但在云邊緣，即網(wǎng)絡(luò)、云和安全系統(tǒng)的交叉點(diǎn)，企業(yè)還是飽受諸多問題困擾，包括安全風(fēng)險(xiǎn)較高、應(yīng)用性能參差不齊，以及復(fù)雜性日益增加。

　　目前，分支機(jī)構(gòu)開始通過互聯(lián)網(wǎng)進(jìn)行直接云連接并運(yùn)行業(yè)務(wù)關(guān)鍵型應(yīng)用，但是將流量回傳到企業(yè)防火墻的傳統(tǒng)廣域網(wǎng)保護(hù)方法不僅效率低下，而且成本較高。這是因?yàn)閭鹘y(tǒng)廣域網(wǎng)平臺(tái)主要用于將分支機(jī)構(gòu)直接連接到數(shù)據(jù)中心，而無法靈活地處理與多個(gè)云平臺(tái)的同時(shí)連接，也不能自動(dòng)選擇最高效且最具成本效益的路由。

　　要在保護(hù)廣域網(wǎng)安全的同時(shí)，簡化分布式網(wǎng)絡(luò)管理并降低連接成本，組織需要使用全面而靈活的軟件定義架構(gòu)。

　　實(shí)際上，每臺(tái)廣域網(wǎng)設(shè)備都應(yīng)該支持軟件定義，并受到保護(hù)。因此，我們宣布推出全新的高級(jí)軟件定義安全功能組合，來應(yīng)對(duì)關(guān)鍵的邊緣安全挑戰(zhàn)。利用易于管理、部署和維護(hù)的軟件定義廣域網(wǎng)，思科可為 IT 提供高度有效且可擴(kuò)展的安全保護(hù)，從而讓企業(yè)能夠放心使用自己選擇的云服務(wù)。思科軟件定義廣域網(wǎng)可將設(shè)備和人員無縫連接到任何云，帶來卓越的應(yīng)用體驗(yàn)，并確保從分支機(jī)構(gòu)到云實(shí)現(xiàn)一致的統(tǒng)一威脅防護(hù)。

　　隨著應(yīng)用從數(shù)據(jù)中心遷移到多個(gè)云平臺(tái)，每臺(tái)廣域網(wǎng)設(shè)備都必須支持軟件定義，并受到保護(hù)。

　　確保云邊緣安全性的傳統(tǒng)方式是將所有流量發(fā)送回企業(yè)數(shù)據(jù)中心進(jìn)行檢查、分析和過濾，然后再將其發(fā)送到 SaaS 應(yīng)用或公共云服務(wù)。對(duì)于分布式企業(yè)而言，這樣做通常意味著需要使用昂貴的 MPLS 線路，因此會(huì)增加數(shù)據(jù)中心安全層的規(guī)模和復(fù)雜性。分布式分支機(jī)構(gòu)之間的流量增長越多， 管理多個(gè) MPLS 連接和數(shù)據(jù)中心安全的成本和復(fù)雜性就會(huì)越高。

　　全新的思科軟件定義廣域網(wǎng)安全功能組合可在分支機(jī)構(gòu)路由器的邊緣提供全面的防護(hù)，并可對(duì)網(wǎng)絡(luò)和安全管理進(jìn)行集中控制。嵌入式安全功能可保護(hù)傳入和傳出分支機(jī)構(gòu)業(yè)務(wù)系統(tǒng)及云平臺(tái)的數(shù)據(jù)。這些安全功能組合還可以保護(hù)整個(gè)互聯(lián)企業(yè)免受可能來自受感染的互聯(lián)網(wǎng)連接和應(yīng)用的破壞性安全攻擊。

　　思科軟件定義廣域網(wǎng)安全功能組合側(cè)重于與分支機(jī)構(gòu)緊密相關(guān)的四種類型關(guān)鍵流量的防護(hù)：

　　下面，我們來了解一下目前推出的安全創(chuàng)新解決方案如何緩解這些流量類型暴露的威脅攻擊面，并幫助您持續(xù)使用我們的軟件定義廣域網(wǎng)架構(gòu)節(jié)省成本。

　　每個(gè)組織都會(huì)接收、存儲(chǔ)和處理敏感數(shù)據(jù)集，如個(gè)人身份信息（PII）和支付卡信息（PCI）。應(yīng)用感知防火墻可確保只有經(jīng)授權(quán)的應(yīng)用和人員才能訪問敏感數(shù)據(jù)。

　　思科軟件定義廣域網(wǎng)安全性在分支機(jī)構(gòu)路由器中添加了嵌入式應(yīng)用感知防火墻，可以學(xué)習(xí)并執(zhí)行您的意圖，確保只有所需的應(yīng)用可以訪問敏感型數(shù)據(jù)（如PCI）。然后，軟件定義廣域網(wǎng)交換矩陣可通過安全 VPN 將敏感流量路由到企業(yè)數(shù)據(jù)中心或多云平臺(tái)中的應(yīng)用。

　　在思科基于意圖的網(wǎng)絡(luò)中，類似 “僅在 IPsec VPN 上傳輸敏感數(shù)據(jù)類型 PCI” 這樣的意圖只需在思科 vManage 中設(shè)定一次，即可自動(dòng)應(yīng)用于整個(gè)網(wǎng)絡(luò)；同時(shí)，思科 vSmart 控制器可根據(jù)安全策略明確劃分流量。

　　在軟件定義廣域網(wǎng)出現(xiàn)之前，組織主要依賴安全卻昂貴的 MPLS 線路將分支機(jī)構(gòu)連接到安全功能所在的數(shù)據(jù)中心。隨著組織允許分支機(jī)構(gòu)站點(diǎn)的應(yīng)用和設(shè)備直接訪問互聯(lián)網(wǎng)，它們可以直接繞過傳統(tǒng)的集中式安全邊界。這會(huì)導(dǎo)致將分支機(jī)構(gòu)暴露給所有類型的互聯(lián)網(wǎng)流量，而且在直接訪問的過程中，會(huì)增加邊緣處的受攻擊面。

　　為了應(yīng)對(duì)這些威脅，軟件定義廣域網(wǎng)安全組合提供了嵌入式安全功能組合，包括應(yīng)用感知防火墻、入侵檢測和防御、URL過濾以及思科 Umbrella DNS 云安全層面的防護(hù)。思科軟件定義廣域網(wǎng)交換矩陣會(huì)根據(jù) SecOps 策略智能地將流量路由到分支機(jī)構(gòu)。Web 安全功能可保留安全 URL 的本地緩存，這些 URL 會(huì)定期更新，以便與最新的安全威脅報(bào)告保持一致。

　　直接云訪問提高了云和 SaaS 應(yīng)用的應(yīng)用體驗(yàn)質(zhì)量（QoE），同時(shí)引入了直接互聯(lián)網(wǎng)接入中類似的風(fēng)險(xiǎn)。

　　思科軟件定義廣域網(wǎng)安全結(jié)合使用 DNS 安全層和入侵檢測功能，來防止最具侵略性的拒絕服務(wù)、網(wǎng)絡(luò)釣魚、惡意軟件和勒索軟件攻擊，這些攻擊可以將 SaaS 和云應(yīng)用使用的互聯(lián)網(wǎng)連接和開放端口作為媒介。此外，這些嵌入式安全功能利用了思科 Talos 團(tuán)隊(duì)的最新威脅數(shù)據(jù)，該團(tuán)隊(duì)是世界上最成熟的商業(yè)威脅信息組織之一。

　　專注于客戶體驗(yàn)的組織（例如零售店）傾向于向客戶開放其分支機(jī)構(gòu) Wi-Fi，以便通過互動(dòng)方式來吸引他們。但是，允許訪客接入分支機(jī)構(gòu)的 Wi-Fi 網(wǎng)絡(luò)也會(huì)向他們公開業(yè)務(wù)應(yīng)用、數(shù)據(jù)和服務(wù)。為此，最重要的是采用對(duì)訪客接入進(jìn)行分段的安全策略。這樣一來，在允許接入互聯(lián)網(wǎng)時(shí)，企業(yè)網(wǎng)絡(luò)的所有其他部分可以不受限制。組織仍然需要阻止訪客意外或惡意下載可能感染分支機(jī)構(gòu)網(wǎng)絡(luò)的惡意軟件。

　　思科軟件定義廣域網(wǎng)安全提供 Web 過濾、入侵檢測和防御功能，以防止訪客設(shè)備通過網(wǎng)絡(luò)傳播網(wǎng)絡(luò)病毒。另外，分段會(huì)限制員工接入訪客網(wǎng)絡(luò)，所有業(yè)務(wù)數(shù)據(jù)流都通過 IPsec VPN 隧道傳輸。

　　為了支持新的安全功能組合功能并簡化管理，思科軟件定義廣域網(wǎng)通過集中式管理的 vManage 控制器提供了基于 GUI 的工作流程。零接觸式思科 ISR/ASR 和 vEdge 路由器可由分支機(jī)構(gòu)中的非技術(shù)人員啟動(dòng)，并根據(jù)預(yù)定義的業(yè)務(wù)意圖進(jìn)行遠(yuǎn)程配置，以及根據(jù)業(yè)務(wù)需求進(jìn)行定制。邊緣路由器持續(xù)監(jiān)控流量模式，并自動(dòng)調(diào)整連接以適應(yīng)優(yōu)先級(jí)業(yè)務(wù)數(shù)據(jù)、維護(hù)云和 SaaS 應(yīng)用 QoE，并主動(dòng)適應(yīng)安全威脅。

　　思科軟件定義廣域網(wǎng)產(chǎn)品組合中的這些創(chuàng)新有助于解決當(dāng)今企業(yè)在現(xiàn)實(shí)中面臨的安全挑戰(zhàn)。此外，更好的是，獲得許可很簡單，因?yàn)檐浖�定義廣域網(wǎng)中附帶了我們的 DNA Essentials 許可證。您可以期待我們的工程師團(tuán)隊(duì)推出更多創(chuàng)新，以便更好地連接和保護(hù)分支機(jī)構(gòu)與企業(yè)、多云和 SaaS 應(yīng)用平臺(tái)，同時(shí)降低總體連接成本。

　　Anand Oswal

　　Senior Vice President, Engineering