但在云邊緣，即網絡、云和安全系統(tǒng)的交叉點，企業(yè)還是飽受諸多問題困擾，包括安全風險較高、應用性能參差不齊，以及復雜性日益增加。

　　目前，分支機構開始通過互聯(lián)網進行直接云連接并運行業(yè)務關鍵型應用，但是將流量回傳到企業(yè)防火墻的傳統(tǒng)廣域網保護方法不僅效率低下，而且成本較高。這是因為傳統(tǒng)廣域網平臺主要用于將分支機構直接連接到數(shù)據中心，而無法靈活地處理與多個云平臺的同時連接，也不能自動選擇最高效且最具成本效益的路由。

　　要在保護廣域網安全的同時，簡化分布式網絡管理并降低連接成本，組織需要使用全面而靈活的軟件定義架構。

　　實際上，每臺廣域網設備都應該支持軟件定義，并受到保護。因此，我們宣布推出全新的高級軟件定義安全功能組合，來應對關鍵的邊緣安全挑戰(zhàn)。利用易于管理、部署和維護的軟件定義廣域網，思科可為 IT 提供高度有效且可擴展的安全保護，從而讓企業(yè)能夠放心使用自己選擇的云服務。思科軟件定義廣域網可將設備和人員無縫連接到任何云，帶來卓越的應用體驗，并確保從分支機構到云實現(xiàn)一致的統(tǒng)一威脅防護。

　　隨著應用從數(shù)據中心遷移到多個云平臺，每臺廣域網設備都必須支持軟件定義，并受到保護。

　　確保云邊緣安全性的傳統(tǒng)方式是將所有流量發(fā)送回企業(yè)數(shù)據中心進行檢查、分析和過濾，然后再將其發(fā)送到 SaaS 應用或公共云服務。對于分布式企業(yè)而言，這樣做通常意味著需要使用昂貴的 MPLS 線路，因此會增加數(shù)據中心安全層的規(guī)模和復雜性。分布式分支機構之間的流量增長越多， 管理多個 MPLS 連接和數(shù)據中心安全的成本和復雜性就會越高。

　　全新的思科軟件定義廣域網安全功能組合可在分支機構路由器的邊緣提供全面的防護，并可對網絡和安全管理進行集中控制。嵌入式安全功能可保護傳入和傳出分支機構業(yè)務系統(tǒng)及云平臺的數(shù)據。這些安全功能組合還可以保護整個互聯(lián)企業(yè)免受可能來自受感染的互聯(lián)網連接和應用的破壞性安全攻擊。

　　思科軟件定義廣域網安全功能組合側重于與分支機構緊密相關的四種類型關鍵流量的防護：

　　下面，我們來了解一下目前推出的安全創(chuàng)新解決方案如何緩解這些流量類型暴露的威脅攻擊面，并幫助您持續(xù)使用我們的軟件定義廣域網架構節(jié)省成本。

　　每個組織都會接收、存儲和處理敏感數(shù)據集，如個人身份信息（PII）和支付卡信息（PCI）。應用感知防火墻可確保只有經授權的應用和人員才能訪問敏感數(shù)據。

　　思科軟件定義廣域網安全性在分支機構路由器中添加了嵌入式應用感知防火墻，可以學習并執(zhí)行您的意圖，確保只有所需的應用可以訪問敏感型數(shù)據（如PCI）。然后，軟件定義廣域網交換矩陣可通過安全 VPN 將敏感流量路由到企業(yè)數(shù)據中心或多云平臺中的應用。

　　在思科基于意圖的網絡中，類似 “僅在 IPsec VPN 上傳輸敏感數(shù)據類型 PCI” 這樣的意圖只需在思科 vManage 中設定一次，即可自動應用于整個網絡；同時，思科 vSmart 控制器可根據安全策略明確劃分流量。

　　在軟件定義廣域網出現(xiàn)之前，組織主要依賴安全卻昂貴的 MPLS 線路將分支機構連接到安全功能所在的數(shù)據中心。隨著組織允許分支機構站點的應用和設備直接訪問互聯(lián)網，它們可以直接繞過傳統(tǒng)的集中式安全邊界。這會導致將分支機構暴露給所有類型的互聯(lián)網流量，而且在直接訪問的過程中，會增加邊緣處的受攻擊面。

　　為了應對這些威脅，軟件定義廣域網安全組合提供了嵌入式安全功能組合，包括應用感知防火墻、入侵檢測和防御、URL過濾以及思科 Umbrella DNS 云安全層面的防護。思科軟件定義廣域網交換矩陣會根據 SecOps 策略智能地將流量路由到分支機構。Web 安全功能可保留安全 URL 的本地緩存，這些 URL 會定期更新，以便與最新的安全威脅報告保持一致。

　　直接云訪問提高了云和 SaaS 應用的應用體驗質量（QoE），同時引入了直接互聯(lián)網接入中類似的風險。

　　思科軟件定義廣域網安全結合使用 DNS 安全層和入侵檢測功能，來防止最具侵略性的拒絕服務、網絡釣魚、惡意軟件和勒索軟件攻擊，這些攻擊可以將 SaaS 和云應用使用的互聯(lián)網連接和開放端口作為媒介。此外，這些嵌入式安全功能利用了思科 Talos 團隊的最新威脅數(shù)據，該團隊是世界上最成熟的商業(yè)威脅信息組織之一。

　　專注于客戶體驗的組織（例如零售店）傾向于向客戶開放其分支機構 Wi-Fi，以便通過互動方式來吸引他們。但是，允許訪客接入分支機構的 Wi-Fi 網絡也會向他們公開業(yè)務應用、數(shù)據和服務。為此，最重要的是采用對訪客接入進行分段的安全策略。這樣一來，在允許接入互聯(lián)網時，企業(yè)網絡的所有其他部分可以不受限制。組織仍然需要阻止訪客意外或惡意下載可能感染分支機構網絡的惡意軟件。

　　思科軟件定義廣域網安全提供 Web 過濾、入侵檢測和防御功能，以防止訪客設備通過網絡傳播網絡病毒。另外，分段會限制員工接入訪客網絡，所有業(yè)務數(shù)據流都通過 IPsec VPN 隧道傳輸。

　　為了支持新的安全功能組合功能并簡化管理，思科軟件定義廣域網通過集中式管理的 vManage 控制器提供了基于 GUI 的工作流程。零接觸式思科 ISR/ASR 和 vEdge 路由器可由分支機構中的非技術人員啟動，并根據預定義的業(yè)務意圖進行遠程配置，以及根據業(yè)務需求進行定制。邊緣路由器持續(xù)監(jiān)控流量模式，并自動調整連接以適應優(yōu)先級業(yè)務數(shù)據、維護云和 SaaS 應用 QoE，并主動適應安全威脅。

　　思科軟件定義廣域網產品組合中的這些創(chuàng)新有助于解決當今企業(yè)在現(xiàn)實中面臨的安全挑戰(zhàn)。此外，更好的是，獲得許可很簡單，因為軟件定義廣域網中附帶了我們的 DNA Essentials 許可證。您可以期待我們的工程師團隊推出更多創(chuàng)新，以便更好地連接和保護分支機構與企業(yè)、多云和 SaaS 應用平臺，同時降低總體連接成本。

　　Anand Oswal

　　Senior Vice President, Engineering