北京厚德诚信科技有限公司
 
 
设为首页 | 收藏本站 | 企业邮局
 
 
首  页 
 
 
新闻中心
 
行业动态 您现在的位置:网站首页 > 新闻中心 > 行业动态    
 公司新闻
 行业动态
  关于我们
  新闻中心
  产品中心
  解决方案
  服务体系
  成功案例
  联系我们
网络安全的未来:思科 SecureX 架构

日期:2014/8/29 14:01:52                                                        浏览次数:5306

席卷企业界的三个主要趋势:消费化终端的激增、虚拟化和云计算的启用以及高清视频会议使用的不断普及。这些关键技术的每一项都在促使业务转型,使安全性的开发和部署发生着根本性的改变。如今的安全解决方案在很大程度上都以保护物理基础架构为主,传统的安全策略是通过特定设备表达,例如,“公司PC”、IP 地址、网络端口或应用协议。在移动性越来越强、无边界的世界中,这种构想的相关性正在显著降低。要应对新的网络和安全动态,新的安全架构需要更加尖端。我们需要一种能够表达人员、内容、位置、时间和方式的复杂的策略语言。安全需要与其下面的物理基础架构划分开来,并且必须是高度分布式的,以便能够在全球部署,而且只要无边界企业连接公共互联网,即可随时随地获得安全性。思科开发了一个大胆的新架构来满足无边界网络的需求,企业无论大小,都可以轻松开展协作,并且能够让新员工胸有成竹地自由漫游。

此架构可提高效率,创建和实施更高级的策略。因为策略使用了各种参数,可实现更有效的安全和对形势敏锐的观察力。如今的安全策略不会使用大量复杂的防火墙规则,而是根据环境,例如“销售副总裁可以访问全球销售预测,但是,如果她希望使用一个陌生的协议在中国通过智能手机进行访问,而同时,她又已经在两小时之前通过加利福尼亚主要园区对自己进行过身份验证,那么此连接是无效的。”这种智能策略实施采用与全新 Cisco® SecureX 架构融于一体的下一代扫描组件。在此新的架构中,下一代端点能够自动找到虚拟安全阵列中最近的扫描元素,并进行无缝连接。若留意到分布于世界各地的黑客的行为,该信息将被共享,且来自黑客服务器的流量将被阻止,因为您的网络现已可以知道这些流量来自不可信任的人。策略是集中管理的,但是,情报是在全球收集的,支持高度分布式实施。

静态端点的终结

正在部署的大多数安全解决方案都是在企业网络相对静态时开发出来的。用户需要走进办公室、坐在办公桌前使用很少挪动的 PC,因为这些 PC 通过线缆连接到墙上的端口。PC 使用一套受控的软件(即“公司映像”),包括安全扫描和配置。这种公司端点曾经是实施安全措施的主要区域。如今,端点已生成数千个部分。端点技术创新的快节奏引发了一波又一波的消费类设备浪潮,无论我们喜欢与否,它们都像洪水一样不断涌入企业之中。新用户(有时也称为“千禧世代”)要求享有自由选择设备的权利,通常对他们来说,这些端点既是工作工具也是一种配件,因此他们的工作和生活密不可分。

据近期调查显示,如果必须做出选择,这些新生代员工中有三分之二的人宁愿选择薪酬相对较低、但是在工作方式和地点以及设备使用上有灵活优势的工作。在思科,我们的内部 IT 团队看到这一趋势,实施了“任意设备”策略,用户可以选择移动电话、台式机或手提电脑,甚至选择操作系统。在实施“任意设备”两年之后,我们发现不仅最终用户满意度提高了,而且,为我们最终用户群体提供服务的成本也已显著下降。降低成本,提高最终用户满意度有助于推动整个行业对“任意设备”策略的广泛兴趣。而且,随着企业与承包商、合作伙伴、供应商和客户间的关系日益复杂,员工和“非员工”间的明确界线也已消失。对很多公司来说,需要访问公司资产的合作伙伴、承包商和非传统员工的数量往往超过需要访问的员工数量。这些趋势使得大多数 IT 战略专家意识到,我们可以更长久地在端点依靠受控配置。

数据也移动

移动计算和现代化的全球外包企业携手创建了一个高度移动的动态、不受控用户社区。但是,并非只有用户在移动 -公司数据也移动。数据中心虚拟化、云计算和软件即服务 (SaaS) 的快速开展也意味着 IT 团队伸出手指说:“我的数据存储在这里”这种情况将越来越少见了。虚拟化和云计算的效率不容忽视。思科的愿景是为客户提供一组实用计算技术。Cisco Unified Computing System™ 在一个实用计算框架中提供计算、存储和网络容量模块,从而可以按要求动态提出或撤下新应用,并在基础架构和自有设备间或云中平滑移动。此计算模式可显著提高效率,但是,也打破了传统的安全模式。在虚拟化基础架构中,防火墙将何去何从?传统防火墙建立在 IP 地址、网络端口和应用协议结构的基础之上。当数据中心变得虚拟化时,需要重新设想此结构。

返回至回程?

绝大多数公司网络都是使用中心辐射型模型构建的。分支和远程流量回程至位于公司网络与互联网交接位置的出向点(可能两个在美国,而亚洲、欧洲各一个),即 DMZ,这里也是传统网络安全措施的所在:防火墙、入侵防御系统(IPS)、web 和电邮网关。但是,在如今更为分布式、面向云的环境中,不太适合使用中心辐射型模型。事实上,通常这样会起到反作用。从逻辑上说,公司数据中心通常离 DMZ 更近,因此当大多数应用位于公司数据中心中时,回程流量显得更为合理。但是,随着越来越多的应用移至云端,实际上变成了移动用户离自己的数据更近,而不是 DMZ。强制回程连接会增加延迟,阻塞不断增加的流量,并产生可能不再必要的全局往返成本。而且,随着企业对企业高清视频会议的推广,中心辐射型模型并不能达到最佳效果。如果身处墨西哥城的销售人员希望与墨西哥城当地客户进行网络会议,那么,将高清的实时视频流一路回程至加利福尼亚圣何塞再返回来是否还有意义?显而易见,最有效的路线是将流流量直接送至当地客户再返回来。出于成本和性能考虑,Cisco TelePresence® 等下一代协作工具将需要一个更加分散的网络架构。当没有中央收集点可以分析流量和实施策略时,传统安全将发生哪些变化?

保护新企业的蓝图

要在新世界中保护新企业,我们需要一个新的安全架构。此新模型将具有以下几个重要功能:
 采用更高等级的策略语言,可充分感知具体安全情景的所有环境:用户、设备、地点、时间和方式。
 从而实现独立于基础安全扫描元素的一致策略实施。
 可以跨虚拟和实际世界、自有设备和云世界自然混合,实现无缝、一致的策略实施。
 当威胁出现时,对威胁有全局把握,并能够关联该信息,以实时保护应用和数据避免这些威胁。
 可实现高度分布式的安全实时扫描,无论最终用户或应用位于何处,均可使安全真正更靠近他们。
这并非是某些未来计划的蓝图,而是当务之急。


思科开发了一个新的环境感知安全架构 SecureX,以满足新的无边界企业需求。该架构立足于一个坚实的基础(即可确保您的网络基础架构无论如何都不会遭受损害的技术),在此基础之上,各种安全实施要素以设备、模块或云服务的形式而构建。此架构可以处理各种设备,范围涵盖从传统的公司 PC 或 Mac 直到 iPad、Android 或 Cisco Cius™ 等下一代移动设备。通过 Cisco AnyConnect™,通过在最优点将这些混合设备连接到安全基础架构中,并无缝连接,从而在网络中实施安全性。SecureX 安全架构的核心是情景感知,这与关注内容检查或数据的传统架构有着明显的不同。攻击者们越来越善于通过各种手段对内容进行混淆,并绕过安全检查。思科早已料到将发生这些变革,并在十年之前就使用邮件发送服务器的身份及其发送历史和位置等数据,将全部情景纳入了检查范围之内。思科的网络安全和 IPS 传感器也采用了相同的方法。

如今,通过使用 Cisco AnyConnect,思科将同等水平的威胁遥测数据加入到数百万个端点和设备中。对于寻求访问分布式网络的任意用户和设备,Cisco TrustSec® 通过基于策略的访问控制扩展了情景感知功能的作用范围。根据用户、内容、位置、时间和方式对用户进行身份验证和授权。还可对端点设备进行分析,确定在获得访问权限前其是否满足公司安全策略。还可以自动识别和清点打印机或视频摄像头等非认证设备。其次,通过一个基于环境的唯一访问策略标记,对来自任意经验证设备的流量进行标记。数据路径上的网络设备读到此标记,可通过限制对于预先确定的网络目的地和资源的访问,实施其相关策略。
 

最后,Cisco TrustSec 还可提供数据安全。例如,可能存在一条策略需要访问薪酬服务器的任意财务部门员工都必须保护其数据的安全。Cisco TrustSec 理解此策略,并可下发策略,使网络设备动态加密用户数据。通过为思科防火墙提供全部情景感知,思科正在加深这种对于情景价值的理解。思科防火墙还能够根据任何请求的用户、内容、位置、时间和方式实施安全策略。这样可以表明个人的用户身份及其在企业中的职务、他们正在访问何种公司应用(是企业资源规划 [ERP]、HR、财务还是源代码)、正在使用何种设备(是 iPhone 还是 Windows笔记本电脑)以及该设备是否由 IT 进行管理。但是,全部情景感知还依赖于本地和全局参数。例如,某目录条目是本地身份来源,但是,互联网连接需要考虑电邮信誉、web、FTP 或其他服务器等全局参数。思科防火墙在这一方面的真正优点在于其关联能力。虽然对于员工是否从总部大楼登录网络(可能对隔离没什么作用)等参数也很关注,但是,如果将这些知识与其他信息相关联(例如,同一名员工正尝试从星巴克使用其 iPad 访问客户关系管理(CRM) 应用),就变得非常重要了。

边界越来越模糊

Cisco SecureX 架构使用下一代扫描元素,淡化了防火墙、IPS、防病毒引擎、网络代理和访问控制解决方案间的界线。这些下一代扫描和实施元素基于思科网络基础架构固态的内嵌技术,它们高度分散,且部署模式灵活 - 作为设备在客户总部或主园区中部署、作为模块在分支机构路由器中部署,或者作为映像在思科安全云中部署。无论客户选择如何部署扫描元素,它们都能协同工作,从而创建一个由一系列安全实施点组成的安全阵列,无论最终用户位于何处、使用何种设备,均能让安全措施离他们更近。


而且,Cisco SecureX 架构很智能,可以了解正在使用何种应用或者正在进行访问的具体地点,了解用户正在世界上的某个具体位置接入网络、访问网络的时间、如何访问安全的网络(通过 iPad、智能手机、台式机或任何其他设备)、设备是否被盗用以及用户在企业中担任何种职务。工作地点正在变化,这需要我们所有人改变我们考虑安全问题的方式。Cisco SecureX 简化了策略语言,在安全方面所起的作用与内容交付网络在网页方面起的作用相同。无论用户位于何处,都可以进行扫描,并获得保护。通过重新构想安全,我们可以将其从守门人变成推动力,使公司得以采用新技术,并从中获益。安全变成了一种竞争武器,不是闭关自守,而是海纳百川 - 这是未来的一大发展。

   
版权所有 © 2010 北京厚德诚信科技有限公司 京ICP备20021790号      京公网安备 110102005650