网络安全知识：什么是网络可见性？

当我读到只有不到 20% 的 IT 专业人士表示他们的组织可以正确监控公共云基础设施时，这让我想起了我与全球网络经理进行的反复出现的网络可见性对话。云工作负载的动态和分布式特性加上移动劳动力使得避免影子 IT 和实现网络流的精细可见性对许多企业来说具有挑战性。

传统的 VPN 解决方案可为移动和远程员工提供连接，但几乎无法实现相同的可见性和可能的本地控制。将流量路由回公司总部进行审计并不是一个切实可行的解决方案。这样做会削弱性能并限制云和移动首先带来的好处。对于企业来说幸运的是，基于云的 SD-WAN 通过在全球范围内、本地和云中实现安全、受监控和策略执行的 WAN 连接来解决这个问题，而不会牺牲性能。

但是，究竟是什么让基于云的 SD-WAN 与众不同呢？在我们回答这个问题之前，让我们仔细看看网络可见性并探索云和移动带来的挑战。

定义网络可见性

网络可见性是收集和分析网络内和整个网络的流量。在最细粒度上，企业可能会努力实现数据包、用户和应用程序级别的可见性。换句话说，网络可见性是企业通常希望从网络和安全监控工具中获得的。

精细的网络可见性为企业带来了诸多好处。借助深入的网络可见性，组织可以通过更严格的策略执行、快速检测恶意行为和减少影子 IT 来提高安全性。此外，网络可见性可以改进网络分析和应用程序分析。这反过来又可以实现更好的报告、更明智的决策制定和改进的容量规划。

云和移动带来的网络可见性挑战

云和移动带来的网络可见性挑战

企业在网络可见性方面面临的最大挑战之一是解决云和移动造成的盲点。企业很容易陷入一种安全的错觉，因为他们可以看到所有经过 MPLS 链路的流量。问题是今天的企业 WAN 是 MPLS、基于 Internet 的 VPN、移动用户和云服务的混合体。在这种情况下，传统的监控工具根本无法提供整个 WAN 的可见性。

传统上，SIEM（安全信息和事件管理）解决方案和网络管理系统使 WAN 内的网络可见性成为可能，这些解决方案和网络管理系统聚合来自多个安全和网络监控工具（例如安全设备、防火墙和端点传感器）的数据包流数据。当流量仅限于 WAN 时，这些工具可以有效地工作，但当云和移动开始发挥作用时，它们就会开始崩溃。

例如，端点传感器通常不能在移动设备上运行。同样，捕获进出云数据中心的流量的应用程序级可见性成为一项重大挑战。这是因为每个云平台通常都有自己的一套安全策略和协议，从而在网络中形成孤岛和盲点。事实上，传统的监控工具，如 SNMP（简单网络管理协议）和许多基于代理的解决方案，根本无法在云中工作，这让事情变得更糟。此外，由于它们会掩盖来自网络传感器的数据，网络地址转换 (NAT) 和加密会降低传感器的实用性，并会扼杀数据包检查工作。

传统网络可见性和数据包检测方法的另一个缺点是它与物理或虚拟站点特定设备相关联，例如下一代防火墙 (NGFW)、安全 Web 网关 (SWG) 和统一威胁管理 (UTM) 设备. WAN 中的每个位置都需要自己的一套设备，这些设备必须进行采购、配置和维护。另一种方法是将所有流量回传到 WAN 上的一个中央位置进行检查，这会产生延迟并影响性能。

因此，基于设备的网络可见性和安全性方法的扩展性很差。企业拥有的设备越多，网络就越复杂。设备本身也有容量限制，限制了在不升级硬件的情况下可以检查和分析的流量。此外，不仅必须配置和部署设备，还必须维护、修补并最终更换设备。随着企业的发展，这可能会变成具有不同配置、固件版本和策略的应用程序拼凑而成。结果是有限的网络可见性和站点之间的疏忽或策略偏差造成的潜在安全漏洞。

然而，将现代企业面临的网络可见性挑战概念化的最佳方法可能是考虑将移动用户安全连接到云中资源的任务。在这种情况下，如果企业希望获得一定程度的数据流可见性，移动用户传统上必须通过 VPN 连接回本地设备以进行审计和检查。然后，流量被路由到本地互联网接入点或通过广域网到达集中且安全的互联网接入点，然后再到达其在云中的目的地。这种方法会对性能产生重大影响，使其对大多数企业没有吸引力。

这是调查的超过一半的企业表示他们让移动用户直接连接到云的原因之一。不出所料，超过一半的受访者还表示，在为移动用户提供业务应用程序访问方面，“缺乏可见性和控制力”是他们面临的最大挑战。

基于云的 SD-WAN 如何实现完整的网络可见性

正如我们所见，传统的基于设备的方法让企业面临一个没有吸引力的权衡：牺牲性能以获得一定程度的安全性和可见性，或者以性能的名义牺牲网络可见性。Cato 基于云的 SD-WAN 通过将范式从绑定到物理位置的基于设备的方法转移开来解决了这个问题。

Cato Cloud 与众不同的原因在于其全球 SLA 支持的私有骨干网和将安全性和监控融入网络的云原生网络基础设施。主干网由全球 45 个以上的存在点 (PoP) 组成，Cato 力求在任何 Cato 用户的 25 毫秒内拥有一个 PoP。在 Cato Cloud 中，云原生网络基础设施提供了过去需要独立的本地设备的网络安全和监控功能。

与通过本地设备路由网络流量相反，移动用户可以使用 Cato 的移动客户端连接到 Cato Cloud。这可实现与云应用程序和 WAN 资源的安全且优化的移动连接。移动用户获得与本地用户相同的保护和性能。

IT 也受益于这种基于云的 WAN 连接方法。借助 Cato Cloud，可以降低网络复杂性，同时提高网络可见性，从而简化操作并增强安全性。使这成为可能的功能包括：

下一代防火墙 (NGFW)

Cato 的内置NGFW功能无需部署多个设备即可实现应用程序级网络流量感知。与本地设备不同，Cato 的 NGFW 为企业提供了无限可扩展性和完整流量检查的优势，而无需强制升级。

身份感知路由

除了启用业务流程、QoS（服务质量）和高级策略抽象外，Cato 革命性的身份感知路由引擎还使以业务为中心的网络可见性成为可能。IT 可以查看站点、组、主机和用户级别的活动和网络流量，以改进网络规划。

托管威胁检测和响应 (MDR)

Cato 的MDR通过收集所有 WAN 和 Internet 流的完整元数据而无需部署任何网络探测器，从而为企业提供零足迹网络可见性。

编译自：CATO   原文作者：戴夫格林菲尔德