企业要想充满信心地把握住数据中心虚拟化和云带来的业务优势,安全性将是其中的关键,而非阻碍。我们建议用户在网络中一致地部署安全性,确保各项策略能够在包括物理、虚拟和云在内的混合环境中得到可靠执行,同时支持数据中心专业人员在丝毫不影响网络性能的情况下,提供高度安全的‘IT即服务’(IT as a service)。”——思科全球资深副总裁兼安全与政府事业部总经理Christopher Young
当前,虚拟化和云的大趋势正推动数据中心发生重大转变,并影响到从IT服务到业务模式乃至架构的方方面面。这些趋势会带来诸多业务优势,例如更低的资本投资、新的收入增长、以及更高的效率、灵活性和可扩展性等,从而将能够支持更快地推进全球化步伐。
在数据中心大踏步向着融合、虚拟化、自动化迈进的同时,以支撑未来弹性计算、海量数据计算所带来的应用流量激增,虚拟工作负载增长,以及移动终端接入普及的需求也给IT提出了更高的要求。之于安全,IT部门一直在很多无效控制的网络边界建设安全的基础设施,传统的安全体系和思路已经在虚拟化技术普及,大量移动终端接入,以及高复杂安全威胁技术面前,显的拙荆见肘。业界已经对重构网络安全体系达成了共识,并不断通过技术的创新和主动智能的方法搭建更为有效的安全架构和体系。
安全转型势在必行
思科作为自适应安全的倡导者,很早就在其安全解决方案中融入了主动识别和防御、智能管理和虚拟化安全的思路,并尝试给企业带来端到端的安全性。近日思科推出了一系列的安全解决方案,支撑企业数据中心向整合和虚拟化迈进的过程中更有效的抵御威胁。
Christopher Young表示,“安全的可拓展性、物理和虚拟混合环境的统一安全策略、以及安全开发必须以业务为导向,成为提升企业安全整体能力的新需求。”
思科全球资深副总裁兼安全与政府事业部总经理Christopher Young
所以思科认为,在当前的环境下,安全性必须贯穿于整个网络,以便可靠地保护统一数据中心。
思科大中华区副总裁无边界网络事业部总经理倪殿令表示,“满足这样的需求,必须做到以下几点以推动安全的转型,包括应用保护、统一安全策略和业务环境感知。”
思科大中华区副总裁无边界网络事业部总经理倪殿令
Christopher Young指出,“通过应用防护应对来自WEB、APT和恶意软件的威胁;统一的安全策略,为虚拟机间的通信提供可靠保障,并使统一的安全策略适合物理和虚拟的混合环境,以覆盖云端和数据中心;业务环境感知要基于身份,提供可视性和可控性的统一安全管理。”
思科认为随着企业开始迁移到云和采用更灵活的,不受设备限制的企业文化,这样的安全转型势在必行。
思科SecureX嵌入混合环境
思科SecureX架构在整个分布式网络中执行安全策略,而不仅限于数据流中的一个点。通过这种方式,它能够满足当前无边界网络环境中不断变化的安全需求。为移动用户、虚拟化数据和云提供安全保护策略。通过高级策略,如谁在何时何地利用哪些应用和设备访问哪些内容,提供环境感知安全性深入监测和提升运营效率。
思科SecureX架构基于3个主要组件:
- 网络智能组件:提供可视性、增强网络安全性
- 环境感知增强:执行安全策略、利用整体的交互环境,在设备到基于云的各种产品上部署安全要素。
- 环境感知策略:业务驱动型策略,利用环境简化并与实现IT实施和业务规则直接关联。
在这三部分的主要组件中,思科提供TRUSTSEC和身份服务引擎(ISE),思科ASA系列自适应安全设备,Anyconnect安全移动,SIO云安全服务,当然也包括这次推出的思科ASA 1000V。
实现安全保障的统一交换矩阵
这次思科针对其SecureX架构下组件进行了密集的产品升级和发布,包括思科ASA系列操作平台9.0版本的发布,推出全新的思科ASA 1000V虚拟防火墙,新的思科IPS4500系列入侵防御系统等。接下来就让我们一起这些产品的亮点。
思科ASA 9.0平台操作系统更新:提升性能,可扩展至320G的防火墙和60G的IPS吞吐率,支持每秒100万个连接和5,000万个并发连接;集成了身份、内容和应用安全;扩展集群技术实现,支持将ASA堆栈作为单个逻辑设备进行管理等功能。
思科ASA 1000V:构建在Nexus 1000V系列交换机上,作为原来思科虚拟安全网关(VSG)的延伸,负责虚拟机迁移时,安全策略的管理。单一ASA 1000V能够在多个ESX主机间采用不同的安全策略来保护多个工作负载,为虚拟化和云基础设施带来了端到端安全性。
思科IPS 4500系列:提供高性能密度,每机架单元具备每秒万兆性能;结合网络信誉的环境感知型IPS的实施能够推动用户做出有效的危害降低决策。
思科Security Manager 4.3(CSM):提供可扩展的集中管理功能,使管理员能够有效管理众多思科安全设备,实现网络部署的可视性,并与其他基本网络服务(如合规性系统和高级安全分析系统)分享信息。作为SecureX的大管家,管理包括ASA系列,IPS系列,AnyConnect移动客户端,思科安全路由在内的安全环境。
思科AnyConnect 3.1:升级了差异化设备访问功能,支持自带设备(BYOD)部署、IPv6能力以及新一代加密技术,包括NSA的Suite B加密等。
写在最后
在思科SecureX架构下,其不同组件的功能和技术逐步完善,我们逐渐看到了思科构建混合环境下集防火墙、IPS、虚拟安全网关、安全统一管理、安全终端接入等解决方案的统一安全策略,这样的策略已经逐渐打破了原有的安全架构的限制,与思科所倡导的无边界网络紧密的结合在一起。相信这样的体系在未来还有待进一步完善,而且也不是只有思科在这样做,安全的变革就在当下,虚拟化和云、不断变化的安全威胁都是安全架构不断演进的驱动力,但来自安全本身的技术源动力也蓄势待发。
