從安全的角度來考慮�,對于園區(qū)網(wǎng)的終端接入��,我們要保證的是正確的人�����,在正確的時間���,正確的地點����,使用正確的設備���,訪問正確的資源�。面向威脅����,我們怎樣具體來構建以威脅防護為中心的思科網(wǎng)絡安全解決方案及服務呢?
思科面向企業(yè)園區(qū)網(wǎng)的安全解決方案
思科園區(qū)網(wǎng)安全解決方案
為了應對企業(yè)園區(qū)網(wǎng)發(fā)展的最新變化,思科也推出了基于情景感知技術的全新的園區(qū)網(wǎng)安全解決方案�����,旨在對接入園區(qū)網(wǎng)的終端進行全面的準入和訪問控制,并且提供實時的安全防護���。
思科的新一代園區(qū)網(wǎng)安全解決方案��,主要涵蓋如下幾個方面:
1.針對接入終端的安全準入:利用思科的 ISE 和 ASA 下一代防火墻技術��,對園區(qū)網(wǎng)接入終端實現(xiàn)情景感知的準入控制����,保證正確的終端才可以接入網(wǎng)絡�����,獲得正確的訪問權限;
2.針對接入終端的安全防護:利用思科的下一代防火墻云智能技術����,對園區(qū)網(wǎng)的接入終端的互聯(lián)網(wǎng)訪問做出威脅防御,保證終端的安全性;
3.園區(qū)網(wǎng)的安全擴展:利用思科連線的鏈路安全技術����,如 MACSec/IPSec/SSL 等數(shù)據(jù)封裝加密技術,保證園區(qū)網(wǎng)的安全擴展以及數(shù)據(jù)傳輸?shù)陌踩浴?/p>
基于情景感知的準入控制
思科的 ISE 可以與主流的 MDM(移動設備管理)平臺協(xié)同工作,實現(xiàn)了為用戶提供基于智能終端全面狀態(tài)的有效網(wǎng)絡準入控制�。
思科 ISE 可以全面了解終端的所有信息,包括使用該終端的用戶的身份�����,終端設備的類型����、終端設備的安全狀況����、該終端所處的位置以及訪問的時間等等,并且基于以上的這些信息�,對終端的接入和訪問權限做出細粒度的定義和授權,保證了正確的終端可以獲得正確的訪問權限�。
借助于各種類型的設備探測與識別,靈活的終端訪問控制���,以及與 MDM(移動設備管理系統(tǒng))的緊密的結合�����,思科提供了全面的 BYOD 解決方案��,可以幫助企業(yè)用戶為種類繁多的 BYOD 設備提供訪問靈活的策略�。
基于云安全智能的自動防護
Cisco ASA 下一代防火墻將業(yè)界部署最廣泛的狀態(tài)檢測防火墻與下一代網(wǎng)絡安全服務綜合套件相結合,可提供不打折扣的全面安全性�,并能夠在組織內實現(xiàn)一致的安全實施。除了全面的狀態(tài)檢測防火墻功能���,可選功能還包括基于云和基于軟件的集成安全服務�����,如思科應用可視性與可控性(AVC)�,入侵防御 IPS 功能�����,惡意軟件防護(AMP)功能等��。
作為業(yè)界一流的威脅情報組織���,Talos 每天大約分析 150 萬個惡意軟件事件��,每年可幫助阻止 7.2 萬億次攻擊����。并且,Talos 的研究成果���,將會通過動態(tài)的更新��,應用于眾多的思科安全產品和服務當中�,包括業(yè)界領先的 ASA+Firepower 下一代防火墻技術�,可以在多個層面保護思科的用戶,從而在最早的時間����,全面的阻擋威脅�,包括:
如果有了最新的安全漏洞公布,如 OpenSSL 滴血漏洞等����,Talos 可以當日更新部署在用戶網(wǎng)絡邊界的安全設備,阻擋針對該漏洞的攻擊��,用戶甚至無需快速的為系統(tǒng)打上補丁����,便可以高枕無憂。
思科的下一代防火墻可以與 Talos 實現(xiàn)動態(tài)的更新����,可以做到最小間隔為 4 分鐘的信譽度的更新���,根據(jù)這些信譽度數(shù)據(jù),ASA 防火墻可以動態(tài)對一些惡意網(wǎng)站�,病毒網(wǎng)站以及掛馬網(wǎng)站進行自動的攔截,保證了在該園區(qū)網(wǎng)接入的用戶����,不會因為訪問了外部的惡意網(wǎng)站而導致被攻擊和信息的泄露
園區(qū)網(wǎng)的安全擴展
當今企業(yè)員工的移動性日益增強,在家或在其他地方上班�,或者移動作業(yè)的的員工數(shù)目不斷增加,他們通過筆記本電腦和其他移動設備(如智能手機)訪問信息��。這也要求我們的園區(qū)網(wǎng)能夠提供一個安全的擴展�����,能夠實現(xiàn)我們的接入終端可以實現(xiàn)跨區(qū)域和安全接入��。
Cisco 提供全面的遠程安全擴展解決方案���,可以將我們的園區(qū)網(wǎng)的訪問擴展到任何我們需要的位置�����,這些技術包括:
1.Anyconnect Mobility 的遠程安全接入�,我們的員工可以利用這個技術在任何的電腦和智能終端上,安全的連接到部署在網(wǎng)絡邊界的 Cisco 的 ASA 平臺上�,從而實現(xiàn)智能、無縫且無間斷的連接體驗;
2.利用 ASA 的 IPSec VPN技術�����,可以將多個遠程園區(qū)網(wǎng)安全的連接在一起����,實現(xiàn)網(wǎng)絡層面的安全互聯(lián);
3.利用思科交換機提供的 MACSec 技術,可以在鏈路層對數(shù)據(jù)進行封裝和加密��,保證數(shù)據(jù)在鏈路傳輸過程中的安全性和機密性�����。
那么����,數(shù)字化時代下���,思科還有那些以威脅防護為中心的網(wǎng)絡安全解決方案呢?針對不同的威脅問題�����,我們又該運用怎樣的安全技術來解決呢?
不著急�,思科高級安全架構師徐洪濤他將與大家一起在線探討全數(shù)字化時代下可能會遇見的安全問題及解決方案。
當然��,參與微話題討論��,不僅可以得到思科安全專家徐洪濤的在線答疑��,更能獲得以下大禮包:
《應對高級網(wǎng)絡威脅》;
《思科安全智能研究與分析團隊Talos》;
《適用于網(wǎng)絡的思科高級惡 意軟件防護》;
《CiscoCybe Range 安全服務》���。
