思享家丨严把入口，思科筑牢 IT 安全第一关 - 技术资讯 - 公司

亿博特信息技术
为企业提供专属的IT服务

让生活与众不同
让科技改变未来

思享家丨严把入口，思科筑牢 IT 安全第一关

浏览量：597 上传更新：2023-12-01

思科联天下思科渠道微情报

作者：思科大中华区系统架构师方皓

思享家

是一个介绍如何利用思科先进技术解决客户难题的栏目。每期聚焦一个技术热点或应用场景，邀请资深思科技术专家深入浅出地介绍，为读者提供实用性强的建议。

疫情在全世界加速了包括 IT 在内的很多事情。在终端人们习惯了混合办公和统一体验；而云计算拥有的敏捷和弹性改变了IT基础设施，即使在数据中心，企业也有本地设备，私有云和混合云的复合场景。数据的访问可能从任何地方发起去访问任何位置的资源，传统的安全解决方案或云内云外分而治之的方式显然不能适应未来的网络发展趋势。

SASE 和 SSE 应需而生

基于上述背景，Gartner 在 2019 年首次提出一种新兴的网络安全架构 “安全访问服务边缘（SASE）”。这种架构旨在满足现代企业的需求，使员工能够从任何地方安全地访问工作资源。随着员工在地理上的分散，IT 领导者需要一种新的方法来保护他们的网络和数据安全。SASE 架构的优势在于可以提供高效、灵活和安全的网络访问体验。它可以通过使用云计算技术，实现快速部署、弹性扩展和自动化管理，大大提高了网络安全的效率和可靠性。此外，SASE 还可以根据网络流量的重要性和敏感性，动态调整带宽和延迟，保证关键业务应用的稳定运行。

该框架核心由五个组件将网络访问与云原生安全性融合在一起（图1-1）：

软件定义的广域网 (SD-WAN)：一种根据策略、条件和监控指标在多个路径上动态路由流量来优化广域网连接和性能的服务。

防火墙即服务 (FWaaS)：一种纯粹基于云的防火墙，用于检查“作为服务”而不是作为本地硬件设备提供的入站和出站网络流量。

云访问安全代理 (CASB)：一种网络安全服务，位于用户和云提供商之间的网络上，强制执行基于云的数据访问策略。

安全 Web 网关 (SWG)：一种基于云的服务，专注于 Web 浏览流量，可根据特定 IT 策略阻止不需要的和恶意的 Internet 流量。

零信任网络访问 (ZTNA)：一种根据身份、上下文和策略向授权用户和设备授予细粒度和有条件的访问权限的服务。

▲ 图1-1

2021 年，Gartner 在《2021年SASE融合战略路线图》中提出了 SSE，将网络和安全整合为从云提供的统一服务，去掉了 SASE 框架中 SDWAN 部分，更专注于统一所有安全服务，包含但不限于：安全 Web 网关、云访问安全代理、零信任网络访问和防火墙即服务等安全能力。

Cisco 如何实现增强 SASE 和 SSE，打造统一安全访问？

Cisco 具备全面的网络和安全解决方案，基于已有产品和云平台打造云上 Cisco Secure Access 安全整体方案，方案增强了 SASE 和 SSE 定义的能力并提供全面的业务保护，见下图（1-2），下图 Core SSE 是业内核心的能力，而 More beyond 部分为 Cisco 增强安全能力。

▲图（1-2）

安全增强能力如下

DNS Security：DNS（域名系统）安全涉及保护 DNS 基础设施并缓解与域名及其相关记录有关的威胁。通过过滤或阻止对已知恶意域的访问，检测并阻止基于 DNS 的攻击，以及确保 DNS 服务的完整性和可用性，防止恶意活动。

Multi-mode DLP：DLP 是一组用于确保敏感数据不会丢失、被滥用或被未经授权的用户访问的工具和流程。模式 DLP 以各种模式运行，例如监视、阻止或加密敏感数据，无论是静态还是传输中，以防止未经授权的访问或泄漏。

Remote Browser Isolation（RBI）：RBI 是一种安全方法，将 Web 浏览活动与端点隔离，保护用户设备免受潜在的基于 Web 的威胁。它在隔离的环境中执行 Web 内容，允许用户与网页交互，同时使潜在的恶意代码远离其设备，减少恶意软件感染的风险。

Advanced Malware Detection（AMP）& sandboxing：AMP 使用高级技术来检测和防止恶意软件，而沙盒提供一个受控环境，用于分析可疑的文件或程序。当识别到潜在恶意文件时，将其放置在沙盒中以观察其行为。如果检测到恶意行为，将标记文件为威胁，并采取适当的措施阻止其执行。

VPN as a service：VPN 作为服务将传统 VPN 能力扩展到云中，实现在互联网上的安全和私密通信。

Digital Experience Monitoring：数字体验监控专注于评估和优化用户与数字服务和应用程序交互时的端到端体验。包括监控应用程序性能、响应速度和用户交互等因素，以识别和解决可能影响整体数字体验的问题。

Talos Threat Intelligence：Talos 是思科的威胁情报研究团队，提供有关网络安全威胁和漏洞的实时信息。Talos 威胁情报汇总并分析来自各种来源的数据，为组织提供有关新兴威胁的洞察，使其能够主动应对不断演变的网络威胁。

Cisco 基于云方式部署灵活，可以 Cisco 云也可以公有云：

▲图（1-3）

Cisco 如何安全利用 AI 和大数据，实现更高的智能？

除以上扩展的安全能力，Cisco Secure Access结合情报分析，千眼(ThousandEyes)监控，，安全管理平台和 Splunk 分析能实现更为强大的安全管控能力。

情报分析 Talos 具有全球视野的监控力，一旦发现全球任何节点受到攻击，立刻共享情报到全球安全中心，可以最快速度防止攻击扩大。

通过千眼（ThousandEyes）可以观测到全路径端到端的线路质量，针对异常问题可以快速定位，优秀的可视化效果，简单并容易操作。

XDR（eXtended Detection Response）通过 Telemetry 从安全工具中心收集信息，检测和发现应用中恶意和威胁行为，快速自动化响应并进行修正，基于云的 XDR 还有助于对攻击链进行溯源，制定更有效的防御策略。

结合 Splunk 的 AI 分析和学习能力，提供所有接入资产安全和观测性的要求，通过其能够进一步推动创新，提升安全韧性。

就像文首视频展现地那样，即使是经验丰富的黑客组团来进攻，思科凭借自身周全、智能的防护方案也能确保用户安全无虞。下一期我会分享更多思科提升客户安全防御能力的实例。

上一篇：安全负责人眼里的网络安全都有什么？

下一篇：什么是下一代防火墙（NGFW）？超越传统的网络防护！