Dan Gould -2019年3月6日

在我们考虑2019年的安全性时，让我们考虑一下今年RSA大会的主题：更好！

但正如RSAC所问，更好的定义是什么？它是更好的安全工具？更好的威胁情报？更好的机器学习分类器？是的，而且还有更多！

正如RSAC所建议的，更高的安全性意味着组织更安全、每个成员都做得更好，从首席执行官到远程员工，都能发挥作用。也就是说，更好的安全状态不仅能消除威胁，还能坚定信任。

一个更好的安全状态始于持续的威胁检测，它可以直接阻止恶意软件的攻击，还可以持续检测和修复最高级的威胁。同时因为Talos威胁情报对我们产品的支持，我们在这方面是全世界最好的。

更好的安全性的第二个要素是不断验证信任。在思科，我们称之为以信任为中心的安全思科可信访问方法Cisco Trusted Access。

由于Forrester的零信任扩展（ZTX）方法，以及最近Gartner的持续适应性风险与信任评估（Carta），这种信任概念对许多人来说似乎很熟悉，重点需要做出更好的访问安全决策的。

为什么这很重要？我们让用户、设备和应用程序像往常一样访问网络，但也可以访问IT传统控制点以外的数据。当移动用户直接访问云应用程序时，应用程序访问决策通常发生在网络之外。这种以信任为中心的方法强制控制对敏感数据和应用程序的访问，并验证对用户、工作负载和物联网设备中的信任。

员工信任——用户和设备卫生：我们首先验证用户身份，以确保员工身份的可靠性，而不是拥有被盗证书的攻击者。我们的方法是优雅的多因素身份验证，通常通过向员工发送推送消息。当我们这样做时，随着设备寻求连接，我们确认设备符合安全标准，以防止易受攻击的端点与过时的软件连接。

我们认为这是用户和设备信任可信访问的基础，并且通常是一个良好的起点，因为它允许用户和员工为更好的安全状态做出贡献。

我们还必须考虑在连接到我们网络的无头设备中建立可信度。在许多垂直领域，这包括物联网设备，如连接的HVAC、POS系统、徽章阅读器、会议室等。通过这些设备的连接和运行，Trusted Access可确保我们主动验证这些设备（即验证物联网信任），我们无法安装代理或验证用户。

对于运营业务的应用程序而言，没有秘密数据中心的设计越来越多。这意味着可信访问上的任何对话都必须考虑应用程序工作负载信任。我们通过将数据中心流量中的应用程序流量基线化来理解和验证其行为。通过对应用程序的验证，我们会为应用程序分段生成自动白名单策略，从而在数据中心中创建零信任模型。

软件定义的网络访问：一旦我们建立了信任，我们就必须执行它。我们从软件定义的访问开始，以扩展对连接到网络的用户的访问量。连续信任验证还意味着一旦我们扩展访问权限，我们就会使用自动软件定义的分段进行验证。如果我们发现某个设备可能受到感染，并且不再受信任，我们会自动隔离或降低访问级别。

我们不能忘记我们之前的用户直接访问云应用程序的案例，这在现代企业中越来越常见。可信访问确保我们不仅在用户连接到应用程序时验证用户身份和设备安全，而且还将应用程序访问控制放在适当的位置，还可以根据身份或设备或位置、网络、地址范围、生物识别、设备安全等因素，放置应用程序访问控制以授予或阻止应用程序访问。

可信访问有许多自动化的案例。无论是自动隔离笔记本电脑还是由于过时的设备软件而动态调整应用程序访问级别，我们都能提供引人瞩目的自动化功能。我们将继续扩展产品之间的自动化，以实现更加一致的策略实施，甚至更集成的威胁响应，从而实现更可信的访问。

使用用户、设备和工作负载的组合，基于意图的访问可以应用于网络和应用程序，从正确的用户和设备提供对正确的应用程序和数据的正确访问。

实现更好的安全性是一段旅程——我们认为可信访问是朝着正确方向迈出的一步。如果您恰好在本周的RSA大会上，请到思科展台（北展6045号），和我们一起讨论如何共同努力以提高安全性。

点击这里订阅我们的RSAC博客系列。