但在云邊緣,即網(wǎng)絡、云和安全系統(tǒng)的交叉點,企業(yè)還是飽受諸多問題困擾,包括安全風險較高、應用性能參差不齊,以及復雜性日益增加。
目前,分支機構(gòu)開始通過互聯(lián)網(wǎng)進行直接云連接并運行業(yè)務關(guān)鍵型應用,但是將流量回傳到企業(yè)防火墻的傳統(tǒng)廣域網(wǎng)保護方法不僅效率低下,而且成本較高。這是因為傳統(tǒng)廣域網(wǎng)平臺主要用于將分支機構(gòu)直接連接到數(shù)據(jù)中心,而無法靈活地處理與多個云平臺的同時連接,也不能自動選擇最高效且最具成本效益的路由。
要在保護廣域網(wǎng)安全的同時,簡化分布式網(wǎng)絡管理并降低連接成本,組織需要使用全面而靈活的軟件定義架構(gòu)。
實際上,每臺廣域網(wǎng)設(shè)備都應該支持軟件定義,并受到保護。因此,我們宣布推出全新的高級軟件定義安全功能組合,來應對關(guān)鍵的邊緣安全挑戰(zhàn)。利用易于管理、部署和維護的軟件定義廣域網(wǎng),思科可為 IT 提供高度有效且可擴展的安全保護,從而讓企業(yè)能夠放心使用自己選擇的云服務。思科軟件定義廣域網(wǎng)可將設(shè)備和人員無縫連接到任何云,帶來卓越的應用體驗,并確保從分支機構(gòu)到云實現(xiàn)一致的統(tǒng)一威脅防護。
隨著應用從數(shù)據(jù)中心遷移到多個云平臺,每臺廣域網(wǎng)設(shè)備都必須支持軟件定義,并受到保護。
思科軟件定義廣域網(wǎng)在邊緣提供四個級別的安全保護
確保云邊緣安全性的傳統(tǒng)方式是將所有流量發(fā)送回企業(yè)數(shù)據(jù)中心進行檢查、分析和過濾,然后再將其發(fā)送到 SaaS 應用或公共云服務。對于分布式企業(yè)而言,這樣做通常意味著需要使用昂貴的 MPLS 線路,因此會增加數(shù)據(jù)中心安全層的規(guī)模和復雜性。分布式分支機構(gòu)之間的流量增長越多, 管理多個 MPLS 連接和數(shù)據(jù)中心安全的成本和復雜性就會越高。
全新的思科軟件定義廣域網(wǎng)安全功能組合可在分支機構(gòu)路由器的邊緣提供全面的防護,并可對網(wǎng)絡和安全管理進行集中控制。嵌入式安全功能可保護傳入和傳出分支機構(gòu)業(yè)務系統(tǒng)及云平臺的數(shù)據(jù)。這些安全功能組合還可以保護整個互聯(lián)企業(yè)免受可能來自受感染的互聯(lián)網(wǎng)連接和應用的破壞性安全攻擊。
思科軟件定義廣域網(wǎng)安全功能組合側(cè)重于與分支機構(gòu)緊密相關(guān)的四種類型關(guān)鍵流量的防護:
- 合規(guī)性:保護存儲和傳輸中的敏感數(shù)據(jù),無論這些數(shù)據(jù)位于分支機構(gòu)還是位于云中。
- 直接互聯(lián)網(wǎng)接入:允許網(wǎng)絡端口直接聯(lián)網(wǎng)會顯著擴大外部源的潛在攻擊面。
- 直接云訪問:允許繞過企業(yè)網(wǎng)絡和數(shù)據(jù)中心內(nèi)置的現(xiàn)有集中式安全產(chǎn)品(如 DMZ、防火墻和入侵檢測),直接訪問云資源和 SaaS 應用。
- 訪客接入:允許訪客從個人設(shè)備接入本地 Wi-Fi,同時確保業(yè)務流量和敏感網(wǎng)絡服務與訪客流量完全分離。
下面,我們來了解一下目前推出的安全創(chuàng)新解決方案如何緩解這些流量類型暴露的威脅攻擊面,并幫助您持續(xù)使用我們的軟件定義廣域網(wǎng)架構(gòu)節(jié)省成本。
1、合規(guī)
每個組織都會接收、存儲和處理敏感數(shù)據(jù)集,如個人身份信息(PII)和支付卡信息(PCI)。應用感知防火墻可確保只有經(jīng)授權(quán)的應用和人員才能訪問敏感數(shù)據(jù)。
思科軟件定義廣域網(wǎng)安全性在分支機構(gòu)路由器中添加了嵌入式應用感知防火墻,可以學習并執(zhí)行您的意圖,確保只有所需的應用可以訪問敏感型數(shù)據(jù)(如PCI)。然后,軟件定義廣域網(wǎng)交換矩陣可通過安全 VPN 將敏感流量路由到企業(yè)數(shù)據(jù)中心或多云平臺中的應用。
在思科基于意圖的網(wǎng)絡中,類似 “僅在 IPsec VPN 上傳輸敏感數(shù)據(jù)類型 PCI” 這樣的意圖只需在思科 vManage 中設(shè)定一次,即可自動應用于整個網(wǎng)絡;同時,思科 vSmart 控制器可根據(jù)安全策略明確劃分流量。
2、直接互聯(lián)網(wǎng)接入
在軟件定義廣域網(wǎng)出現(xiàn)之前,組織主要依賴安全卻昂貴的 MPLS 線路將分支機構(gòu)連接到安全功能所在的數(shù)據(jù)中心。隨著組織允許分支機構(gòu)站點的應用和設(shè)備直接訪問互聯(lián)網(wǎng),它們可以直接繞過傳統(tǒng)的集中式安全邊界。這會導致將分支機構(gòu)暴露給所有類型的互聯(lián)網(wǎng)流量,而且在直接訪問的過程中,會增加邊緣處的受攻擊面。
為了應對這些威脅,軟件定義廣域網(wǎng)安全組合提供了嵌入式安全功能組合,包括應用感知防火墻、入侵檢測和防御、URL過濾以及思科 Umbrella DNS 云安全層面的防護。思科軟件定義廣域網(wǎng)交換矩陣會根據(jù) SecOps 策略智能地將流量路由到分支機構(gòu)。Web 安全功能可保留安全 URL 的本地緩存,這些 URL 會定期更新,以便與最新的安全威脅報告保持一致。
3、直接云訪問
直接云訪問提高了云和 SaaS 應用的應用體驗質(zhì)量(QoE),同時引入了直接互聯(lián)網(wǎng)接入中類似的風險。
思科軟件定義廣域網(wǎng)安全結(jié)合使用 DNS 安全層和入侵檢測功能,來防止最具侵略性的拒絕服務、網(wǎng)絡釣魚、惡意軟件和勒索軟件攻擊,這些攻擊可以將 SaaS 和云應用使用的互聯(lián)網(wǎng)連接和開放端口作為媒介。此外,這些嵌入式安全功能利用了思科 Talos 團隊的最新威脅數(shù)據(jù),該團隊是世界上最成熟的商業(yè)威脅信息組織之一。
4、訪客接入
專注于客戶體驗的組織(例如零售店)傾向于向客戶開放其分支機構(gòu) Wi-Fi,以便通過互動方式來吸引他們。但是,允許訪客接入分支機構(gòu)的 Wi-Fi 網(wǎng)絡也會向他們公開業(yè)務應用、數(shù)據(jù)和服務。為此,最重要的是采用對訪客接入進行分段的安全策略。這樣一來,在允許接入互聯(lián)網(wǎng)時,企業(yè)網(wǎng)絡的所有其他部分可以不受限制。組織仍然需要阻止訪客意外或惡意下載可能感染分支機構(gòu)網(wǎng)絡的惡意軟件。
思科軟件定義廣域網(wǎng)安全提供 Web 過濾、入侵檢測和防御功能,以防止訪客設(shè)備通過網(wǎng)絡傳播網(wǎng)絡病毒。另外,分段會限制員工接入訪客網(wǎng)絡,所有業(yè)務數(shù)據(jù)流都通過 IPsec VPN 隧道傳輸。
為了支持新的安全功能組合功能并簡化管理,思科軟件定義廣域網(wǎng)通過集中式管理的 vManage 控制器提供了基于 GUI 的工作流程。零接觸式思科 ISR/ASR 和 vEdge 路由器可由分支機構(gòu)中的非技術(shù)人員啟動,并根據(jù)預定義的業(yè)務意圖進行遠程配置,以及根據(jù)業(yè)務需求進行定制。邊緣路由器持續(xù)監(jiān)控流量模式,并自動調(diào)整連接以適應優(yōu)先級業(yè)務數(shù)據(jù)、維護云和 SaaS 應用 QoE,并主動適應安全威脅。
思科軟件定義廣域網(wǎng)產(chǎn)品組合中的這些創(chuàng)新有助于解決當今企業(yè)在現(xiàn)實中面臨的安全挑戰(zhàn)。此外,更好的是,獲得許可很簡單,因為軟件定義廣域網(wǎng)中附帶了我們的 DNA Essentials 許可證。您可以期待我們的工程師團隊推出更多創(chuàng)新,以便更好地連接和保護分支機構(gòu)與企業(yè)、多云和 SaaS 應用平臺,同時降低總體連接成本。
Anand Oswal
Senior Vice President, Engineering
