Cisco SD-WAN är redan idag en mycket säker SD-WAN produkt med avancerad kryptering och ett kontrollplan där alla deltagande enheter har autentiserats med certifikat, men nu blir den ännu säkrare!
Cisco har i dagarna lanserat ny funktionalitet till Cisco SD-WAN för att underlätta för organisationer att bygga säkra trafikmönster i en värld där molntjänster och lokal internet-access används allt mer. De nya funktioner som har lanserats är:
- Applikationsbaserad brandvägg
- IPS funktionalitet
- URL filtrering
- Umbrella integration
- AMP integration
Alla funktioner kommer att kunna konfigureras via vManage, det grafiska gränssnitt som används för att bygga Cisco SD-WAN. Vad gör respektive funktion?
Applikationsbaserad brandvägg – Cisco Zone-Based Firewall (ZBFW) via grafiskt gränssnitt där filtrering sker på L7 nivå genom att tillåta/blockera specifika applikationer eller grupper av applikationer såsom t.ex. sociala media. Använder NBAR2 för klassificering i cEdge (ISR/ASR) eller Qosmos i vEdge.
IPS funktionalitet – IPS funktionalitet tillhandahålls med Snort motorn som bland annat används i Firepower Threat Defense (FTD) där signaturerna kommer från Talos, en av de mest avancerade forskningsgrupperna inom säkerhet i världen.
URL filtrering – Blockera olika domäner baserat på URL eller hur riskabla de anses vara baserat på en poäng som har blivit tilldelad websidan. Det går att bygga både white lists och black lists. Det går också att vidarebefordra till en annan sida om sidan som efterfrågas är blockerad.
Umbrella integration – Blockera malware, phishing och allmänt skumma sidor genom att blockera DNS förfrågningar till websidor (domäner) som inte är säkra. Det går att ställa in vilka sidor som ska gå genom Umbrella och vilka som får göra bypass.
AMP integration – Blockera trafik genom att analysera filers checksumma och signatur baserat på säkerhetsforskning utförd av Talos.
Alla dessa funktioner kommer vara tillgängliga på cEdge medan vEdge kommer att ha stöd för applikationsbaserad brandvägg och integration med Umbrella. För att använda dessa funktioner behövs det extra minne i routern, minst 8GB jämfört med standard som är 4GB. Stöd kommer att finnas på både ISR 1100, Ciscos senaste plattform för mindre kontor, och även på alla ISR4K modeller.
Vill du veta mer om SD-WAN? Vill du veta mer hur man bygger säkra nät med säkerhet i flera lager och WAN-integration?
Hör av dig!
Daniel Dib har även skrivit om SD-WAN i Techworld (guide) och Telekom Idag (fördelarna) samt om SD-WAN från en ISP här.
Daniel Dib är en av två Cisco Design-certifierade experter i Sverige (CCDE, båda finns på Conscia Netsafe) och även CCIE samt AWS Solutions Architect Associate. Han är den enda svenska representanten på Cisco CCIE Advisory Council som driver och utvecklar CCIE-programmet. Daniel är en känd skribent i branschen som håller utbildningar åt Cisco på deras Cisco Learning Community och har fem år i rad blivit utsedd till Cisco Designated VIP för sina insatser. Han är en Cisco Learning Network VIP samt Cisco Champion. Daniel driver en av de mest populära bloggarna i nätverksbranschen, Lostintransit. Daniel har även skrivit i Network Computing och i Ciscos egen blogg.