Khối lượng công việc và ứng dụng đang chuyển từ một trung tâm dữ liệu truyền thống sang đám mây công cộng vì đám mây công cộng cung cấp một môi trường tập trung vào ứng dụng.
Phân phối cisco chính hãng cung cấp các tính năng quan trọng cho tính linh hoạt của ứng dụng, triển khai nhanh hơn, khả năng mở rộng và tính sẵn sàng cao bằng các tính năng đám mây gốc. Microsoft Azure khuyến nghị kiến trúc theo tầng cho các ứng dụng web, vì kiến trúc này phân tách các chức năng khác nhau. Có sự linh hoạt để thực hiện các thay đổi cho từng tầng độc lập với tầng khác.
Hình 1 cho thấy một kiến trúc ba lớp cho các ứng dụng web. Kiến trúc này có lớp trình bày (tầng web), lớp ứng dụng (tầng ứng dụng) và lớp cơ sở dữ liệu (tầng cơ sở dữ liệu). Azure có một mô hình bảo mật được chia sẻ, tức là, khách hàng vẫn chịu trách nhiệm bảo vệ khối lượng công việc, ứng dụng và dữ liệu.
Cấu trúc web ba tầng Azure
Ngoài các kiểm soát bảo mật đám mây riêng, Cisco khuyên bạn nên sử dụng các kiểm soát bảo mật để hiển thị, phân khúc và bảo vệ mối đe dọa.
Ba trụ cột chính của kiến trúc được đề xuất của Cisco
Cisco khuyến nghị bảo vệ khối lượng công việc và ứng dụng bằng cách sử dụng Thiết kế được xác thực của Cisco (CVD) được thể hiện trong hình 3. Chúng tôi tập trung vào ba trụ cột thiết yếu (khả năng hiển thị, phân đoạn và bảo vệ mối đe dọa) của việc xác thực kiến trúc bảo mật đám mây này.
Giải pháp này kết hợp Cisco, Radware và Azure để mở rộng bảo mật chưa từng có cho khối lượng công việc được lưu trữ trong môi trường Azure.
Khả năng hiển thị: Cisco Tetration, Cisco Stealthwatch Cloud, Cisco AMP cho các điểm cuối, Phản hồi mối đe dọa của Cisco SecureX và Nhật ký lưu lượng của nhóm bảo mật mạng Azure.
Phân khúc: Tường lửa ảo thế hệ tiếp theo của Cisco Firepower (NGFWv), Thiết bị ảo bảo mật thích ứng của Cisco (ASAv), Cisco Tetration, Nhóm an ninh mạng Azure
Bảo vệ mối đe dọa: Tường lửa ảo thế hệ tiếp theo của Cisco Firepower (NGFWv), Cisco Tetration, Cisco AMP cho các điểm cuối, Cisco Umbrella, Cisco SecureX Threat trả lời, Azure WAF, Azure DDoS, Radware WAF và Radware DDoS.
Ngoài khả năng hiển thị, phân đoạn và bảo vệ khỏi mối đe dọa, chúng tôi cũng tập trung vào Quản lý danh tính và truy cập bằng Cisco Duo.
Mức độ khối lượng công việc
Cisco Tetration: Đại lý Cisco Tetration trên các phiên bản Azure chuyển tiếp luồng mạng và xử lý thông tin về mạng thông tin này cần thiết để có được khả năng hiển thị và thực thi chính sách.
Cisco AMP cho điểm cuối: Cisco AMP cho điểm cuối cung cấp khả năng bảo vệ khỏi Phần mềm độc hại.
Cấp VNet
Cisco Umbrella (cài đặt DNS VNet): Đám mây của Cisco cung cấp cách định cấu hình và thực thi bảo mật lớp DNS và thực thi IP đối với khối lượng công việc trong VNet.
Cisco Stealthwatch Cloud (Nhật ký lưu lượng NSG): SWC tiêu thụ nhật ký lưu lượng Azure NSG để cung cấp khả năng hiển thị đám mây chưa từng có. SWC bao gồm các quan sát liên quan đến tuân thủ và nó cung cấp khả năng hiển thị cho cơ sở hạ tầng đám mây Azure VNet của bạn.
Tường lửa
Tường lửa thế hệ tiếp theo của Cisco (NGFWv): Cisco NGFWv cung cấp các khả năng như tường lửa trạng thái, khả năng hiển thị và kiểm soát ứng dụng, điều khiển IPS, lọc URL và AMP mạng trong Azure thế hệ tiếp theo .
Thiết bị ảo bảo mật thích ứng của Cisco (ASAv): Cisco ASAv cung cấp tường lửa trạng thái, phân đoạn mạng và khả năng VPN trong Azure VNet.
Cisco Defense Orchestrator (CDO): CDO quản lý Cisco NGFWv và cho phép phân đoạn và bảo vệ mối đe dọa.
Hợp nhất Chế độ xem Bảo mật
Phản hồi về mối đe dọa của Cisco SecureX: Phản hồi về mối đe dọa của Cisco SecureX có tích hợp theo hướng API với Umbrella, AMP cho các điểm cuối và SWC (sắp ra mắt). Sử dụng các nhóm tích hợp bảo mật này có thể có được tầm nhìn và thực hiện săn lùng mối đe dọa.
Nhóm bảo mật mạng Azure (NSG): Azure NSG cung cấp khả năng phân đoạn vi mô bằng cách thêm các quy tắc tường lửa trực tiếp trên các giao diện ảo. NSG cũng có thể được áp dụng ở cấp độ mạng để phân đoạn mạng switch cisco POE.
Radware (WAF và DDoS): Radware cung cấp các khả năng WAF và DDoS như một dịch vụ.
Cisco khuyên bạn nên kích hoạt các khả năng chính sau đây trên các điều khiển bảo mật của Cisco. Các điều khiển này cung cấp khả năng hiển thị, phân khúc và bảo vệ mối đe dọa chưa từng có và giúp tuân thủ các quy định bảo mật.
Ngoài kiểm soát bảo mật của Cisco ở trên, Cisco khuyên bạn nên sử dụng các thành phần bảo mật Azure gốc sau để bảo vệ khối lượng công việc và ứng dụng.
Hướng dẫn Kiến trúc Đám mây Bảo mật giải thích các dịch vụ đám mây, các luồng kinh doanh quan trọng và các biện pháp kiểm soát bảo mật cần thiết cho môi trường đám mây để bảo vệ khối lượng công việc. Hướng dẫn này bao gồm các Thiết kế đã được Xác thực của Cisco để bảo vệ khối lượng công việc trong kiến trúc ba tầng Azure. Điều này cũng bao gồm các kiểm soát bảo mật riêng trên đám mây và Radware WAF / DDoS để bảo vệ khối lượng công việc trên đám mây. Chi tiết tại đây.
https://thietbimangcisco24.blogspot.com/2020/08/cisco-aci-lam-nao-e-bao-mat-cisco-va-de.html