案例研究：金融银行

过去12个月，主要金融机构遭受的网络攻击增加了80%，同比增长13%，在新冠肺炎大流行期间，针对银行的网络攻击增加了238%。¹根据新分析纽约美联储银行对美国最大的银行之一发动一次网络攻击，就可能对全球金融体系产生重大影响。²

银行业面临整个风险，因为它们在互连的边缘企业景观中发展，同时争夺越来越多的软件攻击列表，包括拒绝服务（DOS）和分布式拒绝服务（DDOS）攻击，人- 中间（MITM）攻击，网络钓鱼和矛网络钓鱼，凭证填充和赎金软件。

虽然大多数威胁目标软件漏洞，但银行也风险硬件漏洞，可以通过员工设备到连接到无抵押网络的路由器（IOT）和云开发，从员工设备到一个路由器。

银行网络安全战略的核心概念是保护客户资产及其交易。由于违规导致银行在金融市场中造成损害，后果和罚款对FDIC不合规，货币损失和客户信心。

确保使用IPS和DDOS技术积极保护所有关键链路，其中包含恢复力，可靠性和冗余策略，因此不存在业务中断或停机时间，同时保护敏感数据。

Garland的工程团队与IT团队合作，设计了一个解决所有挑战的HA架构，同时提供额外的价值和功能，导致他们在整个企业中扩展这个用例。

我们的团队解决了这样的问题，我们每样东西都得买两件吗?如果流量从主要流量切换到次要流量会发生什么情况?我们要如何追踪这些数据?我们如何将所有事物关联起来?同时考虑每个设备的期望、紧迫性和可用性。

有两个选项可包含高可用性（HA）解决方案，主动/待机和主动/活动。活动备用（或主动/被动）部署到辅助工具，从主设备提供从主设备到备份设备的故障转移。主动/活动部署到冗余链接，如果任一活动设备发生故障，则提供故障转移。

图1：Active/Passive高可用性(High Availability, HA)解决方案，提供从主设备到备份设备的故障切换。

图2：高可用性（HA）Crossfire解决方案用于活动/活动，如果任一处活动设备发生故障，则提供故障转移。

这edgelens.^®内联安全数据包破坏了R转换了他们的网络安全功能，而不是依赖于每个设备的单个旁路点击，他们不仅可以提供旁路的相同可靠性和管理控制，而且还可以从中管理多个内联和带外工具具有分组代理功能的同一设备，可轻松补充HA架构。

对于每个链路部署，IPS被视为至关重要，因此每个Edgelens都在活动备用场景中部署了两个冗余IPS工具，其中一个IPS作为主要的或“活动”设备通过EDGelens和辅助IPS或“被动”设备导致内联，这仍然接受实时流量，但不被视为内联。这提供了“热备用”冗余。如果主设备下降并通过点击收到心跳停止，则辅助设备将立即并自动接管作为主要的并带来内联。

每个部署还包含一个DDOS保护工具，由旁路功能管理，提供心跳运行状况检查和“内联生命周期管理”，允许您轻松借助频段外部的工具进行更新，安装修补程序，维护或故障排除以优化并在推送内联之前验证。

图3：高可用性（HA）与花环技术的Edgelens有主动/被动部署乐动体育菠菜

简化安全堆栈

该解决方案提供了一种简单的硬件基础链接解决方案，允许您在来自同一设备的多个网络段之间单独管理多个内联和带外工具，同时还提供旁路弹性。如果链条中的一个工具无法跟上，则将余额加载到其他工具1：1或1：n（一对多）工具。

好处

•在内联工具（WAF，NGFW或IPS）之前和之后分发流量到带外工具

•通过管理多个内联工具简化安全堆栈和减少网络复杂性

•提供到内联链路的过滤，聚合和负载平衡

•减少计划外停机的风险

•网络恢复力 - 灵活性绕过工具并保持网络，或者将其故障转移到高可用性[HA]解决方案

1-VMware Carbon Black第三版现代银行抢劫报告https://www.carbonblack.com/resource/modern-bank-heists-3-0/
2-https://www.newyorkfed.org/research/staff_reports/sr909.

希望增加可见性并降低网络复杂性，但不确定在哪里开始？加入我们的简短网络设计 - 它咨询或演示。没有义务-这是我们喜欢做的事!