阿凡达

今日企业是一个高度动态和超连通环境,IT在连接用户、设备、资源和企业IT系统方面发挥着关键作用。今日雇员性质高度移动,不一定有单一工作空间分配IT部门不断受到组织业务主链的挑战,以跟上推出新服务的速度解决市场需求,同时满足用户期望

同时,IT部门还负责确保业务连续性和不间断服务安全架构不仅满足合规和行业监管需求, 并提供充分保护避免未经授权访问、数据破解等

传统方式实施安全架构 在这种环境中 通过执行防火墙安全规则 交通遍历网络外联网/内网或数据中心周界实施组织网络安全策略身份联网使用EEE802.1x常用性

防火墙和网络存取控制系统从标准和产品角度都相当成熟技术,使用这些构件实施安全架构对IT组织构成挑战诚然,这些系统允许安全环境,使组织能满足安全BYOD访问、安全移动和远程访问等需求,但它们复杂管理和维护

结果是安全架构繁琐耗资维护,无法快速推出新服务,并易因管理错误而出现故障,因为规则如此复杂。

我想深入探讨一下问题-当我们谈论安全政策时,为什么我们固有地认为安全政策性质复杂?原因有二

  1. 安全策略与网络架构和网络设计并发使用VLANs和IP子网定义,这些子网再映射IP地址访问控制列表-方法不广广广大网络规模和服务提供增长
  2. IP地址/MAC地址简单数字值,在安全权限使用时缺少任何固有商业上下文这使得维护大型IPACL异常复杂

举个例子,全球最大油气公司之一 和我们共事约1400个伙伴他们的每一个伙伴都拥有ACL长约600行算术和你看,对于规模和规模的组织来说,IT安全团队花大部分时间维护ACL配置防火墙、路由器和开关不足为奇的是,我们常常看到那些专门为IT工作人员提供全权ACL管理职责的组织

Cisco相信基本定义网络架构和解决方案

  • 提供直觉商务相关方式运行网络
  • 降低网络复杂性
  • 可缩放
  • 最重要的是灵活地为客户提供各种使用案例

思科信任安全网络访问控制架构 网络分割解决所有问题实现方式如下:

开工基于用户作用和商务函数的安全政策摘取
Cisco TrustSec最大架构元素是安全策略定义,安全分组将用户/资源抽象化为“安全分组标签”。安全策略管理完全基于安全分组抽取和各种组间关系,例如两组间交通是否允许或拒绝安全分组可用业务功能表示,例如生产服务器对开发服务器或企业设备雇员对个人设备雇员比较容易管理,因为用户/资源/资产不必逐个管理

二叉安全策略与网络设计脱钩
Cisco TrustSec架构安全分组用户/网络资源可完全与基础IP处理基础和网络设计脱钩网络设计简化,安全策略可定义为网络架构和设计完全灵活叠加此外,安全政策定义参照上文描述的业务功能,使管理和维持容易得多。

3级安全策略集中化并动态执行网络
Cisco TrustSec架构允许你设计、部署和修改安全策略而无需访问网络设备所有策略都可用集中式策略引擎定义和管理Cisco身份服务引擎中修改安全策略可推广到整个网络中,而不管网络中设备数目多或单击按钮

Cisco TrustSec对经历处理基于VLANs和ACLs安全架构之痛苦的任何人来说都十分明显。关键点其实是面向组织使用案例范围 — — 是否提供有限访问BYOD设备,分解交通以达标和管理需求,启动数据中心新服务自动化,用户和资源分割,基础设施合并和网络虚拟化,创建安全多租环境等等

未来文章中,我将详细讨论Cisco TrustSec架构和使用案例



作者类

阿凡达

开卡德

产品管理员

Cisco企业联网集团