虚拟服务安全 SASE
为了解决应用程序向云端的迁移问题,SASE 作为一个新概念被引入,它将网络和安全功能结合在一起。
概述
为了解决应用程序向云端迁移以及更多用户位于传统办公楼之外的问题,SASE 作为一种新概念被引入,它将网络和安全功能集成在一个统一的框架中,旨在提供从边缘到边缘的强大安全性,交付包括数据中心、分支机构、漫游用户等服务。 SD-WAN是 SASE 的网络基础组件。
在SASE 成立之前, Nuage Networks 一直在提供可扩展且灵活的 SD-WAN 和嵌入式安全性。 Nuage SASE 是我们在网络的任何点提供的 SD-WAN 和安全功能的扩展,包括本地、云边缘和云端。我们的 SASE 解决方案开放、灵活,可与云安全供应商合作,创建数字化转型所需的综合网络和安全框架。
方案优势
威胁预防、入侵检测和预防 (IDS/IDP)
入侵检测系统 (IDS) 和入侵防御系统 (IPS) 对于通过识别病毒签名来检测和预防已知攻击非常重要。威胁防御组件可防止恶意软件渗透网络,无论它们隐藏在何种应用程序流量中。它使用已知攻击的签名来匹配流量以防止攻击。可以通过 GUI 或 API 集中定义和管理 IPS/IDS 策略。签名是从云端动态更新的。
基于 IP 经验数据的智能威胁识别
智能威胁识别功能根据收集到的已知风险公共 IP 地址的流量记录中源或目标公共 IP 地址的经验数据,近乎实时地检测安全威胁。例如,僵尸网络的高风险 IP 地址和地理位置为安全分析和威胁搜索提供了额外的线索。
嵌入式 L3-L7 防火墙和 SaaS 访问控制
嵌入式 L3-L7 分布式防火墙允许控制分支使用有状态的 L3-L4 从互联网进行安全访问。使用 L7 DPI 限制分支用户对特定应用程序的访问。经第 3 方验证符合 PCI-DSS v3.2 网络防火墙要求。记录 ACL 操作以进行合规性和审计。支持预定义的 SaaS 服务,例如 Office365、Webex、Salesforce、 Github 、JIRA、Azure、AWS 和 Google。
端到端分段和基于内容和类别的 Web 过滤
限制恶意软件从分支机构横向移动到数据中心。控制分支机构用户对数据中心应用程序和互联网的访问。使用基于内容/网站类别的过滤来阻止分支机构用户访问不适当或恶意的互联网内容。
上下文流可视化和应用程序流映射
可视化虚拟网络中分支机构位置与互联网、其他分支机构站点以及数据中心之间的流量。按逻辑分组(例如安全区域、分支位置)对流程进行分组和可视化。L7 应用程序信息的可见性和日志记录(支持 1900 多个应用程序签名)。
安全监控、分析和自动响应
基于访问控制列表 (ACL) 的安全仪表板和警报。基于策略的选定流量镜像到安全分析。防止来自受感染分支设备的恶意软件进入公司网络,利用网络安全分析根据阈值警报识别可疑端点。
我们如何帮助您
SD-Security 是业界首款分布式端到端(云、数据中心、分支机构)软件定义网络安全、可见性和安全自动化解决方案。
- 通过跨云、数据中心和分支机构的软件定义分段和策略实施最大限度地减少攻击面,从而防止安全事件
- 通过上下文网络可见性和安全分析检测安全威胁并监控合规性。
- 通过动态自动执行安全补救流程,近乎实时地响应事件。
SD-Security 适用于异构工作负载类型,包括虚拟机 (VM)、容器和裸机服务器,以及跨硬件平台的任何现有 IP Underlay网络。Nuage SASE 框架以四种方式交付,提供最大的部署灵活性:
- 嵌入式安全功能:Nuage SD-WAN 提供一套全面的安全功能,例如状态防火墙、URL/Web 过滤、L7 ACL 和入侵防御与检测 (IPS/IDS),无需任何第三方投资。
- 基于 VNF 的安全性:7850 NSG 可以托管 VNF,例如来自任何安全供应商的托管防火墙,通过首选安全供应商的安全功能扩展嵌入式安全性。
- SASE 与云安全供应商集成:7850 NSG 与云托管安全代理集成,使Nuage SD-WAN 能够提供支持云的安全性和高级 SASE 功能,例如:ZTNA(零信任网络访问)、CASB(云访问安全Broker)和 DLP(数据丢失防护)。
- Nuage SD-WAN 为任何现有的 CSP 在其电信云中的托管安全/SASE 投资提供“服务链”。或者,云托管和托管产品诺基亚云托管 SD-WAN 服务可供需要 SD- WANaaS的 CSP 使用。通过此选项,诺基亚已将托管 SD-WAN 平台预先集成到领先的基于云的 SASE 产品中,包括 Check Point Harmony、Palo Alto Prisma 和Zscaler 。