但在云邊緣,即網(wǎng)絡(luò )、云和安全系統的交叉點(diǎn),企業(yè)還是飽受諸多問(wèn)題困擾,包括安全風(fēng)險較高、應用性能參差不齊,以及復雜性日益增加。
目前,分支機構開(kāi)始通過(guò)互聯(lián)網(wǎng)進(jìn)行直接云連接并運行業(yè)務(wù)關(guān)鍵型應用,但是將流量回傳到企業(yè)防火墻的傳統廣域網(wǎng)保護方法不僅效率低下,而且成本較高。這是因為傳統廣域網(wǎng)平臺主要用于將分支機構直接連接到數據中心,而無(wú)法靈活地處理與多個(gè)云平臺的同時(shí)連接,也不能自動(dòng)選擇最高效且最具成本效益的路由。
要在保護廣域網(wǎng)安全的同時(shí),簡(jiǎn)化分布式網(wǎng)絡(luò )管理并降低連接成本,組織需要使用全面而靈活的軟件定義架構。
實(shí)際上,每臺廣域網(wǎng)設備都應該支持軟件定義,并受到保護。因此,我們宣布推出全新的高級軟件定義安全功能組合,來(lái)應對關(guān)鍵的邊緣安全挑戰。利用易于管理、部署和維護的軟件定義廣域網(wǎng),思科可為 IT 提供高度有效且可擴展的安全保護,從而讓企業(yè)能夠放心使用自己選擇的云服務(wù)。思科軟件定義廣域網(wǎng)可將設備和人員無(wú)縫連接到任何云,帶來(lái)卓越的應用體驗,并確保從分支機構到云實(shí)現一致的統一威脅防護。
隨著(zhù)應用從數據中心遷移到多個(gè)云平臺,每臺廣域網(wǎng)設備都必須支持軟件定義,并受到保護。
思科軟件定義廣域網(wǎng)在邊緣提供四個(gè)級別的安全保護
確保云邊緣安全性的傳統方式是將所有流量發(fā)送回企業(yè)數據中心進(jìn)行檢查、分析和過(guò)濾,然后再將其發(fā)送到 SaaS 應用或公共云服務(wù)。對于分布式企業(yè)而言,這樣做通常意味著(zhù)需要使用昂貴的 MPLS 線(xiàn)路,因此會(huì )增加數據中心安全層的規模和復雜性。分布式分支機構之間的流量增長(cháng)越多, 管理多個(gè) MPLS 連接和數據中心安全的成本和復雜性就會(huì )越高。
全新的思科軟件定義廣域網(wǎng)安全功能組合可在分支機構路由器的邊緣提供全面的防護,并可對網(wǎng)絡(luò )和安全管理進(jìn)行集中控制。嵌入式安全功能可保護傳入和傳出分支機構業(yè)務(wù)系統及云平臺的數據。這些安全功能組合還可以保護整個(gè)互聯(lián)企業(yè)免受可能來(lái)自受感染的互聯(lián)網(wǎng)連接和應用的破壞性安全攻擊。
思科軟件定義廣域網(wǎng)安全功能組合側重于與分支機構緊密相關(guān)的四種類(lèi)型關(guān)鍵流量的防護:
- 合規性:保護存儲和傳輸中的敏感數據,無(wú)論這些數據位于分支機構還是位于云中。
- 直接互聯(lián)網(wǎng)接入:允許網(wǎng)絡(luò )端口直接聯(lián)網(wǎng)會(huì )顯著(zhù)擴大外部源的潛在攻擊面。
- 直接云訪(fǎng)問(wèn):允許繞過(guò)企業(yè)網(wǎng)絡(luò )和數據中心內置的現有集中式安全產(chǎn)品(如 DMZ、防火墻和入侵檢測),直接訪(fǎng)問(wèn)云資源和 SaaS 應用。
- 訪(fǎng)客接入:允許訪(fǎng)客從個(gè)人設備接入本地 Wi-Fi,同時(shí)確保業(yè)務(wù)流量和敏感網(wǎng)絡(luò )服務(wù)與訪(fǎng)客流量完全分離。
下面,我們來(lái)了解一下目前推出的安全創(chuàng )新解決方案如何緩解這些流量類(lèi)型暴露的威脅攻擊面,并幫助您持續使用我們的軟件定義廣域網(wǎng)架構節省成本。
1、合規
每個(gè)組織都會(huì )接收、存儲和處理敏感數據集,如個(gè)人身份信息(PII)和支付卡信息(PCI)。應用感知防火墻可確保只有經(jīng)授權的應用和人員才能訪(fǎng)問(wèn)敏感數據。
思科軟件定義廣域網(wǎng)安全性在分支機構路由器中添加了嵌入式應用感知防火墻,可以學(xué)習并執行您的意圖,確保只有所需的應用可以訪(fǎng)問(wèn)敏感型數據(如PCI)。然后,軟件定義廣域網(wǎng)交換矩陣可通過(guò)安全 VPN 將敏感流量路由到企業(yè)數據中心或多云平臺中的應用。
在思科基于意圖的網(wǎng)絡(luò )中,類(lèi)似 “僅在 IPsec VPN 上傳輸敏感數據類(lèi)型 PCI” 這樣的意圖只需在思科 vManage 中設定一次,即可自動(dòng)應用于整個(gè)網(wǎng)絡(luò );同時(shí),思科 vSmart 控制器可根據安全策略明確劃分流量。
2、直接互聯(lián)網(wǎng)接入
在軟件定義廣域網(wǎng)出現之前,組織主要依賴(lài)安全卻昂貴的 MPLS 線(xiàn)路將分支機構連接到安全功能所在的數據中心。隨著(zhù)組織允許分支機構站點(diǎn)的應用和設備直接訪(fǎng)問(wèn)互聯(lián)網(wǎng),它們可以直接繞過(guò)傳統的集中式安全邊界。這會(huì )導致將分支機構暴露給所有類(lèi)型的互聯(lián)網(wǎng)流量,而且在直接訪(fǎng)問(wèn)的過(guò)程中,會(huì )增加邊緣處的受攻擊面。
為了應對這些威脅,軟件定義廣域網(wǎng)安全組合提供了嵌入式安全功能組合,包括應用感知防火墻、入侵檢測和防御、URL過(guò)濾以及思科 Umbrella DNS 云安全層面的防護。思科軟件定義廣域網(wǎng)交換矩陣會(huì )根據 SecOps 策略智能地將流量路由到分支機構。Web 安全功能可保留安全 URL 的本地緩存,這些 URL 會(huì )定期更新,以便與最新的安全威脅報告保持一致。
3、直接云訪(fǎng)問(wèn)
直接云訪(fǎng)問(wèn)提高了云和 SaaS 應用的應用體驗質(zhì)量(QoE),同時(shí)引入了直接互聯(lián)網(wǎng)接入中類(lèi)似的風(fēng)險。
思科軟件定義廣域網(wǎng)安全結合使用 DNS 安全層和入侵檢測功能,來(lái)防止最具侵略性的拒絕服務(wù)、網(wǎng)絡(luò )釣魚(yú)、惡意軟件和勒索軟件攻擊,這些攻擊可以將 SaaS 和云應用使用的互聯(lián)網(wǎng)連接和開(kāi)放端口作為媒介。此外,這些嵌入式安全功能利用了思科 Talos 團隊的最新威脅數據,該團隊是世界上最成熟的商業(yè)威脅信息組織之一。
4、訪(fǎng)客接入
專(zhuān)注于客戶(hù)體驗的組織(例如零售店)傾向于向客戶(hù)開(kāi)放其分支機構 Wi-Fi,以便通過(guò)互動(dòng)方式來(lái)吸引他們。但是,允許訪(fǎng)客接入分支機構的 Wi-Fi 網(wǎng)絡(luò )也會(huì )向他們公開(kāi)業(yè)務(wù)應用、數據和服務(wù)。為此,最重要的是采用對訪(fǎng)客接入進(jìn)行分段的安全策略。這樣一來(lái),在允許接入互聯(lián)網(wǎng)時(shí),企業(yè)網(wǎng)絡(luò )的所有其他部分可以不受限制。組織仍然需要阻止訪(fǎng)客意外或惡意下載可能感染分支機構網(wǎng)絡(luò )的惡意軟件。
思科軟件定義廣域網(wǎng)安全提供 Web 過(guò)濾、入侵檢測和防御功能,以防止訪(fǎng)客設備通過(guò)網(wǎng)絡(luò )傳播網(wǎng)絡(luò )病毒。另外,分段會(huì )限制員工接入訪(fǎng)客網(wǎng)絡(luò ),所有業(yè)務(wù)數據流都通過(guò) IPsec VPN 隧道傳輸。
為了支持新的安全功能組合功能并簡(jiǎn)化管理,思科軟件定義廣域網(wǎng)通過(guò)集中式管理的 vManage 控制器提供了基于 GUI 的工作流程。零接觸式思科 ISR/ASR 和 vEdge 路由器可由分支機構中的非技術(shù)人員啟動(dòng),并根據預定義的業(yè)務(wù)意圖進(jìn)行遠程配置,以及根據業(yè)務(wù)需求進(jìn)行定制。邊緣路由器持續監控流量模式,并自動(dòng)調整連接以適應優(yōu)先級業(yè)務(wù)數據、維護云和 SaaS 應用 QoE,并主動(dòng)適應安全威脅。
思科軟件定義廣域網(wǎng)產(chǎn)品組合中的這些創(chuàng )新有助于解決當今企業(yè)在現實(shí)中面臨的安全挑戰。此外,更好的是,獲得許可很簡(jiǎn)單,因為軟件定義廣域網(wǎng)中附帶了我們的 DNA Essentials 許可證。您可以期待我們的工程師團隊推出更多創(chuàng )新,以便更好地連接和保護分支機構與企業(yè)、多云和 SaaS 應用平臺,同時(shí)降低總體連接成本。
Anand Oswal
Senior Vice President, Engineering
