- 挑戰(zhàn)一:由于現(xiàn)有安全系統(tǒng)的能力有限,部分現(xiàn)有應(yīng)用出現(xiàn)了性能問題,這影響了用戶體驗(yàn)和工作效率。用戶指出丟包和網(wǎng)絡(luò)擁塞導(dǎo)致出現(xiàn)性能降低和業(yè)務(wù)關(guān)鍵型應(yīng)用中斷等問題。
- 挑戰(zhàn)二:某些類型的云連接要求提供更高的安全可視性和更嚴(yán)格的控制措施來保護(hù)思科網(wǎng)絡(luò)避免因云漏洞而遭遇攻擊,并滿足安全團(tuán)隊(duì)不斷變化的要求。
為了應(yīng)對這些挑戰(zhàn),思科 IT 部門選擇思科 Firepower 9300 安全設(shè)備作為我們的新核心防御解決方案。這種運(yùn)營商級的下一代防火墻將使我們能夠:
- 提高可擴(kuò)展性:獲得高性能、可擴(kuò)展的防御平臺,為持續(xù)增長的流量提供服務(wù)
在 2017 至 2018 年期間,我們的峰值云流量增幅超過 200%。流量激增帶來的網(wǎng)絡(luò)擁塞和丟包問題影響了客戶的工作效率。通過使用 Firepower 9300 硬件替換思科 ASA 防火墻,我們能夠快速解決這些可擴(kuò)展性問題,并為未來增長預(yù)留空間。
- 引入全新的安全控制措施:以經(jīng)過簡化且低成本方式在網(wǎng)絡(luò)中的新位置引入安全保護(hù)
隨著企業(yè)網(wǎng)絡(luò)越過傳統(tǒng)邊界擴(kuò)展到云中,在網(wǎng)絡(luò)中的新位置引入安全保護(hù)變得尤為重要。過去,執(zhí)行這項(xiàng)操作需要在整個網(wǎng)絡(luò)中部署大量的專用設(shè)備,這使企業(yè)需要支付高昂的托管和管理成本。然而,通過使用下一代防火墻,我們只需部署一對設(shè)備,即可在之前未采取適當(dāng)控制措施的位置提供所需的可擴(kuò)展性和安全性功能。
- 減少占用空間,降低復(fù)雜性:將現(xiàn)有安全服務(wù)整合到單一平臺。
傳統(tǒng)防御解決方案需要占用過多的機(jī)架空間,消耗大量的電力和冷卻成本;極大增加了網(wǎng)絡(luò)復(fù)雜性;并使企業(yè)在關(guān)聯(lián)安全和網(wǎng)絡(luò)事件方面遭遇到更多的挑戰(zhàn)。結(jié)合使用 Firepower 9300 和 Firepower 威脅防御 (FTD) 軟件將可提供所需的可擴(kuò)展性和功能,將多個安全工具整合到單一平臺。這有助于減少我們的環(huán)境影響和運(yùn)營成本,簡化全局策略部署,并提高端到端安全可視性。
我們知道我們的客戶面臨著類似的挑戰(zhàn)。作為自己的 “首位客戶”,我們可以在產(chǎn)品開發(fā)早期向工程團(tuán)隊(duì)提供實(shí)時反饋,從而影響產(chǎn)品設(shè)計。我們正是以這種方式來幫助打造客戶可放心購買的思科安全解決方案。
截至 2018 年中期,我們已在 75% 的思科 IT CloudPort 位置部署思科 Firepower 9300,用作企業(yè)防火墻。思科 IT 部門通過 CloudPort 優(yōu)化了企業(yè)網(wǎng)絡(luò)與云資源的連接,并確保此連接的安全性。
與此同時,為了以新模式保護(hù)實(shí)驗(yàn)室環(huán)境,我們還在其他四個位置上部署了這些設(shè)備。我們計劃在 2019 年中期之前,在所有主要的企業(yè)網(wǎng)絡(luò)樞紐上安裝這些設(shè)備。
企業(yè)防火墻:更換硬件、遷移軟件
思科 IT 企業(yè)防火墻為超過 133000 名用戶提供互聯(lián)網(wǎng)和云的連接,并保護(hù)思科企業(yè)網(wǎng)絡(luò)免遭外部網(wǎng)絡(luò)威脅,但是它對網(wǎng)絡(luò)資源的需求在不斷擴(kuò)大,因此我們需要一個能跟上企業(yè)發(fā)展步伐的新防火墻。
思科 IT 部高級網(wǎng)絡(luò)工程師 Michael Ellison 指出:
“我們最重要的目標(biāo)是解決性能問題。在暫時保留 ASA 軟件的同時部署 Firepower 9300 固件,使我們能夠快速解決這些問題,每年消除 5 到 10 個影響力相對較大的網(wǎng)絡(luò)事件。
以前,由于擴(kuò)展的需要,我們必須跨三個不同的防火墻來執(zhí)行流量管理。通過將這三個防火墻整合到一起,我們大大降低了網(wǎng)絡(luò)復(fù)雜度。”
更換硬件后,我們網(wǎng)絡(luò)的流量吞吐量和性能都提高到了原來的 5 倍。在不久的將來,我們將過渡到 FTD 軟件,完成過渡后我們將能夠解決與運(yùn)營開銷相關(guān)的重大問題,以前所未有的速度檢測潛在惡意活動,并在惡意活動造成損害之前將其消除。我們計劃盡快遷移到 FTD 軟件,以獲得上述優(yōu)勢。
適用于實(shí)驗(yàn)室的以 FTD 為導(dǎo)向的設(shè)計
思科位于全球各地的內(nèi)部實(shí)驗(yàn)室共擁有超過 210 萬個 IP 地址,用于幫助全球 600 個不同地點(diǎn)與公司網(wǎng)絡(luò)建立連接。我們的實(shí)驗(yàn)室網(wǎng)絡(luò)迫切需要全新的安全功能,這要求我們能夠立即遷移到 FTD。這種方法能夠讓我們獲得直接部署 FTD 的優(yōu)勢,在企業(yè)防火墻上設(shè)置 FTD 部署的預(yù)期。
思科 IT 部網(wǎng)絡(luò)架構(gòu)師 Roel Bernaerts 說:
“實(shí)驗(yàn)室在本質(zhì)上動態(tài)性更高,而且需要高度靈活性,因此我們要為其部署不同的網(wǎng)絡(luò)安全工具。
通過將所有實(shí)驗(yàn)室都遷移到單獨(dú)的虛擬重疊網(wǎng)絡(luò),我們可以使互聯(lián)設(shè)備數(shù)量由 600 減少到 13。通過在這些互聯(lián)設(shè)備上部署帶 FTD 的 Firepower 9300 防火墻,我們實(shí)現(xiàn)了更佳的可視性,并擁有了更多的可用防御工具,這使我們能夠在一天之內(nèi)檢測并防御 18000 個新安全威脅。”
長久以來,我們檢測到實(shí)驗(yàn)室里的安全威脅進(jìn)一步感染網(wǎng)絡(luò),應(yīng)對威脅的措施包括斷開整個實(shí)驗(yàn)室的連接或者丟棄來自特定主機(jī)的所有流量。這不僅影響了新思科產(chǎn)品和軟件的交付,而且驗(yàn)證突發(fā)事件和采取應(yīng)對措施通常還需要耗費(fèi)長達(dá)數(shù)小時的時間,在這段時間內(nèi),威脅將在實(shí)驗(yàn)室中快速傳播,并可能感染生產(chǎn)系統(tǒng)。
新解決方案會自動阻止特定威脅,而不會影響合法流量,并且在需要的情況下,它還可以在幾分鐘的檢測過程中推出更加復(fù)雜的防御策略。
集中管理基礎(chǔ)設(shè)施
我們還部署了一對高度可用的 Firepower 管理中心 (FMC) 設(shè)備,用于控制我們的 FTD 部署。FMC 使我們能夠從一個中心位置管理我們的防御策略,并立即將其推送到位于全球各地的所有 FTD 設(shè)備。
此外,啟用上述新功能需要專門的技能組來執(zhí)行代碼升級,這會占用寶貴資源,且偶爾還會因人為錯誤而導(dǎo)致關(guān)鍵網(wǎng)絡(luò)故障。有了 FMC,我們可以一鍵部署新版本的代碼。
FMC 還有助于我們深入了解我們的安全設(shè)備上有哪些流量經(jīng)過。分析此類數(shù)據(jù)將能幫助我們基于更加深刻的見解做出更為明智的決策,從而進(jìn)一步優(yōu)化網(wǎng)絡(luò)和安全策略。
在我們之前的部署中,網(wǎng)絡(luò)工程師無法訪問安全設(shè)備,導(dǎo)致他們難以排除性能故障。如今,這些工程師借助 FMC 獲得了對這些系統(tǒng)的可視性,于此同時我們的安全團(tuán)隊(duì)仍可繼續(xù)限制對安全敏感信息的訪問。
整合安全解決方案的未來優(yōu)勢
盡管我們下一代防火墻仍在部署中,但我們已經(jīng)獲得了它帶來的諸多優(yōu)勢。在不久的將來,一旦企業(yè)防火墻全面遷移到 FTD,我們預(yù)計還會實(shí)現(xiàn)更多的價值,包括:
- 降低運(yùn)營開支:Firepower 9300 提供的可擴(kuò)展性和功能將有助于我們進(jìn)行大規(guī)模的整合,將支持和管理的安全設(shè)備數(shù)量由 116 削減至 26,從而顯著降低網(wǎng)絡(luò)復(fù)雜性,移除多個故障點(diǎn),并消除引發(fā)關(guān)鍵事件的常見原因。這將會使每周的運(yùn)營開銷減少約 20 個工時。
- 減少數(shù)據(jù)中心所占空間:設(shè)備數(shù)量減少能夠使每個數(shù)據(jù)中心減少 40 個機(jī)架單元。從而節(jié)省數(shù)據(jù)中心和代管設(shè)施的電力、冷卻、機(jī)架空間成本?傮w而言,我們預(yù)計整合安全解決方案將幫助我們每年節(jié)省超過 50 萬美元的費(fèi)用。
- 提高速度:向全球各地企業(yè)防火墻推送訪問列表更新需要至少花費(fèi)工程師 6.5 個小時。而通過 FMC 管理所有設(shè)備時,所需時間將不到 30 分鐘。其他安全策略更新或網(wǎng)絡(luò)優(yōu)化也可以類似的速度向外推送,從而節(jié)省可觀的時間。
- 自動化和協(xié)調(diào):通過為 Firepower 9300 和 FMC 開放 API,我們希望支持端到端部署以及新網(wǎng)絡(luò)和安全服務(wù)協(xié)調(diào)。此外,這些 API 將使我們能夠提高日常安全活動的自動化程度,并更輕松地自動實(shí)施一次性變更,在以前,由于成本極高,這幾乎無法實(shí)現(xiàn)。