企業(yè)要想充滿信心地把握住數(shù)據(jù)中心虛擬化和云帶來的業(yè)務(wù)優(yōu)勢,安全性將是其中的關(guān)鍵,而非阻礙。我們建議用戶在網(wǎng)絡(luò)中一致地部署安全性,確保各項策略能夠在包括物理、虛擬和云在內(nèi)的混合環(huán)境中得到可靠執(zhí)行,同時支持?jǐn)?shù)據(jù)中心專業(yè)人員在絲毫不影響網(wǎng)絡(luò)性能的情況下,提供高度安全的‘IT即服務(wù)’(IT as a service)。”——思科全球資深副總裁兼安全與政府事業(yè)部總經(jīng)理Christopher Young
當(dāng)前,虛擬化和云的大趨勢正推動數(shù)據(jù)中心發(fā)生重大轉(zhuǎn)變,并影響到從IT服務(wù)到業(yè)務(wù)模式乃至架構(gòu)的方方面面。這些趨勢會帶來諸多業(yè)務(wù)優(yōu)勢,例如更低的資本投資、新的收入增長、以及更高的效率、靈活性和可擴展性等,從而將能夠支持更快地推進全球化步伐。
在數(shù)據(jù)中心大踏步向著融合、虛擬化、自動化邁進的同時,以支撐未來彈性計算、海量數(shù)據(jù)計算所帶來的應(yīng)用流量激增,虛擬工作負(fù)載增長,以及移動終端接入普及的需求也給IT提出了更高的要求。之于安全,IT部門一直在很多無效控制的網(wǎng)絡(luò)邊界建設(shè)安全的基礎(chǔ)設(shè)施,傳統(tǒng)的安全體系和思路已經(jīng)在虛擬化技術(shù)普及,大量移動終端接入,以及高復(fù)雜安全威脅技術(shù)面前,顯的拙荊見肘。業(yè)界已經(jīng)對重構(gòu)網(wǎng)絡(luò)安全體系達成了共識,并不斷通過技術(shù)的創(chuàng)新和主動智能的方法搭建更為有效的安全架構(gòu)和體系。
安全轉(zhuǎn)型勢在必行
思科作為自適應(yīng)安全的倡導(dǎo)者,很早就在其安全解決方案中融入了主動識別和防御、智能管理和虛擬化安全的思路,并嘗試給企業(yè)帶來端到端的安全性。近日思科推出了一系列的安全解決方案,支撐企業(yè)數(shù)據(jù)中心向整合和虛擬化邁進的過程中更有效的抵御威脅。
Christopher Young表示,“安全的可拓展性、物理和虛擬混合環(huán)境的統(tǒng)一安全策略、以及安全開發(fā)必須以業(yè)務(wù)為導(dǎo)向,成為提升企業(yè)安全整體能力的新需求。”
思科全球資深副總裁兼安全與政府事業(yè)部總經(jīng)理Christopher Young
所以思科認(rèn)為,在當(dāng)前的環(huán)境下,安全性必須貫穿于整個網(wǎng)絡(luò),以便可靠地保護統(tǒng)一數(shù)據(jù)中心。
思科大中華區(qū)副總裁無邊界網(wǎng)絡(luò)事業(yè)部總經(jīng)理倪殿令表示,“滿足這樣的需求,必須做到以下幾點以推動安全的轉(zhuǎn)型,包括應(yīng)用保護、統(tǒng)一安全策略和業(yè)務(wù)環(huán)境感知。”
思科大中華區(qū)副總裁無邊界網(wǎng)絡(luò)事業(yè)部總經(jīng)理倪殿令
Christopher Young指出,“通過應(yīng)用防護應(yīng)對來自WEB、APT和惡意軟件的威脅;統(tǒng)一的安全策略,為虛擬機間的通信提供可靠保障,并使統(tǒng)一的安全策略適合物理和虛擬的混合環(huán)境,以覆蓋云端和數(shù)據(jù)中心;業(yè)務(wù)環(huán)境感知要基于身份,提供可視性和可控性的統(tǒng)一安全管理。”
思科認(rèn)為隨著企業(yè)開始遷移到云和采用更靈活的,不受設(shè)備限制的企業(yè)文化,這樣的安全轉(zhuǎn)型勢在必行。
思科SecureX嵌入混合環(huán)境
思科SecureX架構(gòu)在整個分布式網(wǎng)絡(luò)中執(zhí)行安全策略,而不僅限于數(shù)據(jù)流中的一個點。通過這種方式,它能夠滿足當(dāng)前無邊界網(wǎng)絡(luò)環(huán)境中不斷變化的安全需求。為移動用戶、虛擬化數(shù)據(jù)和云提供安全保護策略。通過高級策略,如誰在何時何地利用哪些應(yīng)用和設(shè)備訪問哪些內(nèi)容,提供環(huán)境感知安全性深入監(jiān)測和提升運營效率。
思科SecureX架構(gòu)基于3個主要組件:
- 網(wǎng)絡(luò)智能組件:提供可視性、增強網(wǎng)絡(luò)安全性
- 環(huán)境感知增強:執(zhí)行安全策略、利用整體的交互環(huán)境,在設(shè)備到基于云的各種產(chǎn)品上部署安全要素。
- 環(huán)境感知策略:業(yè)務(wù)驅(qū)動型策略,利用環(huán)境簡化并與實現(xiàn)IT實施和業(yè)務(wù)規(guī)則直接關(guān)聯(lián)。
在這三部分的主要組件中,思科提供TRUSTSEC和身份服務(wù)引擎(ISE),思科ASA系列自適應(yīng)安全設(shè)備,Anyconnect安全移動,SIO云安全服務(wù),當(dāng)然也包括這次推出的思科ASA 1000V。
實現(xiàn)安全保障的統(tǒng)一交換矩陣
這次思科針對其SecureX架構(gòu)下組件進行了密集的產(chǎn)品升級和發(fā)布,包括思科ASA系列操作平臺9.0版本的發(fā)布,推出全新的思科ASA 1000V虛擬防火墻,新的思科IPS4500系列入侵防御系統(tǒng)等。接下來就讓我們一起這些產(chǎn)品的亮點。
思科ASA 9.0平臺操作系統(tǒng)更新:提升性能,可擴展至320G的防火墻和60G的IPS吞吐率,支持每秒100萬個連接和5,000萬個并發(fā)連接;集成了身份、內(nèi)容和應(yīng)用安全;擴展集群技術(shù)實現(xiàn),支持將ASA堆棧作為單個邏輯設(shè)備進行管理等功能。
思科ASA 1000V:構(gòu)建在Nexus 1000V系列交換機上,作為原來思科虛擬安全網(wǎng)關(guān)(VSG)的延伸,負(fù)責(zé)虛擬機遷移時,安全策略的管理。單一ASA 1000V能夠在多個ESX主機間采用不同的安全策略來保護多個工作負(fù)載,為虛擬化和云基礎(chǔ)設(shè)施帶來了端到端安全性。
思科IPS 4500系列:提供高性能密度,每機架單元具備每秒萬兆性能;結(jié)合網(wǎng)絡(luò)信譽的環(huán)境感知型IPS的實施能夠推動用戶做出有效的危害降低決策。
思科Security Manager 4.3(CSM):提供可擴展的集中管理功能,使管理員能夠有效管理眾多思科安全設(shè)備,實現(xiàn)網(wǎng)絡(luò)部署的可視性,并與其他基本網(wǎng)絡(luò)服務(wù)(如合規(guī)性系統(tǒng)和高級安全分析系統(tǒng))分享信息。作為SecureX的大管家,管理包括ASA系列,IPS系列,AnyConnect移動客戶端,思科安全路由在內(nèi)的安全環(huán)境。
思科AnyConnect 3.1:升級了差異化設(shè)備訪問功能,支持自帶設(shè)備(BYOD)部署、IPv6能力以及新一代加密技術(shù),包括NSA的Suite B加密等。
寫在最后
在思科SecureX架構(gòu)下,其不同組件的功能和技術(shù)逐步完善,我們逐漸看到了思科構(gòu)建混合環(huán)境下集防火墻、IPS、虛擬安全網(wǎng)關(guān)、安全統(tǒng)一管理、安全終端接入等解決方案的統(tǒng)一安全策略,這樣的策略已經(jīng)逐漸打破了原有的安全架構(gòu)的限制,與思科所倡導(dǎo)的無邊界網(wǎng)絡(luò)緊密的結(jié)合在一起。相信這樣的體系在未來還有待進一步完善,而且也不是只有思科在這樣做,安全的變革就在當(dāng)下,虛擬化和云、不斷變化的安全威脅都是安全架構(gòu)不斷演進的驅(qū)動力,但來自安全本身的技術(shù)源動力也蓄勢待發(fā)。