最新消息:
    你的位置:jinglingshu的博客 > 好的外部文章和内容 > 早有自防御网络,为啥还要手搓零信任?

    早有自防御网络,为啥还要手搓零信任?

    好的外部文章和内容 admin 234浏览 0评论

    世界信息领域的超级霸主思科(Cisco),其实也是安全行业的顶级玩家。

    截止到目前为止,思科2024年安全营收为50.75亿美元,直逼全球安全一哥派拓网络(Palo Alto Networks)的80.28亿美元。

    图:思科与派拓网络营收对比

    值得一提的是,思科早在2003年就发布的“自防防御网络(SDN,Self-Defending Network)”架构,即使拿到今天来看,也不过时。

    【1】为什么要倡导“自防御网络”?

    在以前,企业不断在已有的计算机网络上添加防火墙、网络入侵检测设备、主机防病毒产品、网络身份认证系统、网络管理系统等,其目的就是要加强网络的安全性,使计算机网络、网络上的通用操作系统、主机应用系统受到不同程度的保护。

    而今天,思科提出了一个崭新的概念,那就是,安全已经变成了网络的一部分,安全已经和网络密不可分,安全无处不在。

    而且,今后的计算机网络不但要具有保护网上主机系统、网上终端系统、网上应用系统的能力,关键是要网络本身也具有自我保护、自我防御、自我愈合的能力。

    一旦受到网络蠕虫、网络病毒的侵扰甚至网络攻击时能够快速反应,做到网络能够发现攻击、发现病毒、消除蠕虫,做到即保护网络应用的同时,又保护了网络自身,这就是新一代的“自防御网络”计划。

    【2】“自防御网络”是什么?

    思科自防御网络,一句话,就是通过安全网络平台、威胁遏制、通信保护、管理四种手段,提供“端到端的安全”。

    图:思科自防御网络的分层结构

    其中共包含“控制客户端访问、安全基础设施、网络服务”三种能力建设。

    图:思科自防御网络架构(SDNA)

    在控制客户端访问方面,思科引入了一个核心的机制“网络准入控制”(Network Admission Control,NAC)”,就是设备身份的入网认证。

    没错,这就是我们现在常说的准入设备NAC,该设备今天已经成为安全市场里面的一大支柱,孕育了联软、盈高这样的亿元营收公司。

    在控制客户端访问方面,思科将自己的信任代理集成进PC的反病毒软件。在计算机接入到部署了思科方案的网络中时,思科信任代理将与思科策略服务器和反病毒厂商的策略服务器进行通信、交互信息,验证计算机上的反病毒软件是否存在,是否升级到了最新版本等。只有策略服务器认为PC可以信任才会被允许接入网络。

    在安全基础设施方面,思科基于网络基础能力和安全控制,提出了“网络即感知与行动(Network as a sensor and enforcer)”的理念,通过提供网络入侵防御(IPS)、交换机/路由器强化、加密隧道、数据包加密、访客与企业网络隔离、企业网络安全漫游等手段,为客户提供深度可见、控制和网络分析能力。

    在网络服务方面,主要提供策略管理、威胁管理等分析与管理能力。

    【3】“自防御网络”的启发

    经过上面的讲解,你是不是发现,自防御网络就是今天Gartner提出的“自适应安全架构(ASA)”与“零信任架构(ZTNA)”的合体。

    而且基本上,在思科“自防御架构”之上,加上一句“持续验证、永不信任”,这就是妥妥的零信任架构了。

    那为什么,大家还要再提出零信任的架构呢?

    说到底,还是不够开放。不开放,就会贵,思科的东西确实好,但是确实贵。

    不开放,自我迭代就没有那么积极,所以别人才会着急;所以中国才出现了华为、华三;所以派拓网络才会挑起零信任的大梁。

    而国内零信任建设的价格,也从当初的几百万降到了几十万,甚至是几万。

    所以你看,蚂蚁集团才想把他的“平行切面”架构开放出来;所以你看,微软最新的浏览器已经放弃了IE内核,而采用了谷歌的Chrome内核;所以你看,安卓生态已经超过了苹果。

    所以你看,安全行业未来比拼的是开放架构与技术创新的能力。

    最后,就拿思科“自防防御网络”概述里开头的这段话作为我们共同的愿景吧:

    “有一种网络,它的力量能 —

    实现自我保护,更能确保你的业务万无一失

    使你的通讯系统融合于一体

    更进一步地解放你的生产力

    使你轻松获取一切信息

    这就是你理想中的网络,现在就是开启它的时候!”

    参考资料:

    [1]思科.SDN 概述,2003.https://www.cisco.com/c/dam/global/zh_cn/products/security/pdf/sdn_ov1.pdf

    [2]思科网络安全新概念:自防御网络(转),2007-08-12.https://blog.itpub.net/8225414/viewspace-951184/

    [3]Self-Defending Network,2016.https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_self_defending_network.html?dtid=osscdc000283

    [4]Self-Defending Network,2017-02-05.https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-3/b_self_defending_network.pdf

    [5]Self Defending Network,2020-02-16.https://learningnetwork.cisco.com/s/question/0D53i00000KsukhCAB/self-defending-network?dtid=osscdc000283

    题图:红蓝药丸

    题图创作者:晓兵与AI小助手

    算法提供:FLUX

    转载请注明:jinglingshu的博客 » 早有自防御网络,为啥还要手搓零信任?

    与本文相关的文章

    发表我的评论
    取消评论

    表情

    Hi,您需要填写昵称和邮箱!

    • 昵称 (必填)
    • 邮箱 (必填)
    • 网址