网络安全知识:什么是网络可见性?

当我读到只有不到 20% 的 IT 专业人士表示他们的组织可以正确监控公共云基础设施时,这让我想起了我与全球网络经理进行的反复出现的网络可见性对话。云工作负载的动态和分布式特性加上移动劳动力使得避免影子 IT 和实现网络流的精细可见性对许多企业来说具有挑战性。

传统的 科学 解决方案可为移动和远程员工提供连接,但几乎无法实现相同的可见性和可能的本地控制。将流量路由回公司总部进行审计并不是一个切实可行的解决方案。这样做会削弱性能并限制云和移动首先带来的好处。对于企业来说幸运的是,基于云的 SD-WAN 通过在全球范围内、本地和云中实现安全、受监控和策略执行的 WAN 连接来解决这个问题,而不会牺牲性能。

但是,究竟是什么让基于云的 SD-WAN 与众不同呢?在我们回答这个问题之前,让我们仔细看看网络可见性并探索云和移动带来的挑战。

定义网络可见性

网络可见性是收集和分析网络内和整个网络的流量。在最细粒度上,企业可能会努力实现数据包、用户和应用程序级别的可见性。换句话说,网络可见性是企业通常希望从网络和安全监控工具中获得的。

精细的网络可见性为企业带来了诸多好处。借助深入的网络可见性,组织可以通过更严格的策略执行、快速检测恶意行为和减少影子 IT 来提高安全性。此外,网络可见性可以改进网络分析和应用程序分析。这反过来又可以实现更好的报告、更明智的决策制定和改进的容量规划。

云和移动带来的网络可见性挑战

云和移动带来的网络可见性挑战

企业在网络可见性方面面临的最大挑战之一是解决云和移动造成的盲点。企业很容易陷入一种安全的错觉,因为他们可以看到所有经过 MPLS 链路的流量。问题是今天的企业 WAN 是 MPLS、基于 Internet 的 科学、移动用户和云服务的混合体。在这种情况下,传统的监控工具根本无法提供整个 WAN 的可见性。

传统上,SIEM(安全信息和事件管理)解决方案和网络管理系统使 WAN 内的网络可见性成为可能,这些解决方案和网络管理系统聚合来自多个安全和网络监控工具(例如安全设备、防火墙和端点传感器)的数据包流数据。当流量仅限于 WAN 时,这些工具可以有效地工作,但当云和移动开始发挥作用时,它们就会开始崩溃。

例如,端点传感器通常不能在移动设备上运行。同样,捕获进出云数据中心的流量的应用程序级可见性成为一项重大挑战。这是因为每个云平台通常都有自己的一套安全策略和协议,从而在网络中形成孤岛和盲点。事实上,传统的监控工具,如 SNMP(简单网络管理协议)和许多基于代理的解决方案,根本无法在云中工作,这让事情变得更糟。此外,由于它们会掩盖来自网络传感器的数据,网络地址转换 (NAT) 和加密会降低传感器的实用性,并会扼杀数据包检查工作。

传统网络可见性和数据包检测方法的另一个缺点是它与物理或虚拟站点特定设备相关联,例如下一代防火墙 (NGFW)、安全 Web 网关 (SWG) 和统一威胁管理 (UTM) 设备. WAN 中的每个位置都需要自己的一套设备,这些设备必须进行采购、配置和维护。另一种方法是将所有流量回传到 WAN 上的一个中央位置进行检查,这会产生延迟并影响性能。

因此,基于设备的网络可见性和安全性方法的扩展性很差。企业拥有的设备越多,网络就越复杂。设备本身也有容量限制,限制了在不升级硬件的情况下可以检查和分析的流量。此外,不仅必须配置和部署设备,还必须维护、修补并最终更换设备。随着企业的发展,这可能会变成具有不同配置、固件版本和策略的应用程序拼凑而成。结果是有限的网络可见性和站点之间的疏忽或策略偏差造成的潜在安全漏洞。

然而,将现代企业面临的网络可见性挑战概念化的最佳方法可能是考虑将移动用户安全连接到云中资源的任务。在这种情况下,如果企业希望获得一定程度的数据流可见性,移动用户传统上必须通过 科学 连接回本地设备以进行审计和检查。然后,流量被路由到本地互联网接入点或通过广域网到达集中且安全的互联网接入点,然后再到达其在云中的目的地。这种方法会对性能产生重大影响,使其对大多数企业没有吸引力。

这是调查的超过一半的企业表示他们让移动用户直接连接到云的原因之一。不出所料,超过一半的受访者还表示,在为移动用户提供业务应用程序访问方面,“缺乏可见性和控制力”是他们面临的最大挑战。

基于云的 SD-WAN 如何实现完整的网络可见性

正如我们所见,传统的基于设备的方法让企业面临一个没有吸引力的权衡:牺牲性能以获得一定程度的安全性和可见性,或者以性能的名义牺牲网络可见性。Cato 基于云的 SD-WAN 通过将范式从绑定到物理位置的基于设备的方法转移开来解决了这个问题。

Cato Cloud 与众不同的原因在于其全球 SLA 支持的私有骨干网和将安全性和监控融入网络的云原生网络基础设施。主干网由全球 45 个以上的存在点 (PoP) 组成,Cato 力求在任何 Cato 用户的 25 毫秒内拥有一个 PoP。在 Cato Cloud 中,云原生网络基础设施提供了过去需要独立的本地设备的网络安全和监控功能。

与通过本地设备路由网络流量相反,移动用户可以使用 Cato 的移动客户端连接到 Cato Cloud。这可实现与云应用程序和 WAN 资源的安全且优化的移动连接。移动用户获得与本地用户相同的保护和性能。

IT 也受益于这种基于云的 WAN 连接方法。借助 Cato Cloud,可以降低网络复杂性,同时提高网络可见性,从而简化操作并增强安全性。使这成为可能的功能包括:

下一代防火墙 (NGFW)

Cato 的内置NGFW功能无需部署多个设备即可实现应用程序级网络流量感知。与本地设备不同,Cato 的 NGFW 为企业提供了无限可扩展性和完整流量检查的优势,而无需强制升级。

身份感知路由

除了启用业务流程、QoS(服务质量)和高级策略抽象外,Cato 革命性的身份感知路由引擎还使以业务为中心的网络可见性成为可能。IT 可以查看站点、组、主机和用户级别的活动和网络流量,以改进网络规划。

托管威胁检测和响应 (MDR)

Cato 的MDR通过收集所有 WAN 和 Internet 流的完整元数据而无需部署任何网络探测器,从而为企业提供零足迹网络可见性。

编译自:CATO   原文作者:戴夫格林菲尔德

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/153164.html<

(0)
管理的头像管理
上一篇2025-03-14 08:24
下一篇 2025-03-14 08:25

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注