身份管理 + 威脅可視化：Cisco 認為可解決 IoT、雲端安全危機

提到網絡保安這範疇，很多公司都明白到傳統保安方案的做法，不就是防火牆、內部的資料外洩防禦 DLP、用户端的防毒軟件等等，然而這一系列傳統的防禦方案只是針對從外進入公司內部的安全威脅，對於從內到外的安全狀況，例如是員工在公司未經批准的情況下將公司的資料放到 Dropbox 上，又或者是即將到來的 IoT（物聯網保安），傳統的防禦方式便明顯不足了。

近幾年來，筆者只要有機會與安全廠商的 CEO 見面，都會很自然的問他們一個問題，那就是：「在 IoT 保安方面，應如何做到安全防禦措施？」

近日 Cisco 便開始發功了，她們開始推動一種名為「無處不在的保安」，終於有一家廠商比較明確的向著 IoT 保安方面著手。Cisco 新一輪的計劃就是：加強影子 IT、終端和雲端的可視性、可控性和防護功能，並將這一切稱之為無處不在的保安政策。

現時企業面對的情況是……

目前，公司都對數碼化發展計劃寄予厚望，希望藉此發掘新途徑來促進業績增長，降低營運複雜性。而如今數據無處不在，威脅者的攻擊也同時愈加頻繁，公司需要想盡一切辦法來保護其資產。與此同時，他們卻只能從一系列複雜的單一解決方案中選擇適合自己的產品。這些解決方案由於設計上的限制，通常無法相互操作，並大大降低了保安團隊對他們網絡上潛在威脅和入侵的可視性。

Cisco 的做法就是希望為整個擴展網絡嵌入保安功能，包括路由器、交換器和數據中心，並旨在消除在整個攻擊過程中的漏洞，及顯著地縮短偵測和修復時間。

在雲端上……

具體而言，新增的雲端存取保安（Cisco Cloud Access Security，CAS）能為以雲端為基礎的應用帶來可視性及數據保安；根據 Cisco 雲端使用率服務趨勢數據，受到影子 IT 的影響，企業員工使用未經授權雲端應用的數量是資訊總監所預計的 15 到 20 倍。而 Cisco CAS 系列便主要針對這複雜的情況，同時亦能提高對雲端應用數據的可視性和可控性。

當與 Skyhigh Networks 和 Elastica 配合使用時，CAS 能夠更有效地偵測員工可能放到網絡上的「隱藏」應用，快速偵測惡意行為，以及制定保安政策，確保應用使用情況和使用者行為與公司政策保持一致。為了保護以雲端為基礎的應用程式，例如 Dropbox 和 Salesforce.com，CAS 可防止使用者在應用程式內上載敏感資訊和不適當地分享數據，將數據外洩漏洞降低。

在物聯網方面……

隨著企業向物聯網、流動設備及第三方應用程式開放網絡，他們在存取及防護之間如何取得平衡，以及如何加快保安變更以滿足業務需求面對重大挑戰？超過 68% 的企業認為員工將流動設備連接到網絡大大增加了終端風險。

Cisco 針對 推出了身份識別服務引擎（ISE），都是萬變不離其中的做法 – 以身份認證為基礎進行防禦，進一步擴展了以軟件為定義的業務政策，支援精細地劃分終端、使用者和地域的存取。ISE 現在與 Cisco 流動服務引擎（Cisco Mobility Services Engine）整合，令 IT 能創造和執行位置政策，從而將數據存取限定在特定的區域。這可減少整體攻擊範圍，遏制網絡威脅，並在整個攻擊過程中保護有線、無線和遠端網絡存取。

進一步支援 9 大安全廠商方案

ISE 還透過其 pxGrid 合作夥伴生態系統與 9 個安係廠商進行合作，當中包括 Check Point、Infoblox、Invincea、E8 Security、Hawk Defense、Huntsman Security、LogRhythm、SAINT 和 SOTI，生態系統合作夥伴現在能夠在 pxGrid 合作夥伴之間雙向共用保安遙測數據。pxGrid Adaptive Network Control 的新增功能可支援合作夥伴利用 ISE，透過網絡即執行者，快速發現和遏制攻擊。

其實機構若要把握數碼機遇，便需無處不在的保安，不論你是否使用 Cisco 的方案，你都必需從網絡到終端、還是從雲端到業務的每個角落部署適當的方案以限制敏感數據外洩風險。