维端网从亨利福特时代的流水线到当今数字化转型,质量和效率始终是心存“技术为先”的制造企业首要考虑的因素。
正所谓“技术是根本,品质是成效”,大多数制造企业加快数字化转型的驱动力显而易见:无论是IT智能化流程、精准的数字化管理或是科学的质量监督体系,皆从精密而复杂的制造流程中为企业带来产品保障。
事实上,制造业的数字化转型的路径中,也会遇到IT和OT这两位“关键先生”的疏离问题。虽说疏离并不意味着分开,但其背后的安全问题值得企业主与CIO们驻足思考!
例如:IT人虽然擅长IT技术,但其实际上对OT运营并不擅长,而OT人反之亦然;更纠结的是,一些颇具历史的制造企业,其IT系统设备与OT的系统设备仍然存在相互之间协议、设备不适配的“囧境“。
由此而产生的安全隐患,可想而知。
从这个角度来讲,制造企业必须有一套更加适合OT的场景,但是又能满足IT应用场景的方案方能让用户高枕无忧。
目前,广受业界褒奖的思科 “IT/OT融合方案”不仅满足了让IT/OT系统双剑合璧,更是在安全层面带来了“定心丸”。
其优势主要表现在:针对稳定的生产流程,思科提供了满足OT安全场景需求的防火墙ISA3000;同时,通过Cyber Vision,思科将OT生产线上所有的组件实现可视化,并在操作环境中将应用盲点解决,进一步提升了生产操作的便捷性;而体现方案重点的是,思科的ISE系统帮助制造企业进一步完成了IT/OT融合,将IT网络及OT网络的接入控制及可视统一起来。其中,Stealthwatch流量分析系统将IT/OT流量统一呈现,方便监控回溯及异常问题发现;而思科Firepower下一代防火墙负责IT/OT的访问隔离及策略控制,这些产品同时都与Cyber vision系统深度集成,形成一体化的架构方案,让OT设备每个接入和每次访问都无比清楚。通过这种方式,IT和OT相互加强了沟通,两者之间的应用资源可相互分享,安全机制得到科学搭配,最终让企业受益良多。
4个A“串联”端到端安全
实际上,熟悉思科,或者享受到思科行业方案“裨益”的用户都会发现:思科的“IT/OT融合方案”即是对任意设备检测、保护以及响应的扩展,即Any Device的写照,其也是思科最新安全策略之一,端到端安全中的一项表述,而与之一同展现的则是:Any User、Any App、Anywhere!
从思科端到端安全这4个A中便可知晓,思科为用户打造了一套多角度、多层面,全方位的安全保护机制。
思科大中华区副总裁,安全事业部总经理卜宪录与维端网交流中提到,“后疫情时代企业数字化转型的步伐将不可逆转的加速。在这个过程中,业界的最佳实践即是采用零信任架构,对任意用户按需进行身份认证和状态检查,实现任意设备从任何地点到任意应用的安全可视化和可控性,以及在多云和混合云环境下的安全策略一致性,从而全面保护数据安全性和隐私。
如果说制造业“IT/OT融合方案”是基于Any Device来聚焦安全能力。那么,Anyapp中则是面向应用来展现安全防护,思科通过AppDynamics,Tetration以及Stealthwatch网络可视化监控的解决方案,从基础架构层面到工作负载层面到具体应用甚至代码都融入了安全要素。
“我们把这些要素从解决方案的层面做了一个整合,确保用户在数据中心上可以得到一个全方位的保护。从传统的分区分段、边界防御,一直到我们代码层级的安全。我们深知,客户看的不只是风险、安全、合规,还有性能是不是有竞争力。思科能够在全方位上提供一个解决方案,这是比较独特的”。卜宪录如是说。
与卜宪录的总结相呼应的是:某大型证券公司透过思科流量分析的平台,即可清晰看到整个应用流量从不同的业务单元之间流动,哪个应用系统出现了异常,甚至具体到在网络层面上在哪个端口出现了异常,哪些主机在网络层面出现了问题都一目了然。用户仿佛拥有了一双可自动扫描问题的智能眼,在网络和安全的可视化下,一窥千里。
谈及Any User和Anywhere,思科对两者的也颇有经验之谈:通过思科可信访问使得用户接入到网络时是可靠的。其不仅仅依据静态凭证或网络拓扑,还根据动态情境建立可信和软件定义访问,以便用户更轻松和安全地授予并限制访问。例如思科为某高校提供得可信访问功能,其基于云平台技术与各种主流的第三方应用实现集成,让约七万员工,包括校友等客户实现了丰富、安全稳定的接入体验。
而在Anywhere上,用户可基于思科的身份服务引擎ISE、NGFW防火墙等产品组合实现远程接入、办公。特别是在疫情爆发时,其能够保证员工在任何地点接入网络都能够顺畅稳定。值得一提的是,与大多数思科安全解决方案一样,ISE具有高度可扩展性,可支持惊人的200万个并发端点会话。事实上,随着客户采用物联网并将越来越多的连接设备引入其IT和OT环境中,ISE的安全表现力日渐凸显。
思科SASE的3C保障
思科最新安全策略之二则是思科SASE的解决方案,即依托云技术,提供用户及设备访问应用时所需要的连接和控制能力。而其关键词便是三个C:Connect,即任何用户,任何设备简单、 自动访问任何应用程序;Control,零信任接入控制,威胁防御;Converge,云交付, 融合网络,协作和安全。
在连接、控制、融合层面上,尤其在融合的层面,思科在落地方案上已趋成熟。根据目前思科成型的案例可见,客户可以选择利用思科 SD-WAN 与本地分支安全或云边缘托管安全,或仅适用于云安全的 Umbrella,覆盖从站点到云和 SaaS,以及远程工作人员,从而满足他们当前和未来的需求。同样,客户选择思科作为值得信赖的合作伙伴,以满足 SASE 生态系统中不断变化的需求,例如 SD-WAN 交换矩阵支持现有连接 ( 如 MPLS、互联网、G4 / LTE 和 5G 就绪 ) 的能力,以及 SD-WAN 交换矩阵的动态功能,可按需扩展到站点数量和多云选择,并针对所有站点数量进行优化。
“在多云和混合云趋势大行其道的今天,SD-WAN对推动SASE的采用将至关重要”,卜宪录强调。
值得一提,在近日举行的CiscoLive2021大会上,思科推出了新的SASE产品组合,客户可以立即体验思科的集成架构。思科提供了SASE架构的所有核心组件,包括一流的网络服务、远程访问、云安全、零信任网络访问和可观察性。思科致力于将这些功能整合到单一的订阅服务中,支持用户能够从任何地点、通过任何网络或云对任何应用程序进行无缝、安全的访问。
3W的“零信任”之旅
思科最新安全策略之三则是其顺应时代的零信任之旅,即三个“W”,Workforce、Workload、Workplace。
“坦白说,客户很难通过一次性投资把与零信任相关的事都干了,所以我们将其称之为“零信任之旅”,这是一个旅程,很清晰的脉络和旅程。Gartner将其分为11个门类”。卜宪录强调,“思科的安全解决方案中与零信任密切相关的已有六七个大的门类,在思科许多大企业客户中,很多都享受到了零信任安全方案所带来的价值”。
思科所倡导的 “零信任”安全架构是建立信任度、实施基于信任度的访问以及持续的信任验证这三步循环的过程,全面保护企业员工和设备(Workforce)、工作场所(Workplace)和工作负载(Workload)的访问安全。
思科根据不同用户在三个关键领域架构中的不同情况,给予不同的认证和授权:针对Workforce,为用户及其设备建立信任度,以访问应用程序和资源;针对Workplace,为所有用户和设备,包括物联网,建立对网络的最小特权访问控制;针对Workload,即对于企业的关键应用,实施最小的访问权限,最小化攻击面。
例如,在某企业实现边界愈发模糊的混合云应用场景下,思科为客户提供Tetration零信任方案时,将策略实施在具体的每一个Workload,限制在容器领域,执行在多云分布式的应用上。通过这样的方式,思科通过Tetration一个单一平台,即完成了所有场景的覆盖,把数据中心的安全、混合云转变为新的零信任安全数据中心。
综上所述,无论是端到端的安全4A,还是SASE相关的3C,亦或是思科零信任的3W,思科的安全策略统一指向了一个目标:让中国的企业用户能够从真正的安全技术中获得业务的稳定运行。
卜宪录总结,思科安全产品线在中国市场的深耕分为三个方面:一是思科要把全球顶级的,基于云的安全服务,加速在中国落地;第二,思科希望将在安全领域最佳实践分享出来,拿出最好的服务传递给本土用户;第三,思科基于安全技术的阶段性发展,与客户同步前进,并通过自身对安全趋势的判断总结未来三年五年安全规划,并指导客户如何从容面对安全挑战。
