASE环境,每个环境都有独立的安全姿态,适合其风险概要和操作要求。
IT、物联网和OT环境在安全性和连接性要求上有显著不同。 基于传统VRF的分段隔离了路由,但仍需共享安全基础设施和管理工具,带来了风险和复杂性。 借助VSI,每个环境都作为一个独立的SASE实例运行:
IT / 物联网 / OT VSI架构
- IT VSI:完整的用户中心安全性堆栈—ZTNA、CASB、DLP、恶意软件防护、用户身份集成
- 物联网设备VSI:轻量级连接属性—设备允许名单、严格出口控制、最小攻击面
- 运营技术VSI:为运营技术系统提供气隙式隔离,政策控制连接到IT VSI以批准的数据流
每个团队的管理员仅管理自己的VSI,消除了意外跨环境配置更改的风险,同时支持为每个域提供专业知识。
IP地址冲突是并购后最常见且最具挑战性的集成挑战之一。 当被收购公司使用互不重叠的RFC 1918地址空间时,管理员面临艰难的选择:进行代价昂贵且具有破坏性的重新寻址项目,或实施复杂的基于NAT的变通方案。
- IP重新地址项目耗时、破坏性和昂贵—通常耗12到24个月
- 复杂的双NAT配置导致延迟、应用程序故障并创建持久的故障排除挑战
- 基于VRF的解决方案要求持续的配置管理并限制集成灵活性
- 共享管理基础设施在集成期间造成可见性和访问控制问题
借助VSI,被购公司直接在新的、专用的SASE实例中加入。 其现有的IP寻址方案保持完全不变。 母公司的VSI和被购公司的VSI然后通过精确的、基于策略的访问控制相互连接——允许特定流量流动,同时在边界上实施零信任原则。
VSI不是孤立的岛屿——Cato通过基于策略的访问控制提供了VSI之间的受控互联,以零信任原则为基础。 与传统VRF设计的粗粒度路由泄漏不同,VSI互联强制执行:
- 身份和上下文感知访问—谁能在什么条件下访问
- 应用程序级别分割—特定应用程序或服务,而不是整个子网
- 连续检查—跨越VSI边界的流量通过Cato的安全性堆栈
- 集中的策略可见性—互连规则在熟悉的Cato管理应用程序中管理
这种能力将VSI的互互联从一个操作后的思考转变为一流的安全控制——与现代零信任架构对齐而没有增加额外的基础设施复杂性。
0 条评论
请登录写评论。