企業(yè)要想充滿(mǎn)信心地把握住數據中心虛擬化和云帶來(lái)的業(yè)務(wù)優(yōu)勢,安全性將是其中的關(guān)鍵,而非阻礙。我們建議用戶(hù)在網(wǎng)絡(luò )中一致地部署安全性,確保各項策略能夠在包括物理、虛擬和云在內的混合環(huán)境中得到可靠執行,同時(shí)支持數據中心專(zhuān)業(yè)人員在絲毫不影響網(wǎng)絡(luò )性能的情況下,提供高度安全的‘IT即服務(wù)’(IT as a service)。”——思科全球資深副總裁兼安全與政府事業(yè)部總經(jīng)理Christopher Young
當前,虛擬化和云的大趨勢正推動(dòng)數據中心發(fā)生重大轉變,并影響到從IT服務(wù)到業(yè)務(wù)模式乃至架構的方方面面。這些趨勢會(huì )帶來(lái)諸多業(yè)務(wù)優(yōu)勢,例如更低的資本投資、新的收入增長(cháng)、以及更高的效率、靈活性和可擴展性等,從而將能夠支持更快地推進(jìn)全球化步伐。
在數據中心大踏步向著(zhù)融合、虛擬化、自動(dòng)化邁進(jìn)的同時(shí),以支撐未來(lái)彈性計算、海量數據計算所帶來(lái)的應用流量激增,虛擬工作負載增長(cháng),以及移動(dòng)終端接入普及的需求也給IT提出了更高的要求。之于安全,IT部門(mén)一直在很多無(wú)效控制的網(wǎng)絡(luò )邊界建設安全的基礎設施,傳統的安全體系和思路已經(jīng)在虛擬化技術(shù)普及,大量移動(dòng)終端接入,以及高復雜安全威脅技術(shù)面前,顯的拙荊見(jiàn)肘。業(yè)界已經(jīng)對重構網(wǎng)絡(luò )安全體系達成了共識,并不斷通過(guò)技術(shù)的創(chuàng )新和主動(dòng)智能的方法搭建更為有效的安全架構和體系。
安全轉型勢在必行
思科作為自適應安全的倡導者,很早就在其安全解決方案中融入了主動(dòng)識別和防御、智能管理和虛擬化安全的思路,并嘗試給企業(yè)帶來(lái)端到端的安全性。近日思科推出了一系列的安全解決方案,支撐企業(yè)數據中心向整合和虛擬化邁進(jìn)的過(guò)程中更有效的抵御威脅。
Christopher Young表示,“安全的可拓展性、物理和虛擬混合環(huán)境的統一安全策略、以及安全開(kāi)發(fā)必須以業(yè)務(wù)為導向,成為提升企業(yè)安全整體能力的新需求。”
思科全球資深副總裁兼安全與政府事業(yè)部總經(jīng)理Christopher Young
所以思科認為,在當前的環(huán)境下,安全性必須貫穿于整個(gè)網(wǎng)絡(luò ),以便可靠地保護統一數據中心。
思科大中華區副總裁無(wú)邊界網(wǎng)絡(luò )事業(yè)部總經(jīng)理倪殿令表示,“滿(mǎn)足這樣的需求,必須做到以下幾點(diǎn)以推動(dòng)安全的轉型,包括應用保護、統一安全策略和業(yè)務(wù)環(huán)境感知。”
思科大中華區副總裁無(wú)邊界網(wǎng)絡(luò )事業(yè)部總經(jīng)理倪殿令
Christopher Young指出,“通過(guò)應用防護應對來(lái)自WEB、APT和惡意軟件的威脅;統一的安全策略,為虛擬機間的通信提供可靠保障,并使統一的安全策略適合物理和虛擬的混合環(huán)境,以覆蓋云端和數據中心;業(yè)務(wù)環(huán)境感知要基于身份,提供可視性和可控性的統一安全管理。”
思科認為隨著(zhù)企業(yè)開(kāi)始遷移到云和采用更靈活的,不受設備限制的企業(yè)文化,這樣的安全轉型勢在必行。
思科SecureX嵌入混合環(huán)境
思科SecureX架構在整個(gè)分布式網(wǎng)絡(luò )中執行安全策略,而不僅限于數據流中的一個(gè)點(diǎn)。通過(guò)這種方式,它能夠滿(mǎn)足當前無(wú)邊界網(wǎng)絡(luò )環(huán)境中不斷變化的安全需求。為移動(dòng)用戶(hù)、虛擬化數據和云提供安全保護策略。通過(guò)高級策略,如誰(shuí)在何時(shí)何地利用哪些應用和設備訪(fǎng)問(wèn)哪些內容,提供環(huán)境感知安全性深入監測和提升運營(yíng)效率。
思科SecureX架構基于3個(gè)主要組件:
- 網(wǎng)絡(luò )智能組件:提供可視性、增強網(wǎng)絡(luò )安全性
- 環(huán)境感知增強:執行安全策略、利用整體的交互環(huán)境,在設備到基于云的各種產(chǎn)品上部署安全要素。
- 環(huán)境感知策略:業(yè)務(wù)驅動(dòng)型策略,利用環(huán)境簡(jiǎn)化并與實(shí)現IT實(shí)施和業(yè)務(wù)規則直接關(guān)聯(lián)。
在這三部分的主要組件中,思科提供TRUSTSEC和身份服務(wù)引擎(ISE),思科ASA系列自適應安全設備,Anyconnect安全移動(dòng),SIO云安全服務(wù),當然也包括這次推出的思科ASA 1000V。
實(shí)現安全保障的統一交換矩陣
這次思科針對其SecureX架構下組件進(jìn)行了密集的產(chǎn)品升級和發(fā)布,包括思科ASA系列操作平臺9.0版本的發(fā)布,推出全新的思科ASA 1000V虛擬防火墻,新的思科IPS4500系列入侵防御系統等。接下來(lái)就讓我們一起這些產(chǎn)品的亮點(diǎn)。
思科ASA 9.0平臺操作系統更新:提升性能,可擴展至320G的防火墻和60G的IPS吞吐率,支持每秒100萬(wàn)個(gè)連接和5,000萬(wàn)個(gè)并發(fā)連接;集成了身份、內容和應用安全;擴展集群技術(shù)實(shí)現,支持將ASA堆棧作為單個(gè)邏輯設備進(jìn)行管理等功能。
思科ASA 1000V:構建在Nexus 1000V系列交換機上,作為原來(lái)思科虛擬安全網(wǎng)關(guān)(VSG)的延伸,負責虛擬機遷移時(shí),安全策略的管理。單一ASA 1000V能夠在多個(gè)ESX主機間采用不同的安全策略來(lái)保護多個(gè)工作負載,為虛擬化和云基礎設施帶來(lái)了端到端安全性。
思科IPS 4500系列:提供高性能密度,每機架單元具備每秒萬(wàn)兆性能;結合網(wǎng)絡(luò )信譽(yù)的環(huán)境感知型IPS的實(shí)施能夠推動(dòng)用戶(hù)做出有效的危害降低決策。
思科Security Manager 4.3(CSM):提供可擴展的集中管理功能,使管理員能夠有效管理眾多思科安全設備,實(shí)現網(wǎng)絡(luò )部署的可視性,并與其他基本網(wǎng)絡(luò )服務(wù)(如合規性系統和高級安全分析系統)分享信息。作為SecureX的大管家,管理包括ASA系列,IPS系列,AnyConnect移動(dòng)客戶(hù)端,思科安全路由在內的安全環(huán)境。
思科AnyConnect 3.1:升級了差異化設備訪(fǎng)問(wèn)功能,支持自帶設備(BYOD)部署、IPv6能力以及新一代加密技術(shù),包括NSA的Suite B加密等。
寫(xiě)在最后
在思科SecureX架構下,其不同組件的功能和技術(shù)逐步完善,我們逐漸看到了思科構建混合環(huán)境下集防火墻、IPS、虛擬安全網(wǎng)關(guān)、安全統一管理、安全終端接入等解決方案的統一安全策略,這樣的策略已經(jīng)逐漸打破了原有的安全架構的限制,與思科所倡導的無(wú)邊界網(wǎng)絡(luò )緊密的結合在一起。相信這樣的體系在未來(lái)還有待進(jìn)一步完善,而且也不是只有思科在這樣做,安全的變革就在當下,虛擬化和云、不斷變化的安全威脅都是安全架構不斷演進(jìn)的驅動(dòng)力,但來(lái)自安全本身的技術(shù)源動(dòng)力也蓄勢待發(fā)。
