隨著IT技術(shù)的不斷升級(jí)���,用戶場(chǎng)景更加多變��,設(shè)備類型也更加多樣化�����,應(yīng)用虛擬化技術(shù)不斷迭代,以及業(yè)務(wù)安全的邊界越來(lái)越模糊���,企業(yè)安全面臨更大的挑戰(zhàn)���。思科的零信任安全通過(guò)4個(gè)A來(lái)實(shí)現(xiàn),即任何用戶(Any?User)����、任何設(shè)備(Any?Device)��、任何應(yīng)用(Any?App)�����、任何地點(diǎn)(Any?Where)����,都需要打破原有的默認(rèn)信任機(jī)制��,通過(guò)集成化的方案實(shí)現(xiàn)對(duì)4個(gè)A的端到端的安全認(rèn)證和賦能��,以此尋求證明用戶���、設(shè)備����、應(yīng)用和行為的可信性�����。
4A的目的是為了實(shí)現(xiàn)任何用戶都能夠?qū)崿F(xiàn)可信的接入���,包括物聯(lián)網(wǎng)在內(nèi)����,每個(gè)用戶都能夠可信地接入到網(wǎng)絡(luò)。同時(shí)��,保證任何接入設(shè)備本身都是受保護(hù)的���、安全的���。再者,保證任何應(yīng)用都是安全的���,不管應(yīng)用是在傳統(tǒng)數(shù)據(jù)中心還是在公有云中,都具備可視性并實(shí)現(xiàn)相應(yīng)的安全保護(hù)�。最后,用戶從任何地方接入網(wǎng)絡(luò)��,不管應(yīng)用部署在哪里�����,都能夠?qū)崿F(xiàn)一致性的安全策略����,保證其合規(guī)性��。
構(gòu)筑零信任的橋梁�����,思科助力企業(yè)實(shí)現(xiàn)智能制造
工業(yè)4.0和IoT等創(chuàng)新技術(shù)的發(fā)展給制造業(yè)網(wǎng)絡(luò)安全帶來(lái)了新的挑戰(zhàn)��,OT和IT已經(jīng)變得密不可分�����。在制造業(yè)場(chǎng)景中����,IT和OT人員有不同的操作程序和角色分工����,他們的關(guān)注點(diǎn)有很大的不同。OT人員的任務(wù)是建立和維護(hù)物聯(lián)網(wǎng)/OT網(wǎng)絡(luò)以及連接到這些網(wǎng)絡(luò)的設(shè)備�。他們專注于安全性、可靠性和生產(chǎn)力����。IT安全人員則專注于維護(hù)信息的保密性以及IT系統(tǒng)的完整性和可用性。二者最終目標(biāo)都是為了確保組織的安全,將風(fēng)險(xiǎn)降到最低�。
但是,制造業(yè)普遍存在IT和OT疏離的問(wèn)題��。分工不同導(dǎo)致二者之間出現(xiàn)巨大的認(rèn)知鴻溝:IT人員有技術(shù)知識(shí)��,卻不了解OT運(yùn)營(yíng)方式;OT人員對(duì)運(yùn)營(yíng)很清楚���,但缺乏IT知識(shí)�����。另外��,在某些制造場(chǎng)景中���,企業(yè)的很多設(shè)備使用時(shí)間過(guò)長(zhǎng)��,非常老舊��,IT的方案并不能與之匹配;OT的一些溝通協(xié)議�����,或是一些特殊設(shè)備,必須有更加適合OT的場(chǎng)景���,同時(shí)又要滿足IT對(duì)OT的可視要求�。企業(yè)顧此失彼���,導(dǎo)致IT與OT無(wú)法很好地融合在一起����。
針對(duì)這些問(wèn)題�����,思科推出了“IT/OT的融合方案”���。采用了專門(mén)針對(duì)工廠����,適合OT的防火墻ISA3000��,能夠滿足特殊的OT場(chǎng)景的安全需求��。思科Cyber?Vision可以幫助管理員快速發(fā)現(xiàn)并定義OT資產(chǎn)�,生成實(shí)時(shí)網(wǎng)絡(luò)通信視圖���,讓OT工程師在任意位置都能夠清楚地看到他們的OT網(wǎng)絡(luò)在不同條件下的運(yùn)行情況,更好地計(jì)劃安全和生產(chǎn)的連續(xù)性;同時(shí)���,與IT網(wǎng)絡(luò)安全團(tuán)隊(duì)合作���,通過(guò)多系統(tǒng)集成將OT的背景、理解和知識(shí)帶給IT團(tuán)隊(duì)�,為實(shí)現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò),包括任何用戶(Any?User)���、任何設(shè)備(Any?Device)�����、任何應(yīng)用(Any?App)���、任何地點(diǎn)(Any?Where)在內(nèi)的安全目標(biāo)奠定堅(jiān)實(shí)的基礎(chǔ)。
另外���,思科的ISE系統(tǒng)幫助客戶進(jìn)一步完成了IT/OT融合,將IT網(wǎng)絡(luò)及OT網(wǎng)絡(luò)的接入控制及可視統(tǒng)一起來(lái)���。Stealthwatch流量分析系統(tǒng)將IT/OT流量統(tǒng)一呈現(xiàn)��,方便管理回溯及異常問(wèn)題發(fā)現(xiàn)���。思科Firepower下一代防火墻用戶負(fù)責(zé)IT/OT的訪問(wèn)隔離及策略控制����,這些產(chǎn)品同時(shí)都與Cyber?Vision系統(tǒng)深度集成����,形成一體化的架構(gòu)方案,讓任意OT設(shè)備的每個(gè)接入和每次訪問(wèn)都十分清楚���。通過(guò)這種方式����,IT和OT加強(qiáng)了溝通��,他們之間的知識(shí)可以相互分享��,最終為企業(yè)提供完美的解決方案��。
零信任安全策略是一個(gè)長(zhǎng)期的過(guò)程�,思科以“工業(yè)網(wǎng)絡(luò)零信任四步保護(hù)法”保護(hù)企業(yè)資產(chǎn)����。首先��,資產(chǎn)發(fā)現(xiàn)��,識(shí)別企業(yè)所有工業(yè)資產(chǎn)以構(gòu)建正確的安全策略;其次����,網(wǎng)絡(luò)分段,隔離網(wǎng)絡(luò)以建立安全域和可控訪問(wèn)通道����,以避免攻擊蔓延;再次,威脅檢測(cè)����,檢測(cè)IT入侵和異常OT行為,以保持流程完整性����。最后,IT/OT集成SOC��,全面了解安全事件以簡(jiǎn)化調(diào)查和補(bǔ)救措施�。
思科基于3W戰(zhàn)略為企業(yè)制定了具體的零信任方案,并在國(guó)內(nèi)制造企業(yè)進(jìn)行了實(shí)施����。方案包含并覆蓋:零信任辦公、零信任靈活辦公�����、零信任數(shù)據(jù)中心���,及零信任工廠四個(gè)部分�����。
思科的零信任方案為制造企業(yè)在各種應(yīng)用和整個(gè)環(huán)境中��,來(lái)自任意用戶���、設(shè)備和位置的訪問(wèn)提供完善的保護(hù),員工�、工作負(fù)載和工作場(chǎng)所都處于思科零信任安全框架的安全防護(hù)中。零信任辦公場(chǎng)景下����,思科身份服務(wù)引擎(ISE)可實(shí)時(shí)調(diào)配有關(guān)網(wǎng)絡(luò)接入設(shè)備的策略�,使移動(dòng)用戶或遠(yuǎn)程用戶能夠以可信合規(guī)的方式通過(guò)無(wú)線連接獲得與有線連接一致的服務(wù)訪問(wèn)體驗(yàn)�。在混合辦公場(chǎng)景下,無(wú)論員工在任何場(chǎng)所�����,都可以通過(guò)安全專用通道連接公司的各種業(yè)務(wù)程序�,實(shí)現(xiàn)靈活安全辦公。
思科在數(shù)據(jù)中心安全架構(gòu)中�����,通過(guò)思科Firepower下一代防火墻與數(shù)據(jù)中心ACI方案相結(jié)合���,利用微分段技術(shù)來(lái)完成數(shù)據(jù)中心安全區(qū)域及邊界的安全隔離����,并通過(guò)思科專利技術(shù)防火墻集群技術(shù)�����,將思科防火墻更加高效的集成至數(shù)據(jù)中心Fabric網(wǎng)絡(luò)���。同時(shí)�,將集群應(yīng)用在雙活數(shù)據(jù)中心場(chǎng)景,幫助用戶解決雙活數(shù)據(jù)中心場(chǎng)景中遇到的異步流量及策略一致性的問(wèn)題��。通過(guò)中長(zhǎng)期分步實(shí)施網(wǎng)絡(luò)安全策略����,思科助力制造企業(yè)向全域智能制造零信任穩(wěn)步演進(jìn)�。
思科建議企業(yè)在執(zhí)行零信任建設(shè)時(shí)可以從三點(diǎn)出發(fā):
????首先,企業(yè)從領(lǐng)導(dǎo)到執(zhí)行側(cè)��,認(rèn)可零信任原則�����,避免由于信任導(dǎo)致的安全風(fēng)險(xiǎn)���,可信是臨時(shí)的���,針對(duì)必要訪問(wèn)采取最小權(quán)限原則;
????其次,制定企業(yè)自身的零信任安全戰(zhàn)略�,分場(chǎng)景、分階段制定方案��,逐漸向全域智能制造零信任演進(jìn);
????最后�����,基于戰(zhàn)略進(jìn)行方案細(xì)化并進(jìn)行零信任能力建設(shè),提高企業(yè)的信任驗(yàn)證能力�,授權(quán)的執(zhí)行能力,可信狀態(tài)持續(xù)跟蹤能力�����,權(quán)限動(dòng)態(tài)變更能力以及事件回溯分析能力�����。
通過(guò)網(wǎng)絡(luò)及安全的逐漸演進(jìn)��,最終達(dá)到全域零信任狀態(tài)�����。
毫無(wú)疑問(wèn)���,企業(yè)正在加速上云的步伐�,無(wú)論是公有云����、私有云�,還是混合云�����,加速向云遷移正在推動(dòng)著對(duì)云原生技術(shù)和云消費(fèi)體驗(yàn)需求的產(chǎn)生���,安全防護(hù)必須無(wú)處不在。
正如卜憲錄所言:“安全沒(méi)有一體適用的萬(wàn)全之策��,零信任不僅僅是技術(shù)�,還有關(guān)思維和過(guò)程。思科零信任的愿景在于��,讓網(wǎng)絡(luò)安全賦能IT轉(zhuǎn)型��,當(dāng)訪問(wèn)無(wú)處不在����,從任何設(shè)備連接到任何應(yīng)用程序的所有用戶都能實(shí)現(xiàn)安全訪問(wèn)。同時(shí)��,思科在中國(guó)市場(chǎng)有一個(gè)重要使命�,就是將思科先進(jìn)的科技用開(kāi)放的平臺(tái)賦能給國(guó)內(nèi)的生態(tài)合作伙伴,為不同行業(yè)的客戶提供最值得信賴的安全策略和無(wú)處不在的專業(yè)保障?�!?/p>
比.jpg)
