- 挑战一:由于现有安全系统的能力有限,部分现有应用出现了性能问题,这影响了用户体验和工作效率。用户指出丢包和网络拥塞导致出现性能降低和业务关键型应用中断等问题。
- 挑战二:某些类型的云连接要求提供更高的安全可视性和更严格的控制措施来保护思科网络避免因云漏洞而遭遇攻击,并满足安全团队不断变化的要求。
为了应对这些挑战,思科 IT 部门选择思科 Firepower 9300 安全设备作为我们的新核心防御解决方案。这种运营商级的下一代防火墙将使我们能够:
- 提高可扩展性:获得高性能、可扩展的防御平台,为持续增长的流量提供服务
在 2017 至 2018 年期间,我们的峰值云流量增幅超过 200%。流量激增带来的网络拥塞和丢包问题影响了客户的工作效率。通过使用 Firepower 9300 硬件替换思科 ASA 防火墙,我们能够快速解决这些可扩展性问题,并为未来增长预留空间。
- 引入全新的安全控制措施:以经过简化且低成本方式在网络中的新位置引入安全保护
随着企业网络越过传统边界扩展到云中,在网络中的新位置引入安全保护变得尤为重要。过去,执行这项操作需要在整个网络中部署大量的专用设备,这使企业需要支付高昂的托管和管理成本。然而,通过使用下一代防火墙,我们只需部署一对设备,即可在之前未采取适当控制措施的位置提供所需的可扩展性和安全性功能。
- 减少占用空间,降低复杂性:将现有安全服务整合到单一平台。
传统防御解决方案需要占用过多的机架空间,消耗大量的电力和冷却成本;极大增加了网络复杂性;并使企业在关联安全和网络事件方面遭遇到更多的挑战。结合使用 Firepower 9300 和 Firepower 威胁防御 (FTD) 软件将可提供所需的可扩展性和功能,将多个安全工具整合到单一平台。这有助于减少我们的环境影响和运营成本,简化全局策略部署,并提高端到端安全可视性。
我们知道我们的客户面临着类似的挑战。作为自己的 “首位客户”,我们可以在产品开发早期向工程团队提供实时反馈,从而影响产品设计。我们正是以这种方式来帮助打造客户可放心购买的思科安全解决方案。
截至 2018 年中期,我们已在 75% 的思科 IT CloudPort 位置部署思科 Firepower 9300,用作企业防火墙。思科 IT 部门通过 CloudPort 优化了企业网络与云资源的连接,并确保此连接的安全性。
与此同时,为了以新模式保护实验室环境,我们还在其他四个位置上部署了这些设备。我们计划在 2019 年中期之前,在所有主要的企业网络枢纽上安装这些设备。
企业防火墙:更换硬件、迁移软件
思科 IT 企业防火墙为超过 133000 名用户提供互联网和云的连接,并保护思科企业网络免遭外部网络威胁,但是它对网络资源的需求在不断扩大,因此我们需要一个能跟上企业发展步伐的新防火墙。
思科 IT 部高级网络工程师 Michael Ellison 指出:
“我们最重要的目标是解决性能问题。在暂时保留 ASA 软件的同时部署 Firepower 9300 固件,使我们能够快速解决这些问题,每年消除 5 到 10 个影响力相对较大的网络事件。
以前,由于扩展的需要,我们必须跨三个不同的防火墙来执行流量管理。通过将这三个防火墙整合到一起,我们大大降低了网络复杂度。”
更换硬件后,我们网络的流量吞吐量和性能都提高到了原来的 5 倍。在不久的将来,我们将过渡到 FTD 软件,完成过渡后我们将能够解决与运营开销相关的重大问题,以前所未有的速度检测潜在恶意活动,并在恶意活动造成损害之前将其消除。我们计划尽快迁移到 FTD 软件,以获得上述优势。
适用于实验室的以 FTD 为导向的设计
思科位于全球各地的内部实验室共拥有超过 210 万个 IP 地址,用于帮助全球 600 个不同地点与公司网络建立连接。我们的实验室网络迫切需要全新的安全功能,这要求我们能够立即迁移到 FTD。这种方法能够让我们获得直接部署 FTD 的优势,在企业防火墙上设置 FTD 部署的预期。
思科 IT 部网络架构师 Roel Bernaerts 说:
“实验室在本质上动态性更高,而且需要高度灵活性,因此我们要为其部署不同的网络安全工具。
通过将所有实验室都迁移到单独的虚拟重叠网络,我们可以使互联设备数量由 600 减少到 13。通过在这些互联设备上部署带 FTD 的 Firepower 9300 防火墙,我们实现了更佳的可视性,并拥有了更多的可用防御工具,这使我们能够在一天之内检测并防御 18000 个新安全威胁。”
长久以来,我们检测到实验室里的安全威胁进一步感染网络,应对威胁的措施包括断开整个实验室的连接或者丢弃来自特定主机的所有流量。这不仅影响了新思科产品和软件的交付,而且验证突发事件和采取应对措施通常还需要耗费长达数小时的时间,在这段时间内,威胁将在实验室中快速传播,并可能感染生产系统。
新解决方案会自动阻止特定威胁,而不会影响合法流量,并且在需要的情况下,它还可以在几分钟的检测过程中推出更加复杂的防御策略。
集中管理基础设施
我们还部署了一对高度可用的 Firepower 管理中心 (FMC) 设备,用于控制我们的 FTD 部署。FMC 使我们能够从一个中心位置管理我们的防御策略,并立即将其推送到位于全球各地的所有 FTD 设备。
此外,启用上述新功能需要专门的技能组来执行代码升级,这会占用宝贵资源,且偶尔还会因人为错误而导致关键网络故障。有了 FMC,我们可以一键部署新版本的代码。
FMC 还有助于我们深入了解我们的安全设备上有哪些流量经过。分析此类数据将能帮助我们基于更加深刻的见解做出更为明智的决策,从而进一步优化网络和安全策略。
在我们之前的部署中,网络工程师无法访问安全设备,导致他们难以排除性能故障。如今,这些工程师借助 FMC 获得了对这些系统的可视性,于此同时我们的安全团队仍可继续限制对安全敏感信息的访问。
整合安全解决方案的未来优势
尽管我们下一代防火墙仍在部署中,但我们已经获得了它带来的诸多优势。在不久的将来,一旦企业防火墙全面迁移到 FTD,我们预计还会实现更多的价值,包括:
- 降低运营开支:Firepower 9300 提供的可扩展性和功能将有助于我们进行大规模的整合,将支持和管理的安全设备数量由 116 削减至 26,从而显着降低网络复杂性,移除多个故障点,并消除引发关键事件的常见原因。这将会使每周的运营开销减少约 20 个工时。
- 减少数据中心所占空间:设备数量减少能够使每个数据中心减少 40 个机架单元。从而节省数据中心和代管设施的电力、冷却、机架空间成本。总体而言,我们预计整合安全解决方案将帮助我们每年节省超过 50 万美元的费用。
- 提高速度:向全球各地企业防火墙推送访问列表更新需要至少花费工程师 6.5 个小时。而通过 FMC 管理所有设备时,所需时间将不到 30 分钟。其他安全策略更新或网络优化也可以类似的速度向外推送,从而节省可观的时间。
- 自动化和协调:通过为 Firepower 9300 和 FMC 开放 API,我们希望支持端到端部署以及新网络和安全服务协调。此外,这些 API 将使我们能够提高日常安全活动的自动化程度,并更轻松地自动实施一次性变更,在以前,由于成本极高,这几乎无法实现。
