对于任何企业来说,数据都像是皇冠上的明珠。当数据从独立的集中式数据中心向多个分散的位置转移时,会发生什么情况?答案是会变得更加难以管理,无法提供有效的安全保障。
企业组织在各个方面都会面临挑战:企业纷纷采用多云战略,将存储和计算推向边缘;云提供商也在构建基础架构来支持这一需求;服务提供商正在将城域站点转变为分布式边缘云,为 5G 架构和新的盈利机会提供支持。
为了适应这种不断变化的环境,各大组织需要一种新的现代数据中心架构。这个架构要通过自动化的数据中心运维来提供可靠的性能,并确保这些运维在任何硬件环境中都具备简单、一致和可重复等特性。此外,还要有开放式、高性能的网络基础架构,能够支持最严苛的工作负载,例如人工智能模型训练。优异的性能、可扩展性、可靠性和简单性同样必不可少,同时还不能危及数据中心内部及相互之间的安全性。
如今,瞻博网络率先推出了能够满足上述需求的行业解决方案。随着Juniper Connected Security 分布式服务架构的推出,我们正在通过大量独特、创新的新功能从根本上推动行业变革。这些功能将我们的一体化安全管理模式与一流的路由和人工智能预测威胁防御相结合,通过简化运维和提高可扩展性来实现数据中心安全性。此外,我们屡获殊荣的瞻博网络 SRX 系列新增了四款高性能防火墙平台。这些平台采用 1RU 规格提供卓越的性能,可带来惊人的成本节约效益和可持续性优势。
这些新功能可以跨分布式数据中心环境无缝扩展安全服务和零信任策略,同时使客户能够以自己的节奏进行数据中心架构转型。当与瞻博网络安全和自动化数据中心的其他关键元素、Juniper Apstra 数据中心交换矩阵管理和自动化软件,以及瞻博网络 QFX 系列交换机、MX 系列通用路由器和用于设置和管理安全策略的 Security Director Cloud 搭配使用时,企业组织可以拥有实现数据中心基础架构环境现代化所需的所有工具,从而获得最佳的运营体验和最终用户体验。
从防火墙转向防火墙架设
传统上,实现安全性服务可以采用三种方法:机箱式防火墙、固定式防火墙和固定外形路由器。但这些方法都不理想。
- 传统的机箱式防火墙易于管理,可以轻松扩展至某个点,但会受到机箱尺寸和计算能力的限制。由于是单点故障设备,因此冗余有限,而且高昂的基准价格会导致成本过高。此外,由于机箱式系统会消耗大量空间和电力,因此不适合部署在城域网边缘和主机代管设施中。
- 固定外形防火墙虽然具备占地空间小和横向扩展能力强等优势,但随着网络中的设备不断增加,管理复杂性也会成倍增长。这些防火墙在升级时非常麻烦,而且启用服务时的转发性能也不理想。事实上,许多客户必须得关闭高级安全性功能,因为传统安全供应商的设备无法提供高性能和高级威胁防御。这也是客户选择瞻博网络来构建零信任数据中心的重要原因之一。
- 固定外形路由器虽然具备占地空间小、转发性能高等优势,但需要与安全设备捆绑,否则就无法提供高级安全性服务,这同样增加了管理的复杂性。
随着传统数据中心变得更加分散,防火墙需要从独立的实体发展成为安全交换矩阵,为网络中的每个连接点提供保护。具体来说,就是必须从从受自身物理容量和数据路径限制的设备,转向可扩展的强制节点。这类节点可以根据网络需求智能地动态扩展到数据所在的任何位置。
现在,Juniper Connected Security 分布式服务架构(由 Security Director Cloud 托管)可以为您提供这些优势。瞻博网络通过提供以下独特功能,推动行业从防火墙向防火墙架设进行转变:
- 可扩展性:根据需要横向弹性扩展,不受机箱限制。所有分布式防火墙作为单一交换矩阵一起运作,通过多路径冗余实现自动弹性配置。如果其中一个出现故障,其他防火墙会自动平衡负载并接手剩余工作。
- 简单性:无论分布式防火墙引擎增加多少,全部作为单一逻辑元素进行管理。客户可以在每个站点选择合适的规格进行部署,并以相同的方式管理所有元素,就像在机箱中添加虚拟服务卡一样。通过搭配 Juniper Security Director Cloud,无论数据或用户位于何处,客户都能全面了解谁从哪里访问了哪些内容,而且无论何时新增防火墙引擎,安全策略都会自动部署。
- 灵活性:通过分离转发层和服务层,客户现在可以独立扩展转发性能和服务。他们可以为每个位置组合适当规模的安全性解决方案,混搭不同的外形尺寸,还可以利用我们的“按需购买,渐进扩展”选项来灵活管理预算。此外,使用现有瞻博防火墙的企业还可以在新架构中继续加以使用,并确保流程和策略保持不变。
人工智能预测威胁防御
此外,瞻博网络推出了新的人工智能预测威胁防御产品/服务,为我们的 Juniper Connected Security 产品组合增添价值。这些解决方案可以利用瞻博网络自动扫描分布式网络中大量数据的能力。我们的人工智能方法可持续更新威胁签名数据库并检测所有行为异常,成为值得安全团队信赖的顾问,更快、更高效地识别潜在威胁。其主要优势包括:
- 人工智能生成自定义签名:在瞻博网络自适应威胁分析和加密流量洞察功能的基础上,瞻博网络 SRX 系列能够利用人工智能/机器学习行为分析,在不解密的情况下检测加密流量中的恶意威胁。此外,当检测到新威胁时,它还会自动与所有其他 SRX 进行广播。现在,该系列防火墙甚至可以根据客户的环境和我们看到的威胁自动生成自定义签名,因为没有一个网络是相同的。
- 更有效的线速恶意软件防御: 传统解决方案需要完整的文件来判断恶意软件,这就需要开启 TCP 代理,因此会降低防火墙的吞吐量性能。瞻博网络自主研发的防恶意软件解决方案采用无代理架构和人工智能技术,只需在数据流进入时扫描前几个数据包即可检测威胁,无需下载完整文件,能够为客户提供更有效的线速恶意软件防御。
- 更多可定制的 Web 过滤选项:我们增强了瞻博网络的 URL 过滤解决方案,可提供更精细的控制,有 200 多个类别可供选择,支持多达 200 种语言,并且提供新的门户网站,可以更好地洞察网络内容。新服务还将提供一种机制,使客户能够根据不断变化的业务需求,随时轻松地重新分类。
瞻博网络 SRX 系列产品再添新成员
最后,瞻博网络 SRX 系列新推出了四款高性能平台——SRX1600、SRX2300、SRX4300 和 SRX4700。所有新增的 SRX 系列防火墙均提供:
- 业内领先的吞吐量性能和安全防护效力:所有新增的 SRX 平台的均采用 1RU 规格,可提供极高的性能。例如,SRX4700 提供业界领先的单机架防火墙吞吐量性能(每机架4Tbps,完全支持 400GE),而且所有新增的 SRX 都支持线速 MACsec(媒体访问控制安全性)。我们认为,客户不应该在网络吞吐量性能和安全防护效力之间作出妥协。除了高性能外,过去四年里,瞻博网络的安全技术的安全性防护效力一直在客观公正的第三方安全性测试(例如Cyberratings、NetSecOPEN 和 ICSA Labs)中排名第一。这些测试涵盖了从边缘到数据中心(包括公共云)的网络防火墙用例。 随着新的 SRX 系列防火墙推出,我们将继续致力于有效防范各种威胁,而无需考虑外形尺寸或用例。
- 内置零信任,确保供应链安全性:新增的 SRX 系列平台采用嵌入式 TPM 2.0 芯片(受信任的平台模块)和独特的加密签名设备 ID 来实现基于标准的安全全自动部署 (SZTP)。团队可以在设备开机后立即对其信任状态进行远程评估,并确认硬件或软件未被他人篡改。
- 支持 EVPN-VXLAN:所有瞻博网络 SRX 系列防火墙均支持 EVPN-VXLAN 5 类路由配置,使客户能够在整个 EVPN-VXLAN 交换矩阵中嵌入安全性。有了对交换矩阵的全面认识,安全运维人员便能运用态势感知能力更快应对威胁,并利用包括网络在内的一切可用手段尽可能缩小攻击波及范围。
利用体验至上的方法在所有位置实施安全性服务
今天的公告汇集了瞻博网络在 Connected Security 和数据中心运维方面的核心优势,可确保在现代数据中心获得最佳的用户和运维体验。我们的客户和合作伙伴现在拥有单一策略框架,可以在网络中的每个连接点上运行安全性服务,同时能以自己的节奏为分布式数据中心架构转型保驾护航。通过本次发布,我们不仅让安全性解决方案更具扩展性、延伸性和可管理性,而且使其成为每个数据中心网络不可或缺的一部分。
