您当前的位置是:  首页 > 技术 > 企业通信 > 技术 > 数据网络 > 技术动态 >
技术 - 企业通信 - 数据网络技术频道
  首页 > 技术 > 企业通信 > 技术 > 数据网络 > 技术动态 > 思科SD-WAN方案中的五大安全优势

思科SD-WAN方案中的五大安全优势

2019-01-24 14:03:34   作者:Martin   来源:CTI论坛   评论:0  点击:


  思科认为,"简单、安全、可扩展" 的 SD-WAN 方案,更多选择让企业可以根据自身情况在网络和安全中实现最佳的平衡,让其信心十足且更快地采用云技术。
  软件定义广域网(SD-WAN)是传统企业级广域网方案的重要技术更新和迭代方向。传统广域网平台主要用于将分支机构直接连接到数据中心,而无法灵活地处理与多个云平台的同时连接,也不能自动选择最高效且最具成本效益的路由。
  对于企业而言,新方案的优势不仅在于采用云技术时开发、管理上的便捷,同时,软件定义广域网的边界还要融入更广泛的安全能力,以应对复杂环境带来的风险。
  网络产品的出色能力,一直是思科(Cisco)的核心竞争力。连续多年入选 Gartner "有线和无线局域网接入基础设施" 魔力象限中的领导者就是最好的印证。网络与安全并重是思科近些年的发力方向,但产品和方案层面两者却仍一直相对独立。但此次,思科在其软件定义广域网方案中,在产品层面将大量安全能力与软件定义广域网技术进行了深度整合,并将安全作为其网络方案的重要特征提及。
  这篇文章将着重介绍安全为思科 SD-WAN 方案带来的重要优势。
  新的广域网边界需要融入更多的安全能力
  思科在全球拥有超过 10 万名广域网边界设备企业客户,110 余万台路由器正在客户环境中运行。为了进一步完成对 SD-WAN 的技术布局,思科在 2017 年 8 月宣布以 6.1 亿美元现金和相关股权激励完成对软件定义广域网公司 Viptela 的收购,并以有史以来最快的速度完成和 Viptela 的全面技术整合。
  Viptela 的优势在于先进的路由和网络分段能力,以及良好的可扩展性。同时,多云支持的管理、编排和覆盖技术,让 SD-WAN 的部署和管理更加简单。而和思科 Meraki 路由(含无线)系列产品结合使用,则能够让思科的 SD-WAN 方案广泛满足客户的部署要求。
  对 Viptela 的成功收购,不仅为思科 SD-WAN 方案带来了关键的能力支持,使其顺利进入Gartner 2018 年 "WAN边界基础设施魔力象限" 报告的领导者象限,这还是思科向以软件为中心、订阅主导的网络模式战略转型的关键一步。
  Gartner 2018 年 WAN 边界基础设施魔力象限
  Gartner 在该报告中表示,受企业数字化转型和对众多重要业务线管理需求的驱动,传统的MPLS 网络将经历巨大转变。广域网边界基础设施的更新,软件定义广域网软件/应用及传统路由,是重要的方向。市场的转型,势必将涌入更多领域的供应商。安全,也将会作为重要功能,内嵌到新的广域网边界基础设施中。
  思科 SD-WAN 方案,也体现了和 Gartner 论断一致的对安全的重视。
  思科将自家 SD-WAN 方案的特征概括为"简单、安全、可扩展"。其中,"简单" 在于方案部署和通过单一界面对网络、安全功能的管理;"可扩展性" 在于对云服务/应用的支持;"安全" 则更为丰富,包括以威胁情报(TI)团队 Talos 的数据支撑,下一代防火墙,入侵检测和防护,URLs 过滤,Umberlla(DNS防护),以及在去年 10 月以 23.5 亿美金完成收购的 Duo Security(多因子身份认证)。
  思科将这些作为核心安全能力,通过与 WAN 设备集成的方式,将其内嵌到整个 SD-WAN 方案中,针对多个威胁场景,提供多组合、可选、全方位的安全防护。
  内嵌的安全能力,是思科 SD-WAN 方案的重要优势。
  SD-WAN 场景下的安全隐患
  思科全球高级副总裁,企业网络事业部总经理 Scott Harrell 曾表示,全新云边界的出现正在颠覆客户的网络和安全架构。如今,每款广域网设备都必须支持软件定义,并具备强大的安全特性。
  思科认为,云的引入,软件定义广域网技术的应用,无法避免的引入了更多的风险。从防护的角度,可以将其大致分为下面三个场景:
  1、云边界
  云边界,即网络、云和安全系统的交叉点。企业在这个威胁场景下,饱受诸多问题困扰。
  企业分支机构有大量对云应用/服务上关键资源访问的需求。如果所有流量,即访问和回传流量,都要先转发到企业数据中心进行安全检查、分析和过滤,再对安全流量放行,意味着使用大量昂贵的 MPLS 线路。这不仅会增加数据中心安全架构的规模和复杂性,效率低下,安全成本会随着流量增长而快速增加。同时,这还意味着设备和人员在连接云服务时,因安全阻碍而无法享受本应有的便捷体验。这与企业拥抱云的初衷是不一致的。
  但是,如果不通过数据中心的安全设备,组织要面临员工访问恶意站点,恶意回传流量所带来的数据泄漏、恶意软件感染等安全隐患。安全是面向未来的投资。如果只是绕过进行直连,即使暂时没有发生安全事件,但这些担忧也会让企业无法放心使用自己选择的云服务。
  2、分支机构的网络接入
  专注客户体验的企业往往会倾向于向向客户开放其分支机构 WiFi,以便访客访问企业公开的业务、数据和服务。同时,因为企业组织架构在地域分布上的的复杂性,分支机构的员工及其设备,也都需要正确的识别,并通过不同的网络分段策略,实现有效的权限控制。如何高效且不失安全性的进行身份认证和管理,考虑体验的同时,及时阻止来自分支机构和互联网的未授权访问,是企业必须要面对的困境。
  3、广域网内部隐私数据的合规
  数据安全的合规性可谓是 2018 年一个重要热点,特别是 GDPR 开始正式实施后。拥有庞大分支机构的企业,需要留意到广域网内部的敏感信息,在存储和传输过程中,是否满足了各国各行业不同的合规性要求。无论这些数据的位于分支结构还是云应用中,都需要在敏感数据的访问权限控制以及安全传输上下足功夫。最大程度保证不会因未授权访问或中间人攻击,避免因数据泄漏带来客户、企业名誉和商业利益的多重损失。
  从威胁角度来看,三个场景实际对应着四种安全威胁:
  • 一是通过云边界,来自互联网或云应用的恶意流量;
  • 二是从企业广域网内部对互联网钓鱼站点以及恶意C2服务器的通信;
  • 三是通过分支结构以多种形式试图接入广域网内部时,必要的身份认证与管控;
  • 四是广域网内部流量中敏感数据的合规性保障。
  思科在其 SD-WAN 方案内嵌了多种安全能力组合,以针对性的、最大程度为客户降低上述场景中的安全风险。结合 Talos 团队的重要支持,以及与网络功能统一界面的简易管理,实现安全能力的有效、及时和简单。
  思科 SD-WAN 方案的五大安全优势
  对云端应用的青睐,让企业传统广域网的攻击面正确实被连接、放大。无论威胁是来自云端、互联网还是企业广域网内部。今日,各国对信息安全的合规性要求日渐凸显随着,企业级广域网客户对能够与先进 SD-WAN 方案紧耦合的安全能力的需求也是必会紧随其后。
  兼顾应用体验和安全性是思科软件定义广域网方案的突出特点。通过在分支机构路由器的边缘提供全面的防护,思科在其 SD-WAN 中嵌入的安全能力为其整套方案的带来了下面五个突出优势。
  优势1中心化、自动化的安全管理
  基于对多种流量协议、传输方式和多种云服务商的广泛支持,思科 SD-WAN 方案可以实现快速部署和启动,更简易的管理,这是软件定义广域网技术自身相对于传统广域网的重要优势。而这个优势,也延续到了该方案中的安全部分。
  思科的 SD-WAN 是网络和安全的 "一揽子" 方案,WAN 设备已经集成了包括下一代防火墙、入侵防护、URL 过滤、DNS 防护、身份管理等多种安全功能。配合威胁情报的底层支持,让安全能力更加自动化。借由与 Viptela 的技术整合,传统广域网客户只需进行软件升级,通过单一许可证购买后就可以享受网络和安全的功能,并通过集中式管理的 vManage 控制器,在单一界面实现网络和安全进行规模化的策略配置。
  优势2敏感信息的合规性保障
  例如用户和员工个人信息,企业的交易和财务数据,关键应用的开发源码和测试用例等敏感信息,会在广域网内部的各分支机构间流转,更不用说新引入的云端应用。在思科基于意图的网络中,只需在 vManage 中进行类似 "仅在 IPsec VPN上传输敏感数据" 的设定一次,即可自动应用于整个网络。同时,借由 WAN 路由器中内嵌的防火墙,以及可根据安全策略明确划分流量的 vSmart 控制器,确保只有所需的应用才可以访问到这些关键数据。
  优势3零信任的访问控制
  无论是访客从分支结构 wifi 对企业公开应用、数据和服务的访问,还是企业员工及其设备广域网的登入,不仅需要依据安全策略进行网络分段的支持,所有业务数据流都通过 IPsec VPN 隧道进行安全传输,还需要对其身份和权限进行严格的控制。当然,这不局限于传统广域网的分支结构边界,新引入云边界更是如此。
  思科在其 SD-WAN 方案中,集成了去年 10 月刚刚收购的 Duo Security。Duo Security 是致力于云交付的统一访问安全和多因子身份认证的公司。通过验证身份和设备运行状态,Duo Security 可以帮助思科广域网客户实现任意设备任意云应用的安全接入。并借此,简化思科 SD-WAN 方案中的云安全策略,扩大对端点设备的可见性。
  当然,身份认证和访问控制这道门槛仅能帮助排除未授权访问。访客或员工的 Web 访问如果回传了恶意流量,还是要通过更体系化的高级安全能力进行防控。
  优势4兼顾应用体验的安全Web/云应用访问
  传统广域网的解决思路,应对云边界带来的安全问题时,在安全性、成本以及应用体验间是必须进行取舍的。但是,思科通过在其 SD-WAN 方案中实现了其核心安全框架与 WAN 设备的良好集成,以实现不影响云应用和互联网访问体验质量的前提下,最大程度规避恶意攻击和数据泄漏的风险。
  首先是思科下一代防火墙,入侵检测和防护。这两款受 Gartner 认可的思科拳头安全产品,二者同时进入了 2018 年 Gartner 魔力象限报告的领导者象限(如下图)。安全牛之前还有专门文章对思科的下一代防火墙进行介绍。
  Talos 团队从威胁视角所提供的近乎实时的重要数据支撑,策略的编排,极短时间窗、有效的威胁检测和响应(CTR),以及自动化的处置(阻断),是这两款产品的核心优势。
  结合 URLs 过滤,以及思科 Umbrella 从 DNS 和 IP 层面提供入侵检测能力,思科在其 WAN 设备中内嵌的安全能力组合,对如钓鱼网站、恶意 C&C 服务器的连接,DDoS 攻击等,可以进行有效的检测和防御。即使这些攻击是利用云应用使用的互联网连接和开放 API 作为媒介。
  更为重要的是,这种嵌入式的安全能力,让广域网客户不用再刻意将流量先转发的数据中心,而是以近乎直连的方式,在 WAN 边界路由进行安全检测,兼顾体验的同时,还极大程度节省了用户的安全成本。
  优势5多种方案可选
  企业对云应用的青睐,不仅是更加灵活,成本也是企业重要的考虑因素。安全也是如此,需要适度的防护。思科在方案的营销层面,也通过多种组合的形式,让企业可根据自身需求,对SD-WAN 和安全的能力进行选择。
  思科在 SD-WAN 方案中附带了 DNA Essentials 许可,其中就包含整合 Viptela 技术的强大 SD-WAN 能力,以及上文提及的除去 Umbrella 和 Duo Security 的全部安全能力。而 SD-WAN 能力稍显弱势的 Meraki 版本,则提供了企业级和进阶安全级两个版本可供选择。
  不难看出,思科正试图通过在 Viptela 和 Meraki 的基础上主动扩展 SD-WAN 产品组合的方式,进一步夯实用户在 SD-WAN 应用中的可选服务。
  “无论是思科,还是来自 Gartner 行业观察判断,安全能力对于 SD-WAN 解决方案整体能力无疑是至关重要的。这直接地体现了思科多年在安全的积累能给网络反馈的重大价值。新网络技术的应用,让安全可以更早、更深度地介入,并向未来业务发展提供有力支撑。从思科对 Viptela、Duo Security 的大手笔收购和快速整合,以及在 SD-WAN 方案中倾注的安全实力中可以看到,思科正在试图为客户搭建一座通往全新业务领域的桥梁。这座桥不仅要推动客户更快的释放云计算的强大潜力,同时也要以显着降低安全风险为其重要的前提。网络和安全更加紧密结合的未来已至。
  ——安全牛评”
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

相关热词搜索: 思科 SD-WAN

上一篇:FusionInsight、一个融合的大数据平台

下一篇:最后一页

专题

CTI论坛会员企业