第一章:安全参考架构的演进
1.1 从 Cisco SAFE 到现代安全架构
Cisco 安全参考架构的历史可以追溯到最初的「Cisco SAFE」(企业网络安全蓝图)。随着时间的推移,它从一个以设备部署为中心的安全模型,逐步演进为融合了零信任(Zero Trust)和安全访问服务边缘(SASE)等现代理念的综合性安全框架。
该架构的核心原则是:一个安全的网络不仅仅是部署安全设备,更必须在确保安全的同时提供关键的业务服务。它采用"纵深防御"(Defense-in-Depth)策略,通过分层的安全体系来实现威胁缓解,而非依赖单一的安全功能点。
整个架构设计为可弹性伸缩、模块化的结构,支持分阶段实施,并能有效处理网络各功能模块之间的安全关系。
1.2 早期核心概念
最初的 Cisco SAFE 蓝图使用两个核心概念来组织安全体系:
- 网络中的位置(Places in the Network, PINs):代表典型的网络场景及其所需的基础设施,例如数据中心、分支机构、园区网络、广域网(WAN)、互联网边缘以及云环境。
- 安全域(Secure Domains):贯穿整个网络的安全运营领域,涵盖管理、安全情报、合规、分段、威胁防御和安全服务等方面。
随着虚拟化、云计算、Web 2.0 技术的兴起,以及僵尸网络、高级身份盗窃、Web 应用层攻击等更复杂威胁的出现,该架构也在持续进化以应对不断变化的网络和安全态势。
第二章:四大安全模块
在 2.0.1 版本中,Cisco 安全参考架构将安全能力划分为四个主要类别,与现代客户网络环境紧密对齐:
XDR | Breach Protection Suite | Security Cloud Control
Talos Incident Response
2.1 用户/设备安全 — 零信任劳动力(Zero Trust Workforce)
本模块专注于保护用户和设备的访问安全。核心理念是:在授予任何访问权限之前,必须始终验证用户身份和设备状态。
Cisco 在此领域的关键解决方案包括:
- 统一客户端(Unified Client):将 VPN、ISE Posture(终端合规检查)、Umbrella 漫游安全、网络可见性、AMP for Endpoints(终端高级恶意软件防护)、Orbital、Duo 设备健康检查及 DART 等多个模块集成到单一框架中。
- 自适应多因素认证(Adaptive MFA):根据风险等级动态调整验证强度。
- 无密码认证(Passwordless Authentication):消除密码带来的安全风险。
- Duo Secure Access:提供安全的远程访问能力。
- EDR / 云托管方案:如 Meraki Systems Manager,实现终端检测与响应。
2.2 网络安全(Network Security)
网络安全涵盖威胁防护、安全访问控制和托管远程访问三大领域,并进一步细分为云边缘(Cloud Edge)和本地部署(On-Premises)两个维度。
云边缘安全
云边缘安全着重于以下核心能力:
- DNS 层安全:在 DNS 解析阶段即阻断恶意连接
- 七层防火墙 + IPS:应用层的深度包检测与入侵防御
- 安全 Web 网关(SWG):保护用户的互联网访问
- 云访问安全代理(CASB)/ 影子 IT 发现:监控和控制对云应用的使用
- SSL 解密:对加密流量进行安全检查
- 远程浏览器隔离(RBI):在隔离环境中渲染 Web 内容
- 数据丢失防护(DLP):防止敏感数据外泄
- 云恶意软件检测
- 零信任网络访问(ZTNA)
- 勒索软件即服务(RaaS)防护
主要解决方案包括 Cisco Umbrella 和 Duo,它们共同提供 ZTNA 和 SASE 能力。
本地部署安全
本地安全聚焦于以下核心领域:
- 网络分段(Segmentation):将网络划分为安全区域,限制攻击面
- 身份与上下文感知(Identity and Context):基于用户身份和上下文动态实施策略
- 设备画像(Profiling):自动识别和分类接入网络的设备
- 威胁遏制(Containment):在检测到威胁后快速隔离受影响设备
- 加密流量可见性(Encrypted Visibility):在不解密的前提下检测加密流量中的威胁
核心技术平台包括 Cisco ISE(身份服务引擎)、Secure Firewall(安全防火墙)、SD-WAN by Viptela 和 ThousandEyes(网络可见性分析)。同时,Cisco Cyber Vision 将安全能力延伸至 IoT/OT 领域,保护关键基础设施。
2.3 应用安全 — 零信任工作负载(Zero Trust Workload)
本模块旨在保护无论部署在数据中心还是云环境中的工作负载,涵盖以下关键领域:
- 策略与 API 安全:对应用接口实施精细化的安全策略
- 应用分段:在微服务级别实现工作负载隔离
- 运行时应用安全:实时监控应用行为,检测异常
- 云原生安全:为容器化和无服务器应用提供安全防护
Cisco Secure Workload 提供可见性和行为分析能力,能够检测异常活动。AppDynamics 则在应用代码层面提供深度可见性,实现代码级的安全洞察。
2.4 SecureX 与安全运营 + Talos
SecureX 是整合整个安全产品组合的统一平台,扮演着扩展检测与响应(XDR)解决方案的角色,将用户/设备安全、网络安全和应用安全统一起来。
SecureX 的核心能力包括:
- 集中管理:统一视图管理所有安全组件
- 编排与自动化:自动化安全响应流程,减少人工干预
- 响应能力:快速定位威胁并采取行动
- 第三方集成:与非 Cisco 安全产品无缝协作
- 威胁可见性与威胁猎杀:主动发现潜在威胁
Cisco Talos 是全球最大的商业威胁情报组织之一,为整个安全架构提供动力。Talos 通过恶意软件分析、可执行情报和集体响应机制,使安全环境面对不断演化的威胁变得更加智能。
第三章:核心用例与应用场景
3.1 零信任(Zero Trust)
零信任理念贯穿整个架构,应用于三大领域:
- 零信任劳动力(Workforce):通过用户/设备安全模块,在每次访问时验证身份和设备状态
- 零信任工作场所(Workplace):通过网络安全模块(本地部署),利用 ISE 实现网络分段和访问控制
- 零信任工作负载(Workload):通过应用安全模块,对工作负载实施微分段和持续验证
3.2 通用 ZTNA — 统一远程与本地访问
SASE 解决了远程员工和分支机构/网络边缘的安全需求,通过将网络和安全服务融合到云中来实现。传统的"回传到总部再上互联网"的模式已经无法满足现代分布式办公的需求,SASE 允许用户从任何地点直接、安全地访问云资源。
远程安全用户
本地用户
SASE / Security Service Edge
混合多云数据中心
3.3 安全运营中心与 XDR
SecureX 提供的 XDR 能力将来自不同安全域的数据汇聚在一起,实现更全面的威胁检测和更快速的响应。与传统的 SIEM 相比,XDR 更加注重关联分析和自动化响应,减少安全运营团队(SOC)的告警疲劳。
Monitoring
持续监控
Detection
威胁检测
Response
事件响应
Improvement
安全改善
合规
总结
Cisco 安全参考架构为在多样化部署场景(本地、云端、混合环境)中构建端到端安全解决方案提供了一套完整的蓝图。它不是一个需要一次性实施的庞大方案,而是一个模块化的框架——组织可以根据自身的安全成熟度和业务需求,分阶段、有重点地推进安全建设。
在不断演化的威胁态势面前,这套架构的核心价值在于它提供了一种系统性的思维方式:将安全视为贯穿用户、网络、应用和运营每一个环节的整体能力,而非孤立的安全孤岛。