隨著IT技術(shù)的不斷升級,用戶場景更加多變��,設(shè)備類型也更加多樣化�����,應(yīng)用虛擬化技術(shù)不斷迭代��,以及業(yè)務(wù)安全的邊界越來越模糊����,企業(yè)安全面臨更大的挑戰(zhàn)。思科的零信任安全通過4個A來實現(xiàn)��,即任何用戶(Any?User)��、任何設(shè)備(Any?Device)���、任何應(yīng)用(Any?App)��、任何地點(Any?Where)�,都需要打破原有的默認(rèn)信任機制�����,通過集成化的方案實現(xiàn)對4個A的端到端的安全認(rèn)證和賦能,以此尋求證明用戶��、設(shè)備��、應(yīng)用和行為的可信性��。
4A的目的是為了實現(xiàn)任何用戶都能夠?qū)崿F(xiàn)可信的接入�,包括物聯(lián)網(wǎng)在內(nèi),每個用戶都能夠可信地接入到網(wǎng)絡(luò)��。同時���,保證任何接入設(shè)備本身都是受保護(hù)的�、安全的�。再者,保證任何應(yīng)用都是安全的�,不管應(yīng)用是在傳統(tǒng)數(shù)據(jù)中心還是在公有云中��,都具備可視性并實現(xiàn)相應(yīng)的安全保護(hù)���。最后�,用戶從任何地方接入網(wǎng)絡(luò),不管應(yīng)用部署在哪里����,都能夠?qū)崿F(xiàn)一致性的安全策略,保證其合規(guī)性�����。
構(gòu)筑零信任的橋梁�����,思科助力企業(yè)實現(xiàn)智能制造
工業(yè)4.0和IoT等創(chuàng)新技術(shù)的發(fā)展給制造業(yè)網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)��,OT和IT已經(jīng)變得密不可分��。在制造業(yè)場景中����,IT和OT人員有不同的操作程序和角色分工,他們的關(guān)注點有很大的不同����。OT人員的任務(wù)是建立和維護(hù)物聯(lián)網(wǎng)/OT網(wǎng)絡(luò)以及連接到這些網(wǎng)絡(luò)的設(shè)備。他們專注于安全性�����、可靠性和生產(chǎn)力。IT安全人員則專注于維護(hù)信息的保密性以及IT系統(tǒng)的完整性和可用性�����。二者最終目標(biāo)都是為了確保組織的安全��,將風(fēng)險降到最低����。
但是,制造業(yè)普遍存在IT和OT疏離的問題���。分工不同導(dǎo)致二者之間出現(xiàn)巨大的認(rèn)知鴻溝:IT人員有技術(shù)知識���,卻不了解OT運營方式;OT人員對運營很清楚,但缺乏IT知識����。另外,在某些制造場景中����,企業(yè)的很多設(shè)備使用時間過長,非常老舊���,IT的方案并不能與之匹配;OT的一些溝通協(xié)議����,或是一些特殊設(shè)備���,必須有更加適合OT的場景�����,同時又要滿足IT對OT的可視要求�����。企業(yè)顧此失彼��,導(dǎo)致IT與OT無法很好地融合在一起�。
針對這些問題�,思科推出了“IT/OT的融合方案”。采用了專門針對工廠�,適合OT的防火墻ISA3000,能夠滿足特殊的OT場景的安全需求����。思科Cyber?Vision可以幫助管理員快速發(fā)現(xiàn)并定義OT資產(chǎn)���,生成實時網(wǎng)絡(luò)通信視圖,讓OT工程師在任意位置都能夠清楚地看到他們的OT網(wǎng)絡(luò)在不同條件下的運行情況�����,更好地計劃安全和生產(chǎn)的連續(xù)性;同時����,與IT網(wǎng)絡(luò)安全團(tuán)隊合作,通過多系統(tǒng)集成將OT的背景�、理解和知識帶給IT團(tuán)隊,為實現(xiàn)整個企業(yè)網(wǎng)絡(luò)�����,包括任何用戶(Any?User)����、任何設(shè)備(Any?Device)、任何應(yīng)用(Any?App)��、任何地點(Any?Where)在內(nèi)的安全目標(biāo)奠定堅實的基礎(chǔ)�。
另外����,思科的ISE系統(tǒng)幫助客戶進(jìn)一步完成了IT/OT融合����,將IT網(wǎng)絡(luò)及OT網(wǎng)絡(luò)的接入控制及可視統(tǒng)一起來��。Stealthwatch流量分析系統(tǒng)將IT/OT流量統(tǒng)一呈現(xiàn)�����,方便管理回溯及異常問題發(fā)現(xiàn)����。思科Firepower下一代防火墻用戶負(fù)責(zé)IT/OT的訪問隔離及策略控制,這些產(chǎn)品同時都與Cyber?Vision系統(tǒng)深度集成�,形成一體化的架構(gòu)方案,讓任意OT設(shè)備的每個接入和每次訪問都十分清楚��。通過這種方式���,IT和OT加強了溝通��,他們之間的知識可以相互分享����,最終為企業(yè)提供完美的解決方案。
零信任安全策略是一個長期的過程����,思科以“工業(yè)網(wǎng)絡(luò)零信任四步保護(hù)法”保護(hù)企業(yè)資產(chǎn)。首先��,資產(chǎn)發(fā)現(xiàn)��,識別企業(yè)所有工業(yè)資產(chǎn)以構(gòu)建正確的安全策略;其次��,網(wǎng)絡(luò)分段����,隔離網(wǎng)絡(luò)以建立安全域和可控訪問通道,以避免攻擊蔓延;再次�,威脅檢測,檢測IT入侵和異常OT行為����,以保持流程完整性。最后�����,IT/OT集成SOC,全面了解安全事件以簡化調(diào)查和補救措施��。
思科基于3W戰(zhàn)略為企業(yè)制定了具體的零信任方案�,并在國內(nèi)制造企業(yè)進(jìn)行了實施。方案包含并覆蓋:零信任辦公��、零信任靈活辦公�、零信任數(shù)據(jù)中心�,及零信任工廠四個部分。
思科的零信任方案為制造企業(yè)在各種應(yīng)用和整個環(huán)境中�����,來自任意用戶�����、設(shè)備和位置的訪問提供完善的保護(hù)���,員工���、工作負(fù)載和工作場所都處于思科零信任安全框架的安全防護(hù)中。零信任辦公場景下��,思科身份服務(wù)引擎(ISE)可實時調(diào)配有關(guān)網(wǎng)絡(luò)接入設(shè)備的策略,使移動用戶或遠(yuǎn)程用戶能夠以可信合規(guī)的方式通過無線連接獲得與有線連接一致的服務(wù)訪問體驗����。在混合辦公場景下,無論員工在任何場所����,都可以通過安全專用通道連接公司的各種業(yè)務(wù)程序,實現(xiàn)靈活安全辦公���。
思科在數(shù)據(jù)中心安全架構(gòu)中��,通過思科Firepower下一代防火墻與數(shù)據(jù)中心ACI方案相結(jié)合����,利用微分段技術(shù)來完成數(shù)據(jù)中心安全區(qū)域及邊界的安全隔離�����,并通過思科專利技術(shù)防火墻集群技術(shù)�����,將思科防火墻更加高效的集成至數(shù)據(jù)中心Fabric網(wǎng)絡(luò)。同時����,將集群應(yīng)用在雙活數(shù)據(jù)中心場景,幫助用戶解決雙活數(shù)據(jù)中心場景中遇到的異步流量及策略一致性的問題�。通過中長期分步實施網(wǎng)絡(luò)安全策略,思科助力制造企業(yè)向全域智能制造零信任穩(wěn)步演進(jìn)�。
思科建議企業(yè)在執(zhí)行零信任建設(shè)時可以從三點出發(fā):
????首先,企業(yè)從領(lǐng)導(dǎo)到執(zhí)行側(cè)��,認(rèn)可零信任原則����,避免由于信任導(dǎo)致的安全風(fēng)險����,可信是臨時的,針對必要訪問采取最小權(quán)限原則;
????其次�,制定企業(yè)自身的零信任安全戰(zhàn)略,分場景���、分階段制定方案���,逐漸向全域智能制造零信任演進(jìn);
????最后,基于戰(zhàn)略進(jìn)行方案細(xì)化并進(jìn)行零信任能力建設(shè),提高企業(yè)的信任驗證能力�,授權(quán)的執(zhí)行能力,可信狀態(tài)持續(xù)跟蹤能力��,權(quán)限動態(tài)變更能力以及事件回溯分析能力��。
通過網(wǎng)絡(luò)及安全的逐漸演進(jìn)���,最終達(dá)到全域零信任狀態(tài)�����。
毫無疑問�,企業(yè)正在加速上云的步伐�����,無論是公有云�、私有云,還是混合云����,加速向云遷移正在推動著對云原生技術(shù)和云消費體驗需求的產(chǎn)生,安全防護(hù)必須無處不在����。
正如卜憲錄所言:“安全沒有一體適用的萬全之策�,零信任不僅僅是技術(shù)�,還有關(guān)思維和過程。思科零信任的愿景在于��,讓網(wǎng)絡(luò)安全賦能IT轉(zhuǎn)型�,當(dāng)訪問無處不在,從任何設(shè)備連接到任何應(yīng)用程序的所有用戶都能實現(xiàn)安全訪問����。同時,思科在中國市場有一個重要使命�����,就是將思科先進(jìn)的科技用開放的平臺賦能給國內(nèi)的生態(tài)合作伙伴���,為不同行業(yè)的客戶提供最值得信賴的安全策略和無處不在的專業(yè)保障?��!?/p>
