思科SD-WAN方案中的五大安全優勢
作者:星期四, 一月 17, 20190

思科認為,“簡單、安全、可擴展”的SD-WAN方案,更多選擇讓企業可以根據自身情況在網絡和安全中實現最佳的平衡,讓其信心十足且更快地采用云技術。

軟件定義廣域網(SD-WAN)是傳統企業級廣域網方案的重要技術更新和迭代方向。傳統廣域網平臺主要用于將分支機構直接連接到數據中心,而無法靈活地處理與多個云平臺的同時連接,也不能自動選擇最高效且最具成本效益的路由。

對于企業而言,新方案的優勢不僅在于采用云技術時開發、管理上的便捷,同時,軟件定義廣域網的邊界還要融入更廣泛的安全能力,以應對復雜環境帶來的風險。

網絡產品的出色能力,一直是思科(Cisco)的核心競爭力。連續多年入選Gartner“有線和無線局域網接入基礎設施”魔力象限中的領導者就是最好的印證。網絡與安全并重是思科近些年的發力方向,但產品和方案層面兩者卻仍一直相對獨立。但此次,思科在其軟件定義廣域網方案中,在產品層面將大量安全能力與軟件定義廣域網技術進行了深度整合,并將安全作為其網絡方案的重要特征提及。

這篇文章將著重介紹安全為思科SD-WAN方案帶來的重要優勢。

新的廣域網邊界需要融入更多的安全能力

思科在全球擁有超過10萬名廣域網邊界設備企業客戶,110余萬臺路由器正在客戶環境中運行。為了進一步完成對SD-WAN的技術布局,思科在2017年8月宣布以6.1億美元現金和相關股權激勵完成對軟件定義廣域網公司Viptela的收購,并以有史以來最快的速度完成和Viptela的全面技術整合。

Viptela的優勢在于先進的路由和網絡分段能力,以及良好的可擴展性。同時,多云支持的管理、編排和覆蓋技術,讓SD-WAN的部署和管理更加簡單。而和思科Meraki路由(含無線)系列產品結合使用,則能夠讓思科的SD-WAN方案廣泛滿足客戶的部署要求。

對Viptela的成功收購,不僅為思科SD-WAN方案帶來了關鍵的能力支持,使其順利進入Gartner2018年“WAN邊界基礎設施魔力象限”報告的領導者象限,這還是思科向以軟件為中心、訂閱主導的網絡模式戰略轉型的關鍵一步。

Gartner2018年WAN邊界基礎設施魔力象限

Gartner在該報告中表示,受企業數字化轉型和對眾多重要業務線管理需求的驅動,傳統的MPLS網絡將經歷巨大轉變。廣域網邊界基礎設施的更新,軟件定義廣域網軟件/應用及傳統路由,是重要的方向。市場的轉型,勢必將涌入更多領域的供應商。安全,也將會作為重要功能,內嵌到新的廣域網邊界基礎設施中

思科SD-WAN方案,也體現了和Gartner論斷一致的對安全的重視。

思科將自家SD-WAN方案的特征概括為“簡單、安全、可擴展”。其中,“簡單”在于方案部署和通過單一界面對網絡、安全功能的管理;“可擴展性”在于對云服務/應用的支持;“安全”則更為豐富,包括以威脅情報(TI)團隊Talos的數據支撐,下一代防火墻,入侵檢測和防護,URLs過濾,Umberlla(DNS防護),以及在去年10月以23.5億美金完成收購的Duo Security(多因子身份認證)。

思科將這些作為核心安全能力,通過與WAN設備集成的方式,將其內嵌到整個SD-WAN方案中,針對多個威脅場景,提供多組合、可選、全方位的安全防護。

內嵌的安全能力,是思科SD-WAN方案的重要優勢。

SD-WAN場景下的安全隱患

思科全球高級副總裁,企業網絡事業部總經理Scott Harrell曾表示,全新云邊界的出現正在顛覆客戶的網絡和安全架構。如今,每款廣域網設備都必須支持軟件定義,并具備強大的安全特性。

思科認為,云的引入,軟件定義廣域網技術的應用,無法避免的引入了更多的風險。從防護的角度,可以將其大致分為下面三個場景:

1. 云邊界

云邊界,即網絡、云和安全系統的交叉點。企業在這個威脅場景下,飽受諸多問題困擾。

企業分支機構有大量對云應用/服務上關鍵資源訪問的需求。如果所有流量,即訪問和回傳流量,都要先轉發到企業數據中心進行安全檢查、分析和過濾,再對安全流量放行,意味著使用大量昂貴的MPLS線路。這不僅會增加數據中心安全架構的規模和復雜性,效率低下,安全成本會隨著流量增長而快速增加。同時,這還意味著設備和人員在連接云服務時,因安全阻礙而無法享受本應有的便捷體驗。這與企業擁抱云的初衷是不一致的。

但是,如果不通過數據中心的安全設備,組織要面臨員工訪問惡意站點,惡意回傳流量所帶來的數據泄漏、惡意軟件感染等安全隱患。安全是面向未來的投資。如果只是繞過進行直連,即使暫時沒有發生安全事件,但這些擔憂也會讓企業無法放心使用自己選擇的云服務。

2. 分支機構的網絡接入

專注客戶體驗的企業往往會傾向于向向客戶開放其分支機構WiFi,以便訪客訪問企業公開的業務、數據和服務。同時,因為企業組織架構在地域分布上的的復雜性,分支機構的員工及其設備,也都需要正確的識別,并通過不同的網絡分段策略,實現有效的權限控制。如何高效且不失安全性的進行身份認證和管理,考慮體驗的同時,及時阻止來自分支機構和互聯網的未授權訪問,是企業必須要面對的困境。

3. 廣域網內部隱私數據的合規

數據安全的合規性可謂是2018年一個重要熱點,特別是GDPR開始正式實施后。擁有龐大分支機構的企業,需要留意到廣域網內部的敏感信息,在存儲和傳輸過程中,是否滿足了各國各行業不同的合規性要求。無論這些數據的位于分支結構還是云應用中,都需要在敏感數據的訪問權限控制以及安全傳輸上下足功夫。最大程度保證不會因未授權訪問或中間人攻擊,避免因數據泄漏帶來客戶、企業名譽和商業利益的多重損失。

從威脅角度來看,三個場景實際對應著四種安全威脅:

  • 一是通過云邊界,來自互聯網或云應用的惡意流量;
  • 二是從企業廣域網內部對互聯網釣魚站點以及惡意C2服務器的通信;
  • 三是通過分支結構以多種形式試圖接入廣域網內部時,必要的身份認證與管控;
  • 四是廣域網內部流量中敏感數據的合規性保障。

思科在其SD-WAN方案內嵌了多種安全能力組合,以針對性的、最大程度為客戶降低上述場景中的安全風險。結合Talos團隊的重要支持,以及與網絡功能統一界面的簡易管理,實現安全能力的有效、及時和簡單。

思科SD-WAN方案的五大安全優勢

對云端應用的青睞,讓企業傳統廣域網的攻擊面正確實被連接、放大。無論威脅是來自云端、互聯網還是企業廣域網內部。今日,各國對信息安全的合規性要求日漸凸顯隨著,企業級廣域網客戶對能夠與先進SD-WAN方案緊耦合的安全能力的需求也是必會緊隨其后。

兼顧應用體驗和安全性是思科軟件定義廣域網方案的突出特點。通過在分支機構路由器的邊緣提供全面的防護,思科在其SD-WAN中嵌入的安全能力為其整套方案的帶來了下面五個突出優勢。

優勢1. 中心化、自動化的安全管理

基于對多種流量協議、傳輸方式和多種云服務商的廣泛支持,思科SD-WAN方案可以實現快速部署和啟動,更簡易的管理,這是軟件定義廣域網技術自身相對于傳統廣域網的重要優勢。而這個優勢,也延續到了該方案中的安全部分。

思科的SD-WAN是網絡和安全的“一攬子”方案,WAN設備已經集成了包括下一代防火墻、入侵防護、URL過濾、DNS防護、身份管理等多種安全功能。配合威脅情報的底層支持,讓安全能力更加自動化。借由與Viptela的技術整合,傳統廣域網客戶只需進行軟件升級,通過單一許可證購買后就可以享受網絡和安全的功能,并通過集中式管理的vManage控制器,在單一界面實現網絡和安全進行規模化的策略配置。

優勢2. 敏感信息的合規性保障

例如用戶和員工個人信息,企業的交易和財務數據,關鍵應用的開發源碼和測試用例等敏感信息,會在廣域網內部的各分支機構間流轉,更不用說新引入的云端應用。在思科基于意圖的網絡中,只需在vManage中進行類似 “僅在 IPsec VPN上傳輸敏感數據”的設定一次,即可自動應用于整個網絡。同時,借由WAN路由器中內嵌的防火墻,以及可根據安全策略明確劃分流量的vSmart控制器,確保只有所需的應用才可以訪問到這些關鍵數據。

優勢3. 零信任的訪問控制

無論是訪客從分支結構wifi對企業公開應用、數據和服務的訪問,還是企業員工及其設備廣域網的登入,不僅需要依據安全策略進行網絡分段的支持,所有業務數據流都通過IPsec VPN隧道進行安全傳輸,還需要對其身份和權限進行嚴格的控制。當然,這不局限于傳統廣域網的分支結構邊界,新引入云邊界更是如此。

思科在其SD-WAN方案中,集成了去年10月剛剛收購的Duo Security。Duo Security是致力于云交付的統一訪問安全和多因子身份認證的公司。通過驗證身份和設備運行狀態,Duo Security可以幫助思科廣域網客戶實現任意設備任意云應用的安全接入。并借此,簡化思科SD-WAN方案中的云安全策略,擴大對端點設備的可見性。

當然,身份認證和訪問控制這道門檻僅能幫助排除未授權訪問。訪客或員工的Web訪問如果回傳了惡意流量,還是要通過更體系化的高級安全能力進行防控。

優勢4. 兼顧應用體驗的安全Web/云應用訪問

傳統廣域網的解決思路,應對云邊界帶來的安全問題時,在安全性、成本以及應用體驗間是必須進行取舍的。但是,思科通過在其SD-WAN方案中實現了其核心安全框架與WAN設備的良好集成,以實現不影響云應用和互聯網訪問體驗質量的前提下,最大程度規避惡意攻擊和數據泄漏的風險。

首先是思科下一代防火墻,入侵檢測和防護。這兩款受Gartner認可的思科拳頭安全產品,二者同時進入了2018年Gartner魔力象限報告的領導者象限(如下圖)。安全牛之前還有專門文章對思科的下一代防火墻進行介紹。

Talos團隊從威脅視角所提供的近乎實時的重要數據支撐,策略的編排,極短時間窗、有效的威脅檢測和響應(CTR),以及自動化的處置(阻斷),是這兩款產品的核心優勢。

結合URLs過濾,以及思科Umbrella從DNS和IP層面提供入侵檢測能力,思科在其WAN設備中內嵌的安全能力組合,對如釣魚網站、惡意C&C服務器的連接,DDoS攻擊等,可以進行有效的檢測和防御。即使這些攻擊是利用云應用使用的互聯網連接和開放API作為媒介。

更為重要的是,這種嵌入式的安全能力,讓廣域網客戶不用再刻意將流量先轉發的數據中心,而是以近乎直連的方式,在WAN邊界路由進行安全檢測,兼顧體驗的同時,還極大程度節省了用戶的安全成本。

優勢5. 多種可選方案

企業對云應用的青睞,不僅是更加靈活,成本也是企業重要的考慮因素。安全也是如此,需要適度的防護。思科在方案的營銷層面,也通過多種組合的形式,讓企業可根據自身需求,對SD-WAN和安全的能力進行選擇。

思科在SD-WAN方案中附帶了DNA Essentials許可,其中就包含整合Viptela技術的強大SD-WAN能力,以及上文提及的除去Umbrella和Duo Security的全部安全能力。而SD-WAN能力稍顯弱勢的Meraki版本,則提供了企業級和進階安全級兩個版本可供選擇。

不難看出,思科正試圖通過在Viptela和Meraki的基礎上主動擴展SD-WAN產品組合的方式,進一步夯實用戶在 SD-WAN 應用中的可選服務。

安全牛評

無論是思科,還是來自Gartner行業觀察判斷,安全能力對于SD-WAN解決方案整體能力無疑是至關重要的。這直接地體現了思科多年在安全的積累能給網絡反饋的重大價值。新網絡技術的應用,讓安全可以更早、更深度地介入,并向未來業務發展提供有力支撐。從思科對Viptela、Duo Security的大手筆收購和快速整合,以及在SD-WAN方案中傾注的安全實力中可以看到,思科正在試圖為客戶搭建一座通往全新業務領域的橋梁。這座橋不僅要推動客戶更快的釋放云計算的強大潛力,同時也要以顯著降低安全風險為其重要的前提。網絡和安全更加緊密結合的未來已至。

相關閱讀

從Gartner新領導者看NGFW的未來方向

 

思科2019新動向:軟件、SD-WAN、安全、高速數據中心

 

分享:
0

相關文章

寫一條評論

 

 

0條評論