企業(yè)要想充滿信心地把握住數(shù)據中心虛擬化和云帶來的業(yè)務優(yōu)勢，安全性將是其中的關鍵，而非阻礙。我們建議用戶在網絡中一致地部署安全性，確保各項策略能夠在包括物理、虛擬和云在內的混合環(huán)境中得到可靠執(zhí)行，同時支持數(shù)據中心專業(yè)人員在絲毫不影響網絡性能的情況下，提供高度安全的‘IT即服務’(IT as a service)。”——思科全球資深副總裁兼安全與政府事業(yè)部總經理Christopher Young

　　當前，虛擬化和云的大趨勢正推動數(shù)據中心發(fā)生重大轉變，并影響到從IT服務到業(yè)務模式乃至架構的方方面面。這些趨勢會帶來諸多業(yè)務優(yōu)勢，例如更低的資本投資、新的收入增長、以及更高的效率、靈活性和可擴展性等，從而將能夠支持更快地推進全球化步伐。

　　在數(shù)據中心大踏步向著融合、虛擬化、自動化邁進的同時，以支撐未來彈性計算、海量數(shù)據計算所帶來的應用流量激增，虛擬工作負載增長，以及移動終端接入普及的需求也給IT提出了更高的要求。之于安全，IT部門一直在很多無效控制的網絡邊界建設安全的基礎設施，傳統(tǒng)的安全體系和思路已經在虛擬化技術普及，大量移動終端接入，以及高復雜安全威脅技術面前，顯的拙荊見肘。業(yè)界已經對重構網絡安全體系達成了共識，并不斷通過技術的創(chuàng)新和主動智能的方法搭建更為有效的安全架構和體系。

　　安全轉型勢在必行

　　思科作為自適應安全的倡導者，很早就在其安全解決方案中融入了主動識別和防御、智能管理和虛擬化安全的思路，并嘗試給企業(yè)帶來端到端的安全性。近日思科推出了一系列的安全解決方案，支撐企業(yè)數(shù)據中心向整合和虛擬化邁進的過程中更有效的抵御威脅。

　　Christopher Young表示，“安全的可拓展性、物理和虛擬混合環(huán)境的統(tǒng)一安全策略、以及安全開發(fā)必須以業(yè)務為導向，成為提升企業(yè)安全整體能力的新需求。”

思科全球資深副總裁兼安全與政府事業(yè)部總經理Christopher Young

　　所以思科認為，在當前的環(huán)境下，安全性必須貫穿于整個網絡，以便可靠地保護統(tǒng)一數(shù)據中心。

　　思科大中華區(qū)副總裁無邊界網絡事業(yè)部總經理倪殿令表示，“滿足這樣的需求，必須做到以下幾點以推動安全的轉型，包括應用保護、統(tǒng)一安全策略和業(yè)務環(huán)境感知。”

思科大中華區(qū)副總裁無邊界網絡事業(yè)部總經理倪殿令

　　Christopher Young指出，“通過應用防護應對來自WEB、APT和惡意軟件的威脅;統(tǒng)一的安全策略，為虛擬機間的通信提供可靠保障，并使統(tǒng)一的安全策略適合物理和虛擬的混合環(huán)境，以覆蓋云端和數(shù)據中心;業(yè)務環(huán)境感知要基于身份，提供可視性和可控性的統(tǒng)一安全管理。”

　　思科認為隨著企業(yè)開始遷移到云和采用更靈活的，不受設備限制的企業(yè)文化，這樣的安全轉型勢在必行。

　　思科SecureX嵌入混合環(huán)境

　　思科SecureX架構在整個分布式網絡中執(zhí)行安全策略，而不僅限于數(shù)據流中的一個點。通過這種方式，它能夠滿足當前無邊界網絡環(huán)境中不斷變化的安全需求。為移動用戶、虛擬化數(shù)據和云提供安全保護策略。通過高級策略，如誰在何時何地利用哪些應用和設備訪問哪些內容，提供環(huán)境感知安全性深入監(jiān)測和提升運營效率。

　　思科SecureX架構基于3個主要組件：

• 網絡智能組件：提供可視性、增強網絡安全性
• 環(huán)境感知增強：執(zhí)行安全策略、利用整體的交互環(huán)境，在設備到基于云的各種產品上部署安全要素。
• 環(huán)境感知策略：業(yè)務驅動型策略，利用環(huán)境簡化并與實現(xiàn)IT實施和業(yè)務規(guī)則直接關聯(lián)。

　　在這三部分的主要組件中，思科提供TRUSTSEC和身份服務引擎(ISE)，思科ASA系列自適應安全設備，Anyconnect安全移動，SIO云安全服務，當然也包括這次推出的思科ASA 1000V。

　　實現(xiàn)安全保障的統(tǒng)一交換矩陣

　　這次思科針對其SecureX架構下組件進行了密集的產品升級和發(fā)布，包括思科ASA系列操作平臺9.0版本的發(fā)布，推出全新的思科ASA 1000V虛擬防火墻，新的思科IPS4500系列入侵防御系統(tǒng)等。接下來就讓我們一起這些產品的亮點。

　　思科ASA 9.0平臺操作系統(tǒng)更新：提升性能，可擴展至320G的防火墻和60G的IPS吞吐率，支持每秒100萬個連接和5,000萬個并發(fā)連接;集成了身份、內容和應用安全;擴展集群技術實現(xiàn)，支持將ASA堆棧作為單個邏輯設備進行管理等功能。

　　思科ASA 1000V：構建在Nexus 1000V系列交換機上，作為原來思科虛擬安全網關(VSG)的延伸，負責虛擬機遷移時，安全策略的管理。單一ASA 1000V能夠在多個ESX主機間采用不同的安全策略來保護多個工作負載，為虛擬化和云基礎設施帶來了端到端安全性。

　　思科IPS 4500系列：提供高性能密度，每機架單元具備每秒萬兆性能;結合網絡信譽的環(huán)境感知型IPS的實施能夠推動用戶做出有效的危害降低決策。

　　思科Security Manager 4.3(CSM)：提供可擴展的集中管理功能，使管理員能夠有效管理眾多思科安全設備，實現(xiàn)網絡部署的可視性，并與其他基本網絡服務(如合規(guī)性系統(tǒng)和高級安全分析系統(tǒng))分享信息。作為SecureX的大管家，管理包括ASA系列，IPS系列，AnyConnect移動客戶端，思科安全路由在內的安全環(huán)境。

　　思科AnyConnect 3.1：升級了差異化設備訪問功能，支持自帶設備(BYOD)部署、IPv6能力以及新一代加密技術，包括NSA的Suite B加密等。

　　寫在最后

　　在思科SecureX架構下，其不同組件的功能和技術逐步完善，我們逐漸看到了思科構建混合環(huán)境下集防火墻、IPS、虛擬安全網關、安全統(tǒng)一管理、安全終端接入等解決方案的統(tǒng)一安全策略，這樣的策略已經逐漸打破了原有的安全架構的限制，與思科所倡導的無邊界網絡緊密的結合在一起。相信這樣的體系在未來還有待進一步完善，而且也不是只有思科在這樣做，安全的變革就在當下，虛擬化和云、不斷變化的安全威脅都是安全架構不斷演進的驅動力，但來自安全本身的技術源動力也蓄勢待發(fā)。