利用软件定义广域网保护云边缘
但在云边缘,即网络、云和安全系统的交叉点,企业还是饱受诸多问题困扰,包括安全风险较高、应用性能参差不齐,以及复杂性日益增加。
目前,分支机构开始通过互联网进行直接云连接并运行业务关键型应用,但是将流量回传到企业防火墙的传统广域网保护方法不仅效率低下,而且成本较高。这是因为传统广域网平台主要用于将分支机构直接连接到数据中心,而无法灵活地处理与多个云平台的同时连接,也不能自动选择最高效且最具成本效益的路由。
要在保护广域网安全的同时,简化分布式网络管理并降低连接成本,组织需要使用全面而灵活的软件定义架构。
实际上,每台广域网设备都应该支持软件定义,并受到保护。因此,我们宣布推出全新的高级软件定义安全功能组合,来应对关键的边缘安全挑战。利用易于管理、部署和维护的软件定义广域网,思科可为 IT 提供高度有效且可扩展的安全保护,从而让企业能够放心使用自己选择的云服务。思科软件定义广域网可将设备和人员无缝连接到任何云,带来卓越的应用体验,并确保从分支机构到云实现一致的统一威胁防护。
随着应用从数据中心迁移到多个云平台,每台广域网设备都必须支持软件定义,并受到保护。
确保云边缘安全性的传统方式是将所有流量发送回企业数据中心进行检查、分析和过滤,然后再将其发送到 SaaS 应用或公共云服务。对于分布式企业而言,这样做通常意味着需要使用昂贵的 MPLS 线路,因此会增加数据中心安全层的规模和复杂性。分布式分支机构之间的流量增长越多, 管理多个 MPLS 连接和数据中心安全的成本和复杂性就会越高。
全新的思科软件定义广域网安全功能组合可在分支机构路由器的边缘提供全面的防护,并可对网络和安全管理进行集中控制。嵌入式安全功能可保护传入和传出分支机构业务系统及云平台的数据。这些安全功能组合还可以保护整个互联企业免受可能来自受感染的互联网连接和应用的破坏性安全攻击。
思科软件定义广域网安全功能组合侧重于与分支机构紧密相关的四种类型关键流量的防护:
合规性:保护存储和传输中的敏感数据,无论这些数据位于分支机构还是位于云中。
直接互联网接入:允许网络端口直接联网会显著扩大外部源的潜在攻击面。
直接云访问:允许绕过企业网络和数据中心内置的现有集中式安全产品(如 DMZ、防火墙和入侵检测),直接访问云资源和 SaaS 应用。
访客接入:允许访客从个人设备接入本地 Wi-Fi,同时确保业务流量和敏感网络服务与访客流量完全分离。
下面,我们来了解一下目前推出的安全创新解决方案如何缓解这些流量类型暴露的威胁攻击面,并帮助您持续使用我们的软件定义广域网架构节省成本。
每个组织都会接收、存储和处理敏感数据集,如个人身份信息(PII)和支付卡信息(PCI)。应用感知防火墙可确保只有经授权的应用和人员才能访问敏感数据。
思科软件定义广域网安全性在分支机构路由器中添加了嵌入式应用感知防火墙,可以学习并执行您的意图,确保只有所需的应用可以访问敏感型数据(如PCI)。然后,软件定义广域网交换矩阵可通过安全 VPN 将敏感流量路由到企业数据中心或多云平台中的应用。
在思科基于意图的网络中,类似 “仅在 IPsec VPN 上传输敏感数据类型 PCI” 这样的意图只需在思科 vManage 中设定一次,即可自动应用于整个网络;同时,思科 vSmart 控制器可根据安全策略明确划分流量。
在软件定义广域网出现之前,组织主要依赖安全却昂贵的 MPLS 线路将分支机构连接到安全功能所在的数据中心。随着组织允许分支机构站点的应用和设备直接访问互联网,它们可以直接绕过传统的集中式安全边界。这会导致将分支机构暴露给所有类型的互联网流量,而且在直接访问的过程中,会增加边缘处的受攻击面。
为了应对这些威胁,软件定义广域网安全组合提供了嵌入式安全功能组合,包括应用感知防火墙、入侵检测和防御、URL过滤以及思科 Umbrella DNS 云安全层面的防护。思科软件定义广域网交换矩阵会根据 SecOps 策略智能地将流量路由到分支机构。Web 安全功能可保留安全 URL 的本地缓存,这些 URL 会定期更新,以便与最新的安全威胁报告保持一致。
直接云访问提高了云和 SaaS 应用的应用体验质量(QoE),同时引入了直接互联网接入中类似的风险。
思科软件定义广域网安全结合使用 DNS 安全层和入侵检测功能,来防止最具侵略性的拒绝服务、网络钓鱼、恶意软件和勒索软件攻击,这些攻击可以将 SaaS 和云应用使用的互联网连接和开放端口作为媒介。此外,这些嵌入式安全功能利用了思科 Talos 团队的最新威胁数据,该团队是世界上最成熟的商业威胁信息组织之一。
专注于客户体验的组织(例如零售店)倾向于向客户开放其分支机构 Wi-Fi,以便通过互动方式来吸引他们。但是,允许访客接入分支机构的 Wi-Fi 网络也会向他们公开业务应用、数据和服务。为此,最重要的是采用对访客接入进行分段的安全策略。这样一来,在允许接入互联网时,企业网络的所有其他部分可以不受限制。组织仍然需要阻止访客意外或恶意下载可能感染分支机构网络的恶意软件。
思科软件定义广域网安全提供 Web 过滤、入侵检测和防御功能,以防止访客设备通过网络传播网络病毒。另外,分段会限制员工接入访客网络,所有业务数据流都通过 IPsec VPN 隧道传输。
为了支持新的安全功能组合功能并简化管理,思科软件定义广域网通过集中式管理的 vManage 控制器提供了基于 GUI 的工作流程。零接触式思科 ISR/ASR 和 vEdge 路由器可由分支机构中的非技术人员启动,并根据预定义的业务意图进行远程配置,以及根据业务需求进行定制。边缘路由器持续监控流量模式,并自动调整连接以适应优先级业务数据、维护云和 SaaS 应用 QoE,并主动适应安全威胁。
思科软件定义广域网产品组合中的这些创新有助于解决当今企业在现实中面临的安全挑战。此外,更好的是,获得许可很简单,因为软件定义广域网中附带了我们的 DNA Essentials 许可证。您可以期待我们的工程师团队推出更多创新,以便更好地连接和保护分支机构与企业、多云和 SaaS 应用平台,同时降低总体连接成本。
