但在云邊緣，即網(wǎng)絡(luò)、云和安全系統(tǒng)的交叉點，企業(yè)還是飽受諸多問題困擾，包括安全風(fēng)險較高、應(yīng)用性能參差不齊，以及復(fù)雜性日益增加。

　　目前，分支機構(gòu)開始通過互聯(lián)網(wǎng)進行直接云連接并運行業(yè)務(wù)關(guān)鍵型應(yīng)用，但是將流量回傳到企業(yè)防火墻的傳統(tǒng)廣域網(wǎng)保護方法不僅效率低下，而且成本較高。這是因為傳統(tǒng)廣域網(wǎng)平臺主要用于將分支機構(gòu)直接連接到數(shù)據(jù)中心，而無法靈活地處理與多個云平臺的同時連接，也不能自動選擇最高效且最具成本效益的路由。

　　要在保護廣域網(wǎng)安全的同時，簡化分布式網(wǎng)絡(luò)管理并降低連接成本，組織需要使用全面而靈活的軟件定義架構(gòu)。

　　實際上，每臺廣域網(wǎng)設(shè)備都應(yīng)該支持軟件定義，并受到保護。因此，我們宣布推出全新的高級軟件定義安全功能組合，來應(yīng)對關(guān)鍵的邊緣安全挑戰(zhàn)。利用易于管理、部署和維護的軟件定義廣域網(wǎng)，思科可為 IT 提供高度有效且可擴展的安全保護，從而讓企業(yè)能夠放心使用自己選擇的云服務(wù)。思科軟件定義廣域網(wǎng)可將設(shè)備和人員無縫連接到任何云，帶來卓越的應(yīng)用體驗，并確保從分支機構(gòu)到云實現(xiàn)一致的統(tǒng)一威脅防護。

　　隨著應(yīng)用從數(shù)據(jù)中心遷移到多個云平臺，每臺廣域網(wǎng)設(shè)備都必須支持軟件定義，并受到保護。

　　確保云邊緣安全性的傳統(tǒng)方式是將所有流量發(fā)送回企業(yè)數(shù)據(jù)中心進行檢查、分析和過濾，然后再將其發(fā)送到 SaaS 應(yīng)用或公共云服務(wù)。對于分布式企業(yè)而言，這樣做通常意味著需要使用昂貴的 MPLS 線路，因此會增加數(shù)據(jù)中心安全層的規(guī)模和復(fù)雜性。分布式分支機構(gòu)之間的流量增長越多， 管理多個 MPLS 連接和數(shù)據(jù)中心安全的成本和復(fù)雜性就會越高。

　　全新的思科軟件定義廣域網(wǎng)安全功能組合可在分支機構(gòu)路由器的邊緣提供全面的防護，并可對網(wǎng)絡(luò)和安全管理進行集中控制。嵌入式安全功能可保護傳入和傳出分支機構(gòu)業(yè)務(wù)系統(tǒng)及云平臺的數(shù)據(jù)。這些安全功能組合還可以保護整個互聯(lián)企業(yè)免受可能來自受感染的互聯(lián)網(wǎng)連接和應(yīng)用的破壞性安全攻擊。

　　思科軟件定義廣域網(wǎng)安全功能組合側(cè)重于與分支機構(gòu)緊密相關(guān)的四種類型關(guān)鍵流量的防護：

　　下面，我們來了解一下目前推出的安全創(chuàng)新解決方案如何緩解這些流量類型暴露的威脅攻擊面，并幫助您持續(xù)使用我們的軟件定義廣域網(wǎng)架構(gòu)節(jié)省成本。

　　每個組織都會接收、存儲和處理敏感數(shù)據(jù)集，如個人身份信息（PII）和支付卡信息（PCI）。應(yīng)用感知防火墻可確保只有經(jīng)授權(quán)的應(yīng)用和人員才能訪問敏感數(shù)據(jù)。

　　思科軟件定義廣域網(wǎng)安全性在分支機構(gòu)路由器中添加了嵌入式應(yīng)用感知防火墻，可以學(xué)習(xí)并執(zhí)行您的意圖，確保只有所需的應(yīng)用可以訪問敏感型數(shù)據(jù)（如PCI）。然后，軟件定義廣域網(wǎng)交換矩陣可通過安全 VPN 將敏感流量路由到企業(yè)數(shù)據(jù)中心或多云平臺中的應(yīng)用。

　　在思科基于意圖的網(wǎng)絡(luò)中，類似 “僅在 IPsec VPN 上傳輸敏感數(shù)據(jù)類型 PCI” 這樣的意圖只需在思科 vManage 中設(shè)定一次，即可自動應(yīng)用于整個網(wǎng)絡(luò)；同時，思科 vSmart 控制器可根據(jù)安全策略明確劃分流量。

　　在軟件定義廣域網(wǎng)出現(xiàn)之前，組織主要依賴安全卻昂貴的 MPLS 線路將分支機構(gòu)連接到安全功能所在的數(shù)據(jù)中心。隨著組織允許分支機構(gòu)站點的應(yīng)用和設(shè)備直接訪問互聯(lián)網(wǎng)，它們可以直接繞過傳統(tǒng)的集中式安全邊界。這會導(dǎo)致將分支機構(gòu)暴露給所有類型的互聯(lián)網(wǎng)流量，而且在直接訪問的過程中，會增加邊緣處的受攻擊面。

　　為了應(yīng)對這些威脅，軟件定義廣域網(wǎng)安全組合提供了嵌入式安全功能組合，包括應(yīng)用感知防火墻、入侵檢測和防御、URL過濾以及思科 Umbrella DNS 云安全層面的防護。思科軟件定義廣域網(wǎng)交換矩陣會根據(jù) SecOps 策略智能地將流量路由到分支機構(gòu)。Web 安全功能可保留安全 URL 的本地緩存，這些 URL 會定期更新，以便與最新的安全威脅報告保持一致。

　　直接云訪問提高了云和 SaaS 應(yīng)用的應(yīng)用體驗質(zhì)量（QoE），同時引入了直接互聯(lián)網(wǎng)接入中類似的風(fēng)險。

　　思科軟件定義廣域網(wǎng)安全結(jié)合使用 DNS 安全層和入侵檢測功能，來防止最具侵略性的拒絕服務(wù)、網(wǎng)絡(luò)釣魚、惡意軟件和勒索軟件攻擊，這些攻擊可以將 SaaS 和云應(yīng)用使用的互聯(lián)網(wǎng)連接和開放端口作為媒介。此外，這些嵌入式安全功能利用了思科 Talos 團隊的最新威脅數(shù)據(jù)，該團隊是世界上最成熟的商業(yè)威脅信息組織之一。

　　專注于客戶體驗的組織（例如零售店）傾向于向客戶開放其分支機構(gòu) Wi-Fi，以便通過互動方式來吸引他們。但是，允許訪客接入分支機構(gòu)的 Wi-Fi 網(wǎng)絡(luò)也會向他們公開業(yè)務(wù)應(yīng)用、數(shù)據(jù)和服務(wù)。為此，最重要的是采用對訪客接入進行分段的安全策略。這樣一來，在允許接入互聯(lián)網(wǎng)時，企業(yè)網(wǎng)絡(luò)的所有其他部分可以不受限制。組織仍然需要阻止訪客意外或惡意下載可能感染分支機構(gòu)網(wǎng)絡(luò)的惡意軟件。

　　思科軟件定義廣域網(wǎng)安全提供 Web 過濾、入侵檢測和防御功能，以防止訪客設(shè)備通過網(wǎng)絡(luò)傳播網(wǎng)絡(luò)病毒。另外，分段會限制員工接入訪客網(wǎng)絡(luò)，所有業(yè)務(wù)數(shù)據(jù)流都通過 IPsec VPN 隧道傳輸。

　　為了支持新的安全功能組合功能并簡化管理，思科軟件定義廣域網(wǎng)通過集中式管理的 vManage 控制器提供了基于 GUI 的工作流程。零接觸式思科 ISR/ASR 和 vEdge 路由器可由分支機構(gòu)中的非技術(shù)人員啟動，并根據(jù)預(yù)定義的業(yè)務(wù)意圖進行遠程配置，以及根據(jù)業(yè)務(wù)需求進行定制。邊緣路由器持續(xù)監(jiān)控流量模式，并自動調(diào)整連接以適應(yīng)優(yōu)先級業(yè)務(wù)數(shù)據(jù)、維護云和 SaaS 應(yīng)用 QoE，并主動適應(yīng)安全威脅。

　　思科軟件定義廣域網(wǎng)產(chǎn)品組合中的這些創(chuàng)新有助于解決當(dāng)今企業(yè)在現(xiàn)實中面臨的安全挑戰(zhàn)。此外，更好的是，獲得許可很簡單，因為軟件定義廣域網(wǎng)中附帶了我們的 DNA Essentials 許可證。您可以期待我們的工程師團隊推出更多創(chuàng)新，以便更好地連接和保護分支機構(gòu)與企業(yè)、多云和 SaaS 應(yīng)用平臺，同時降低總體連接成本。

　　Anand Oswal

　　Senior Vice President, Engineering