核心組成部分
Cato 的架構由多個雲端原生、可擴展且具彈性的元件組成,確保客戶在業務規模、需求與使用情境不斷擴展時,仍能享有一致的 SASE 體驗。
雲端原生安全整合
單一通道雲引擎(SPACE)是 Cato 的核心安全引擎。SPACE 將多種網路安全功能整合至雲端原生軟體架構中,包括流量控制與分段(NGFW)、威脅防護(SWG、IPS、NGAM、RBI),以及應用程式和資料保護(CASB、DLP、ZTNA)。SPACE 可針對即時流量與非即時存取一致地執行安全政策,確保全面性防護。SPACE 提供完整的即時流量可視性,收集每個檢測流量的網路、裝置、應用程式和資料屬性等詳細上下文與事件數據,並將這些資料傳送至 Cato 的開放式資料湖,以支持事件偵測和回應。未來所有網路安全功能都將整合至 SPACE,透過單一通道的高效處理、雲端部署支持,以及統一的數據與政策管理架構,實現更優化的服務效能。
專為特定需求打造的全球雲端服務
Cato 開發了首個專為 SASE Cloud 服務設計的核心骨幹網路。全球多個服務據點(PoPs)運行於頂級實體託管提供商的裸機運算節點上,提供即時、可擴展且高效的安全防護與網路優化服務。數千個 SPACE 節點協同運作,提供高韌性、低延遲的檢測服務,確保每位用戶或地點都能享有近距離的高效防護。Cato 的服務據點(PoPs)透過多家一級全球及區域電信業者互連,構建一個雲端網路,不僅優化連接至 Web 和 SaaS 服務的網際網路存取,還提升通往內部部署與雲端資料中心及應用程式的 WAN 存取效能。Cato 擁有對實體雲端架構的全面控制權,能靈活擴展至全球任意地點,而不受制於超大規模雲服務商的基礎設施拓展或其成本結構限制。
以 AI/ML 驅動事件偵測與回應的開放式資料平台
Cato SASE Cloud 平台採用開放式資料湖架構,整合 Cato 自有資訊流與第三方威脅情報服務,提供即時威脅防護支持。網路與安全事件透過 SPACE 處理產生,並提供與每個流量相關的裝置、用戶、網路、應用程式和資料的詳細上下文資訊。終端裝置事件是由 Cato 用戶端 ZTNA 和 EPP/EDR 引擎產生,或透過第三方終端解決方案,如 Microsoft Defender 和 Crowdstrike,來生成。完整的資料集被用於 Cato 的 AI/ML 基礎威脅狩獵和網路效能衰退偵測,並支援 Cato AI 協助的事件調查與回應。客戶可以透過 Cato API 存取資料湖,提取詳細資料供外部解決方案如 SIEM 進行處理。
設計原則
Cato 架構旨在最大化使用案例的覆蓋範圍並減輕 IT 資源負擔。Cato 致力於在服務、功能和公司發展過程中遵循這些原則。
360 度可見度和控制
Cato SASE Cloud 平台的架構旨在持續且平等地支援各種邊緣設備:裝置、用戶、分支機構、實體及雲端資料中心,以及企業使用的應用程式。Cato 提供對所有流量的全面可見性,能取代多個單一解決方案,如防火牆和雲端代理,以減少風險如網路攻擊、惡意軟體在不同地點的傳播,以及在應用程式遷移到雲端過程中的持續保護。
自主平台生命週期管理
Cato 自動維護雲端平台的韌性、擴展性、效能和全球覆蓋範圍。它減少了 IT 部門在規劃、設計、部署和測試方面的複雜工作,並能夠靈活應對新的業務需求。
- 自我演進:透過無干擾的更新,新的功能可以無縫地部署到雲端服務、邊緣 SD-WAN 裝置和客戶端。
- 自我修復:當傳輸、PoP 或 SPACE 發生故障時,Cato 會立即將受影響的邊緣設備轉移至備用元件,確保服務持續不中斷。
- 自我優化:Cato 監控雲端服務內每條路徑的可用性和效能,以確定從任何來源到目的地的最快路徑。
- 自我擴展:Cato 將來自高流量位置的流量分散至多個 SPACE,並能夠透過新增運算節點或 PoP 無縫擴展。
- 自我擴充:Cato 根據客戶需求建立新的 PoP 位置。新的 PoP 會整合到全球佈局中,自動為附近的用戶和地點提供服務。
自動化安全狀態管理
Cato SASE Cloud 平台會自動接收來自 Cato 及第三方的數百個安全資訊來源,並將這些資訊幾乎即時地分發至全球所有的 SPACE。Cato 安全研究利用基於 AI/ML 的系統,持續驗證每個資料來源推薦的準確性,並與 Cato 使用的其他資料來源進行比對,以減少誤報的機率。Cato 透過開發並模擬新防禦規則對實際客戶流量的影響,進一步減少新興威脅的風險,並在 24 至 48 小時內,無需 IT 介入或影響最終用戶的情況下,將這些規則部署到生產環境中。
資料來源品質管理和自動化威脅防護提升了 Cato 的防禦效能,並減輕了 IT 安全部門在處理複雜且資源密集的過程中的負擔。
漸進、快速且靈活的部署
Cato 使客戶能夠輕鬆遷移到 Cato SASE Cloud 平台。Cato 透過零觸控配置 Cato 邊緣 SD-WAN 裝置,迅速將實體位置連接到 Cato 雲端平台。Cato 用戶端可以透過自助服務入口網站或企業端點管理(MDM)平台輕鬆進行部署。
Cato 通常被用來幫助整個組織全面遷移到 SASE。然而,Cato 平台具備模組化設計,並能與現有的 IT 網路與安全架構共存,包括路由器、防火牆以及雲端安全服務。組織可以根據使用案例、地理位置或組織單位,選擇性且逐步地部署 Cato,以應對業務和技術上的限制,直到準備好實現全面整合。
統一管理與單一視窗管理
Cato SASE Cloud 平台的架構旨在通過單一雲端服務提供當前和未來的網路安全功能。所有功能都透過單一視窗進行管理,並採用相同的方法來配置、故障排除和分析服務的各個層面。客戶和合作夥伴使用 Cato 管理應用程式來定義政策,這些政策會無縫地分發至所有 PoP、SPACE 和 Cato 用戶端,以確保一致的執行。同樣,提供單一的通用 API 來存取所有平台資料,方便自動化與其他業務流程和第三方應用程式的整合。
