结合VPN、WAN与云端原生网安 思科SASE驱动安全数码转型

思科全球网安产品事业部业务经理朱育民指出，SASE透过融合云端托管的SD-WAN和云端提供的网安，充分展现其实力。DIGITIMES摄

无庸置疑，网络架构是网安领域的源头，例如安全网络闸道、云端存取网安代理程序、防火墙及零信任网络存取。CISCO的Secure Access Service Edge(SASE)为一种网络架构，它不只适用IT世界，也能协助制造业实现工厂安全的数码转型之旅。

思科全球网安产品事业部业务经理朱育民指出，SASE 透过融合云端托管的SD-WAN和云端提供的网安，充分展现其实力。并在网络架构中建立零信任概念，并对每个存取都缺省为不信任，除不断限缩存取范围外，还要不断监控其每个行为、检视每个存取标的物，重覆不断进行循环验证。

随着数码业务转型正将网安转移至云端，进而推动对于融合服务的需求，以降低复杂性、改善速度和灵活性，以及保护新的网络架构。SASE模型整合多项网络与网安功能，这些功能以往仅能透过单一整合的云端服务，以多个独立点解决方案提供。

此外，欲建立OT环境可视性，需要做好三件事情。第一，看得懂所有存取内部环境的端末设备，不仅识别它的身份，还需探索它的属性与权限，理解这些元件在内部环境代表的意涵。第二，将带有不同权限与角色的元件，摆放到不同位置，并与其他元件区隔。第三，不论针对OT与非OT，或OT本身之间，皆应减少不必要互动关系。

朱育民说，网络架构建立可视性后，接着进入保护工业网络通讯安全的五阶段旅程。首先Stage 0的重点，即是区隔IT与OT网络，并设置工业级DMZ。至于Stage 1，识别内部所有工控设备的厂牌、通讯协定、存取的目标物，以及在平常作业中被赋予何等权限。进入Stage 2，厘清各元件彼此间交互关系，必要时透过工业级防火墙与交换器来设置微分段，斩断不必要的互动行为。

到了Stage 3，需建立威胁侦测机制，且将侦测范围从工控场景扩展到操作人员的行为，判别这些行为是否符合规范。最后的Stage 4，则是建立Operation Center，以掌握全面性可视化。透过上述流程循序落实，可望达到工业网络安全的终极目标。

谈到OT零信任场景中的关键元件，例如工业级DMZ便属一例，它处在IT与OT网络之间，汇集了工厂安全控制点，有能力监控工厂南北向流量，做为进出检查的闸道；透过思科工业级防火墙即可建立工业级DMZ，并结合思科AMP及Snort引擎，协助企业检查所有南北向流动的行为，分析是否符合黑客攻击手段。

思科身为全球领先的科技公司，提供一系列企业网络与网安解决方案，长年关注企业在营运过程面对的难题。同时，看准SASE成为网络架构新显学，思科推出SASE多种核心产品组合，包含思科安全防护伞、思科SD-WAN Cloud Onramp、ThousandEyes，以及SD-WAN云端安全整合等，帮助NetOps及SecOps团队更有效率将用户安全连接到应用程序。此外，全球权威媒体 SC Media 在2021年将思科评选为「最佳网安公司」，更是思科能协助企业防御变化多端的网安挑战上，最有力的证据。详情请洽方案官网。