思科宣布为其久负盛名的 Catalyst 交换机系列推出防火墙包,旨在帮助拥有混合 IT 和 OT 系统的企业客户更轻松地划分网络资源,并通过整合网络和安全部署来节省资金。
具体来说,思科为其安全防火墙自适应安全设备 (ASA) 构建了一个基于 Docker 的容器,该容器可以托管在其 Catalyst 9300 接入交换机上。思科安全防火墙 ASA 结合了防火墙、防病毒、入侵防御、加密和虚拟专用网络 (VPN)支持。
防火墙最多支持10个逻辑接口,可用于分段。思科安全业务部门的工程产品经理 Pal Lakatos-Toth 在有关该新闻的博客中写道,这种分段有助于限制攻击者在网络内横向移动的能力,将任何违规行为限制在特定区域。
“信息技术(IT)和运营技术(OT)系统的集成,也称为IT/OT集成,是制造、能源和公用事业等行业的关键过程。IT 系统处理数据管理,而 OT 系统则管理电网、水处理厂和制造设备等关键基础设施的物理流程和控制系统。”Lakatos-Toth 写道。
数字化转型和智能制造举措加速了 IT 和 OT 网络的融合,“虽然这种集成可以带来显着的好处,例如提高效率、提高可见性和更好的决策,但它也会增加网络攻击的风险, ”拉卡托斯-托特说道。
Lakatos-Toth 表示,通过在 Catalyst 9300 接入交换机上托管容器化安全防火墙 ASA,组织可以降低使用复杂隧道将流量引导至集中式防火墙的复杂性。它将防火墙服务定位在更靠近源头的位置,提供一种经济有效且高效的方式来保护 IT/OT 融合网络。Lakatos-Toth 表示,它还通过在设备连接网络的源附近实施策略,最大限度地减少时间敏感应用程序的延迟。
思科安全防火墙 ASA 如何与 Catalyst 9300 配合使用
容器化安全防火墙 ASA 维护一个有状态的连接表,该表跟踪经过的每个网络连接的状态和上下文,并应用基于上下文的访问控制。
“如果任何应用程序需要额外的端口来运行,防火墙会动态打开并跟踪这些端口,同时确保安全策略和访问控制保持不变。所有这些事件都会被记录下来用于审计目的,并可用于跟踪和防止安全漏洞。”Lakatos-Toth 说道。
对于 IT/OT 网络中的访问控制,容器化安全防火墙 ASA 使用访问控制列表 (ACL) 和安全组标签 (SGT)。“通过 SGT,防火墙应用基于标签而不是 IP 地址的安全策略。防火墙使用 SGT 来验证 OT 设备并将其分配给特定的安全组,例如“OT”,该安全组可进一步用于状态检查。”Lakatos-Toth 表示。
ASA 软件包通过思科企业 DNA 中心 (DNAC) 进行管理,以支持管理和网络连接配置。DNAC 确保防火墙应用程序始终是最新且安全的。思科防御协调器还支持该系统,并可以跨大型网络创建和部署一致的安全策略。Lakatos-Toth 写道,它执行策略分析并简化配置和管理流程。
虽然这是思科首次在 9300 上部署防火墙,但该交换机多年来一直包含Docker 容器支持。这个想法是让客户在交换机上构建自己的应用程序,而不必在每次基础设施发生变化时都重写它们。据思科称,Docker 容器是轻量级的,使用的 CPU 和内存开销非常少。
思科表示:“例如,大型企业的网络运营商可以在 Cisco Catalyst 访问平台上托管网络监控应用程序,以便根据收到的实时洞察清楚地了解网络中的问题所在,并采取相应的行动。” 。