我不认为任何人会用下面的语句是IT安全已成为成倍在过去的五年中更复杂的同意。这似乎每个月都有这么解决了一个特定的安全问题,但只涉及一个问题,一个新的启动。
这导致了越来越多的安全供应商造成的安全解决方案的扩张。最近的一项研究ZK调查显示,大型企业的平均32安全供应商部署,这是一个高得离谱的数字。这已经够难围绕打造两个战略,三家厂商,但32?
有一个启动试图简化安全炼成网络。最近,我与马克·卡普兰,为公司,有关回火网络如何使网络安全更加简单安全架构的副总裁发言。以下是我们的对话。
宙斯:解释一下炼成的网络功能以及如何在产品工作。
渣:回火Networks的核心战略是,网络和安全性必须联动,而不是部署为独立的解决方案。为此,我们的解决方案提供了一类新的网络,有效地带来了身份的网络和端点。
炼成网络
马克·卡普兰,在回火网络安全架构的副总裁
下面是它如何工作的:我们的解决方案包括一个被称为“HIPswitch”是建立一个安全的,私人覆盖网络到实际的物理网络产品。该解决方案开始具有默认,拒绝模式,只允许显式信任(白名单)系统或端点到覆盖。HIPswitches设备连接成一个覆盖网络,并隐藏不需要看到它无处不在白名单中的设备。
该解决方案的另一部分是指挥,管理和监控部署的HIP服务,设备,配置和安全policies.A公司可以成立一个政策,例如,规定医疗设备只可以谈论一个集中的,可扩展的流程引擎到其他医疗装置。与传统的VLAN,如果医疗器械移动,事情就需要重新配置。这被称为微分段。
HIPswitches在物理,软件可用,嵌入式,虚拟和云的外形,所以一个组织能够灵活地创建在其混合网络的网络。我们的解决方案是一个有效的安全SDN,但它通过支持东西向和南北交通走得更远。
宙斯:为什么网络有这个问题?
卡普兰:互联网协议是建立在一种模式,一切都可以看到的一切。这就是为什么互联网就像它。我们已经翻转的模型,其中每个设备或网络可以具有相关联的身份,就像DNA的东西。然后,我们运用周围的身份规则,没有设备能看到的任何其他设备,除非明确允许的政策英寸
宙斯:请问微分段简化网络?
渣:它简化了网络路由,可以提供全球IP地址。一个隐形的网络都可以有自己的网络拓扑。公司可能会选择使用专用租用线路,但是这可能是昂贵的,并且容易受到电信运营商的漏洞。此外,重叠的网络是现在可以更容易管理,因为覆盖掩盖了复杂性。最后,迁移到新的IP方案或不同的平台 - 物理,虚拟或云之间,变得非常容易。认为HIPswitches为包括安全织物,其中每个设备是唯一的一个跃距的。
宙斯:难道微分割使管理更简单的防火墙?
渣:首先,我们当然不主张摆脱防火墙的,因为它们是任何组织安全战略的非常重要的部分。但是,防火墙应该做自己最擅长的,并且是在保护周边。
今天,防火墙都充满了不必要的规则,机构可以利用他们做网络分段开始。微分割,然而,大幅减少了所需的防火墙规则的数量,使它们更容易维护。此外,客户将看到,因为规则和连接性能降低改善。减少的流量还意味着防火墙日志的大小更小,因此更容易检查。
宙斯:关于IDS / IPS的表现是什么?如何微分割影响这些设备?
渣:到防火墙类似,微分段减少的流量,需要加以检查。在隐形网络中的设备的白名单大大降低攻击向量,直接有助于流量穿过IDS缩小/ IPS系统。这也将减少误报的数量,因为只有白名单中的设备可以与其他列入白名单的设备进行通信。
额外的好处是,API驱动的响应允许移动设备并进入覆盖。无论在何处的装置位于虚拟,物理,代理或云的API可以移动受损设备出数百或数千个网络即时的,并把它变成一个完全隔离法医网络。
由于HIPswitches自己的IP,他们甚至可以动态移动的攻击从世界各地的目标远瞬间变成一个蜜罐网络,其中覆盖可以提出有针对性的系统IP上法医平台。该HIPswitch覆盖扩展IPS和IDS的价值,真正建立一个防御网络。
宙斯:任何其他安全利益?
卡普兰:是的,我们可以启用MAC地址锁定下来。这使得它易于管理的NAC功能,它也提供隐形和简化路由在安全覆盖网络。此外,微分割使得能够更好地减轻恶意软件和控制。这是关机时,围绕微分段架构部署了被感染的设备要容易得多。
我们的解决方案允许,只是一个单一的点击断开设备。如果MAC地址向下锁定不充分,为每个设备所创建的标识使得可以有绝对的信任或完全从所有网络中移除的机器。从本质上讲,如果您尝试使用Windows笔记本电脑,有一个嵌入式的身份已被撤销后,有没有办法连接到任何覆盖网络。所有的笔记本电脑被盗的密码变得完全无用的,因为身份不再有效。
最后,全球IP地址可以让我们轻松地移动机在您的混合网络,而无需重新IP的机器。织物将确保所有列入白名单的机器将能够找到对方,不管他们或坐或IP地址,但他们使用的是什么地方,安全。