思科宣布為其久負(fù)盛名的 Catalyst 交換機(jī)系列推出防火墻包,旨在幫助擁有混合 IT 和 OT
系統(tǒng)的企業(yè)客戶(hù)更輕松地劃分網(wǎng)絡(luò)資源,并通過(guò)整合網(wǎng)絡(luò)和安全部署來(lái)節(jié)省資金�。
具體來(lái)說(shuō),思科為其安全防火墻自適應(yīng)安全設(shè)備 (ASA) 構(gòu)建了一個(gè)基于 Docker 的容器��,該容器可以托管在其 Catalyst 9300
接入交換機(jī)上����。思科安全防火墻 ASA 結(jié)合了防火墻���、防病毒����、入侵防御、加密和虛擬專(zhuān)用網(wǎng)絡(luò) (VPN)支持����。
防火墻最多支持10個(gè)邏輯接口,可用于分段��。思科安全業(yè)務(wù)部門(mén)的工程產(chǎn)品經(jīng)理 Pal Lakatos-Toth
在有關(guān)該新聞的博客中寫(xiě)道����,這種分段有助于限制攻擊者在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)的能力,將任何違規(guī)行為限制在特定區(qū)域����。
“信息技術(shù)(IT)和運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)的集成,也稱(chēng)為IT/OT集成�,是制造、能源和公用事業(yè)等行業(yè)的關(guān)鍵過(guò)程�。IT 系統(tǒng)處理數(shù)據(jù)管理,而 OT
系統(tǒng)則管理電網(wǎng)�、水處理廠和制造設(shè)備等關(guān)鍵基礎(chǔ)設(shè)施的物理流程和控制系統(tǒng)�。”Lakatos-Toth 寫(xiě)道�。
數(shù)字化轉(zhuǎn)型和智能制造舉措加速了 IT 和 OT
網(wǎng)絡(luò)的融合����,“雖然這種集成可以帶來(lái)顯著的好處,例如提高效率����、提高可見(jiàn)性和更好的決策,但它也會(huì)增加網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)�, ”拉卡托斯-托特說(shuō)道。
Lakatos-Toth 表示��,通過(guò)在 Catalyst 9300 接入交換機(jī)上托管容器化安全防火墻
ASA�,組織可以降低使用復(fù)雜隧道將流量引導(dǎo)至集中式防火墻的復(fù)雜性����。它將防火墻服務(wù)定位在更靠近源頭的位置,提供一種經(jīng)濟(jì)有效且高效的方式來(lái)保護(hù) IT/OT
融合網(wǎng)絡(luò)�����。Lakatos-Toth 表示����,它還通過(guò)在設(shè)備連接網(wǎng)絡(luò)的源附近實(shí)施策略,最大限度地減少時(shí)間敏感應(yīng)用程序的延遲。
思科安全防火墻 ASA 如何與 Catalyst 9300 配合使用
容器化安全防火墻 ASA 維護(hù)一個(gè)有狀態(tài)的連接表���,該表跟蹤經(jīng)過(guò)的每個(gè)網(wǎng)絡(luò)連接的狀態(tài)和上下文��,并應(yīng)用基于上下文的訪問(wèn)控制����。
“如果任何應(yīng)用程序需要額外的端口來(lái)運(yùn)行�,防火墻會(huì)動(dòng)態(tài)打開(kāi)并跟蹤這些端口,同時(shí)確保安全策略和訪問(wèn)控制保持不變����。所有這些事件都會(huì)被記錄下來(lái)用于審計(jì)目的,并可用于跟蹤和防止安全漏洞���?�!盠akatos-Toth
說(shuō)道����。
對(duì)于 IT/OT 網(wǎng)絡(luò)中的訪問(wèn)控制�����,容器化安全防火墻 ASA 使用訪問(wèn)控制列表 (ACL) 和安全組標(biāo)簽 (SGT)?����!巴ㄟ^(guò)
SGT��,防火墻應(yīng)用基于標(biāo)簽而不是 IP 地址的安全策略�。防火墻使用 SGT 來(lái)驗(yàn)證 OT
設(shè)備并將其分配給特定的安全組,例如“OT”���,該安全組可進(jìn)一步用于狀態(tài)檢查���。”Lakatos-Toth 表示����。
ASA 軟件包通過(guò)思科企業(yè) DNA 中心 (DNAC) 進(jìn)行管理��,以支持管理和網(wǎng)絡(luò)連接配置���。DNAC
確保防火墻應(yīng)用程序始終是最新且安全的�。思科防御協(xié)調(diào)器還支持該系統(tǒng)��,并可以跨大型網(wǎng)絡(luò)創(chuàng)建和部署一致的安全策略。Lakatos-Toth
寫(xiě)道��,它執(zhí)行策略分析并簡(jiǎn)化配置和管理流程��。
雖然這是思科首次在 9300 上部署防火墻���,但該交換機(jī)多年來(lái)一直包含Docker
容器支持����。這個(gè)想法是讓客戶(hù)在交換機(jī)上構(gòu)建自己的應(yīng)用程序���,而不必在每次基礎(chǔ)設(shè)施發(fā)生變化時(shí)都重寫(xiě)它們����。據(jù)思科稱(chēng)�,Docker 容器是輕量級(jí)的,使用的 CPU
和內(nèi)存開(kāi)銷(xiāo)非常少��。
思科表示:“例如�,大型企業(yè)的網(wǎng)絡(luò)運(yùn)營(yíng)商可以在 Cisco Catalyst
訪問(wèn)平臺(tái)上托管網(wǎng)絡(luò)監(jiān)控應(yīng)用程序,以便根據(jù)收到的實(shí)時(shí)洞察清楚地了解網(wǎng)絡(luò)中的問(wèn)題所在��,并采取相應(yīng)的行動(dòng)��。” �����。
