Chuyển đến nội dung chính

Cấu trúc đám mây bảo mật của Cisco cho Azure

Khối lượng công việc và ứng dụng đang chuyển từ một trung tâm dữ liệu truyền thống sang đám mây công cộng vì đám mây công cộng cung cấp một môi trường tập trung vào ứng dụng. 

Phân phối cisco chính hãng cung cấp các tính năng quan trọng cho tính linh hoạt của ứng dụng, triển khai nhanh hơn, khả năng mở rộng và tính sẵn sàng cao bằng các tính năng đám mây gốc. Microsoft Azure khuyến nghị kiến ​​trúc theo tầng cho các ứng dụng web, vì kiến ​​trúc này phân tách các chức năng khác nhau. Có sự linh hoạt để thực hiện các thay đổi cho từng tầng độc lập với tầng khác.

Hình 1 cho thấy một kiến ​​trúc ba lớp cho các ứng dụng web. Kiến trúc này có lớp trình bày (tầng web), lớp ứng dụng (tầng ứng dụng) và lớp cơ sở dữ liệu (tầng cơ sở dữ liệu). Azure có một mô hình bảo mật được chia sẻ, tức là, khách hàng vẫn chịu trách nhiệm bảo vệ khối lượng công việc, ứng dụng và dữ liệu.

Cấu trúc web ba tầng Azure
Ngoài các kiểm soát bảo mật đám mây riêng, Cisco khuyên bạn nên sử dụng các kiểm soát bảo mật để hiển thị, phân khúc và bảo vệ mối đe dọa.

 Ba trụ cột chính của kiến ​​trúc được đề xuất của Cisco
Cisco khuyến nghị bảo vệ khối lượng công việc và ứng dụng bằng cách sử dụng Thiết kế được xác thực của Cisco (CVD) được thể hiện trong hình 3. Chúng tôi tập trung vào ba trụ cột thiết yếu (khả năng hiển thị, phân đoạn và bảo vệ mối đe dọa) của việc xác thực kiến ​​trúc bảo mật đám mây này.

Giải pháp này kết hợp Cisco, Radware và Azure để mở rộng bảo mật chưa từng có cho khối lượng công việc được lưu trữ trong môi trường Azure.

Sản phẩm xem thêm: WS-C2960C-8TC-S

Khả năng hiển thị: Cisco Tetration, Cisco Stealthwatch Cloud, Cisco AMP cho các điểm cuối, Phản hồi mối đe dọa của Cisco SecureX và Nhật ký lưu lượng của nhóm bảo mật mạng Azure.
Phân khúc: Tường lửa ảo thế hệ tiếp theo của Cisco Firepower (NGFWv), Thiết bị ảo bảo mật thích ứng của Cisco (ASAv), Cisco Tetration, Nhóm an ninh mạng Azure
Bảo vệ mối đe dọa: Tường lửa ảo thế hệ tiếp theo của Cisco Firepower (NGFWv), Cisco Tetration, Cisco AMP cho các điểm cuối, Cisco Umbrella, Cisco SecureX Threat trả lời, Azure WAF, Azure DDoS, Radware WAF và Radware DDoS.

Ngoài khả năng hiển thị, phân đoạn và bảo vệ khỏi mối đe dọa, chúng tôi cũng tập trung vào  Quản lý danh tính và truy cập  bằng Cisco Duo.

Mức độ khối lượng công việc
Cisco Tetration: Đại lý Cisco Tetration trên các phiên bản Azure chuyển tiếp luồng mạng và xử lý thông tin về mạng thông tin này cần thiết để có được khả năng hiển thị và thực thi chính sách.
Cisco AMP cho điểm cuối: Cisco AMP cho điểm cuối cung cấp khả năng bảo vệ khỏi Phần mềm độc hại.

Cấp VNet
Cisco Umbrella (cài đặt DNS VNet): Đám mây của Cisco cung cấp cách định cấu hình và thực thi bảo mật lớp DNS và thực thi IP đối với khối lượng công việc trong VNet.
Cisco Stealthwatch Cloud (Nhật ký lưu lượng NSG): SWC tiêu thụ nhật ký lưu lượng Azure NSG để cung cấp khả năng hiển thị đám mây chưa từng có. SWC bao gồm các quan sát liên quan đến tuân thủ và nó cung cấp khả năng hiển thị cho cơ sở hạ tầng đám mây Azure VNet của bạn.

Tường lửa
Tường lửa thế hệ tiếp theo của Cisco (NGFWv): Cisco NGFWv cung cấp các khả năng như tường lửa trạng thái, khả năng hiển thị và kiểm soát ứng dụng, điều khiển IPS, lọc URL và AMP mạng trong Azure thế hệ tiếp theo .
Thiết bị ảo bảo mật thích ứng của Cisco (ASAv): Cisco ASAv cung cấp tường lửa trạng thái, phân đoạn mạng và khả năng VPN trong Azure VNet.
Cisco Defense Orchestrator (CDO): CDO quản lý Cisco NGFWv và cho phép phân đoạn và bảo vệ mối đe dọa.

Hợp nhất Chế độ xem Bảo mật
Phản hồi về mối đe dọa của Cisco SecureX: Phản hồi về mối đe dọa của Cisco SecureX có tích hợp theo hướng API với Umbrella, AMP cho các điểm cuối và SWC (sắp ra mắt). Sử dụng các nhóm tích hợp bảo mật này có thể có được tầm nhìn và thực hiện săn lùng mối đe dọa. 

Nhóm bảo mật mạng Azure (NSG): Azure NSG cung cấp khả năng phân đoạn vi mô bằng cách thêm các quy tắc tường lửa trực tiếp trên các giao diện ảo. NSG cũng có thể được áp dụng ở cấp độ mạng để phân đoạn mạng switch cisco POE.

Radware (WAF và DDoS): Radware cung cấp các khả năng WAF và DDoS như một dịch vụ.
Cisco khuyên bạn nên kích hoạt các khả năng chính sau đây trên các điều khiển bảo mật của Cisco. Các điều khiển này cung cấp khả năng hiển thị, phân khúc và bảo vệ mối đe dọa chưa từng có và giúp tuân thủ các quy định bảo mật.

Ngoài kiểm soát bảo mật của Cisco ở trên, Cisco khuyên bạn nên sử dụng các thành phần bảo mật Azure gốc sau để bảo vệ khối lượng công việc và ứng dụng.

Hướng dẫn Kiến trúc Đám mây Bảo mật giải thích các dịch vụ đám mây, các luồng kinh doanh quan trọng và các biện pháp kiểm soát bảo mật cần thiết cho môi trường đám mây để bảo vệ khối lượng công việc. Hướng dẫn này bao gồm các Thiết kế đã được Xác thực của Cisco để bảo vệ khối lượng công việc trong kiến ​​trúc ba tầng Azure. Điều này cũng bao gồm các kiểm soát bảo mật riêng trên đám mây và Radware WAF / DDoS để bảo vệ khối lượng công việc trên đám mây.   
Nhãn:
Google Account Video Purchases Hà Nội, Hoàn Kiếm, Hà Nội, Việt Nam

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

SWITCH CISCO WS-C3650-48FD-L Gigabit Ethernet 10/100/1000Mbps

 CISCO WS-C3650-48FD-L  Thiết bị chuyển mạch Gigabit Ethernet Layer 2 có cấu hình cố định , có khả năng cung cấp truy cập lớp 2 phù hợp với quy mô hệ thống mạng trong các văn phòng. Switch Cisco WS-C3650-48FD-L 48 Port Gigabit Ethernet 10/100/1000Mbps, 4 cổng Uplink SFP, RAM 12MB, Bộ nhớ Flash 256MB, Bảo hành 24 tháng.Vui lòng liên hệ 0982345005 Tìm hiểu sản phẩm Switch Cisco WS-C3650-48FD-L Thiết bị chuyển mạch Switch Cisco chính hãng WS-C3650-48FD-L một sản phẩm thiết bị chuyển mạch Switch thế hệ mới, vừa ra mắt thị trường chưa được bao lâu nhưng đã nhanh chóng nhận được sự quan tâm của đông đảo quý khách hàng. Hình ảnh: Switch Cisco WS-C3650-48FD-L chính hãng The outstanding features of this product The Cisco WS-C3650-48FD-L network switch features: Designed with 48 Gigabit Ethernet ports with line speed forwarding -4 SFP Uplink slots -Thiết bị hỗ trợ Power Over Ethernet (PoE qua Ethernet) với mức điện năng lên tới 370W -Hoạt động ở 55°C khi không có quạt t...
Đăng nhận xét
Đọc thêm

Thiết bị mạng cisco Catalyst ® 2960-X

Những thiết bị cisco chuyển đổi lớp 2 độc lập LAN Base 2960X-24PSQ-L LAN của Cisco cung cấp hai mươi bốn cổng Ethernet Gigabit 10/10/1000 và hai SFP 1G và hai giao diện đường lên 10/100/1000.  Thiết bị mạng  dòng Cisco ® Catalyst ® 2960-X là thế hệ tiếp theo của thiết bị chuyển mạch truy cập được triển khai rộng rãi nhất trên thế giới. WS-C2960X-16PSQ-L Chúng cho phép các dịch vụ thông minh như khả năng hiển thị ứng dụng, Hoạt động thông minh, định tuyến lớp 3 và mang lại hiệu quả năng lượng tốt nhất trong lớp với mức tiết kiệm năng lượng lên tới 80%. Tính năng và lợi ích chính Thiết bị mạng cisco Catalyst ® 2960-X   SWITCH CISCO 2960-X Được thiết kế để đơn giản hóa hoạt động để hạ thấp TCO, nền tảng này cung cấp bảo vệ đầu tư với xếp chồng hỗn hợp với các thiết bị chuyển mạch Cisco Catalyst 2960-S và 2960-SF và các tùy chọn xếp chồng ngoài dây với Catalyst 2960-X và 2960-XR. Tiêu chuẩn công nghiệp IEEE802.3at PoE + cung cấp công suất PoE lên tớ...
Đăng nhận xét
Đọc thêm

Trung tâm dữ liệu đến Đám mây, Hướng dẫn quản lý dữ liệu ở mọi nơi

Khi các doanh nghiệp phản ứng với những thay đổi nhanh chóng trong các mô hình kinh doanh được thúc đẩy bởi các sự kiện vĩ mô, thiết bị cisco cao cấp chuyển đổi kỹ thuật số và phân phối lại cả lực lượng lao động và khối lượng công việc, sự nhanh nhẹn và khả năng phục hồi trong các giải pháp và dịch vụ CNTT là yếu tố quyết định thành công. Cho dù khối lượng công việc của ứng dụng nằm trong đám mây, ở rìa hoặc tại chỗ, trung tâm dữ liệu cần được tối ưu hóa cho hiệu suất, độ tin cậy và trải nghiệm người dùng khi nhu cầu kinh doanh và hoạt động phát triển. Trung tâm dữ liệu và tính linh hoạt của mạng đám mây Switch cisco 10/100 cung cấp khả năng phản ứng nhanh với các thay đổi và vượt xa các phép đo tốc độ và nguồn cấp dữ liệu truyền thống. Sự nhanh nhẹn phụ thuộc vào khả năng quản lý kết cấu mạng một cách toàn diện, tập trung vào các nền tảng điều phối cơ sở hạ tầng cấp cao hơn, các công cụ tự động hóa, khả năng lập trình thông qua API và khả năng hiển thị từ đầu đến cuối thông...
Đăng nhận xét
Đọc thêm