智能应用 影音

结合VPN、WAN与云端原生网安 思科SASE驱动安全数码转型

  • DIGITIMES企划DIGITIMES企划

思科全球网安产品事业部业务经理朱育民指出,SASE透过融合云端托管的SD-WAN和云端提供的网安,充分展现其实力。DIGITIMES摄
思科全球网安产品事业部业务经理朱育民指出,SASE透过融合云端托管的SD-WAN和云端提供的网安,充分展现其实力。DIGITIMES摄

无庸置疑,网络架构是网安领域的源头,例如安全网络闸道、云端存取网安代理程序、防火墙及零信任网络存取。CISCO的Secure Access Service Edge(SASE)为一种网络架构,它不只适用IT世界,也能协助制造业实现工厂安全的数码转型之旅。

思科全球网安产品事业部业务经理朱育民指出,SASE 透过融合云端托管的SD-WAN和云端提供的网安,充分展现其实力。并在网络架构中建立零信任概念,并对每个存取都缺省为不信任,除不断限缩存取范围外,还要不断监控其每个行为、检视每个存取标的物,重覆不断进行循环验证。

随着数码业务转型正将网安转移至云端,进而推动对于融合服务的需求,以降低复杂性、改善速度和灵活性,以及保护新的网络架构。SASE模型整合多项网络与网安功能,这些功能以往仅能透过单一整合的云端服务,以多个独立点解决方案提供。

此外,欲建立OT环境可视性,需要做好三件事情。第一,看得懂所有存取内部环境的端末设备,不仅识别它的身份,还需探索它的属性与权限,理解这些元件在内部环境代表的意涵。第二,将带有不同权限与角色的元件,摆放到不同位置,并与其他元件区隔。第三,不论针对OT与非OT,或OT本身之间,皆应减少不必要互动关系。

朱育民说,网络架构建立可视性后,接着进入保护工业网络通讯安全的五阶段旅程。首先Stage 0的重点,即是区隔IT与OT网络,并设置工业级DMZ。至于Stage 1,识别内部所有工控设备的厂牌、通讯协定、存取的目标物,以及在平常作业中被赋予何等权限。进入Stage 2,厘清各元件彼此间交互关系,必要时透过工业级防火墙与交换器来设置微分段,斩断不必要的互动行为。

到了Stage 3,需建立威胁侦测机制,且将侦测范围从工控场景扩展到操作人员的行为,判别这些行为是否符合规范。最后的Stage 4,则是建立Operation Center,以掌握全面性可视化。透过上述流程循序落实,可望达到工业网络安全的终极目标。

谈到OT零信任场景中的关键元件,例如工业级DMZ便属一例,它处在IT与OT网络之间,汇集了工厂安全控制点,有能力监控工厂南北向流量,做为进出检查的闸道;透过思科工业级防火墙即可建立工业级DMZ,并结合思科AMP及Snort引擎,协助企业检查所有南北向流动的行为,分析是否符合黑客攻击手段。

思科身为全球领先的科技公司,提供一系列企业网络与网安解决方案,长年关注企业在营运过程面对的难题。同时,看准SASE成为网络架构新显学,思科推出SASE多种核心产品组合,包含思科安全防护伞、思科SD-WAN Cloud Onramp、ThousandEyes,以及SD-WAN云端安全整合等,帮助NetOps及SecOps团队更有效率将用户安全连接到应用程序。此外,全球权威媒体 SC Media 在2021年将思科评选为「最佳网安公司」,更是思科能协助企业防御变化多端的网安挑战上,最有力的证据。详情请洽方案官网