摘要：思科大舉收購(gòu)了安全供應(yīng)廠商，并正積極致力于將他們的軟件保護(hù)集成整合到現(xiàn)有的思科設(shè)備，以便能夠打造出更簡(jiǎn)單、更安全和更靈活的網(wǎng)絡(luò)，思科的安全主管表示說(shuō)。

“在與我們進(jìn)行過(guò)溝通的企業(yè)客戶(hù)中，平均每家企業(yè)客戶(hù)在他們自己的企業(yè)網(wǎng)絡(luò)中都擁有大約50到60家不同的供應(yīng)廠商提供安全服務(wù)。”思科安全業(yè)務(wù)的高級(jí)副總裁兼總經(jīng)理David Goeckeler表示說(shuō)。“從而使得在這個(gè)行業(yè)中，管理所有這些不同的產(chǎn)品的復(fù)雜性大大超出了這些產(chǎn)品所帶來(lái)的有效性。”

而為了有效應(yīng)對(duì)并處理這些復(fù)雜性，思科正在開(kāi)發(fā)新的安全功能軟件，使其可以被部署在思科公司現(xiàn)有的相關(guān)設(shè)備上，包括諸如思科ASA防火墻。而通過(guò)該公司對(duì)于OpenDNS的收購(gòu)，他們也將提供增加了安全保護(hù)的云服務(wù)，而不需要升級(jí)或添置新的裝備。最近，Goeckeler接受了Network World 網(wǎng)站的高級(jí)編輯Tim Greene的專(zhuān)訪，在專(zhuān)訪中詳細(xì)介紹了上述收購(gòu)案所帶來(lái)的影響及思科公司不斷演化的其他安全架構(gòu)的情況。本文是此次專(zhuān)訪的一篇編輯采訪記錄。

思科的廣泛的安全方法是什么?

我們的企業(yè)客戶(hù)有一系列拼湊的產(chǎn)品。他們很難將這些拼湊的產(chǎn)品整合到一起。因此，我們不斷地思考我們?nèi)绾尾拍軒椭覀兊钠髽I(yè)客戶(hù)減少?gòu)?fù)雜性，構(gòu)建安全開(kāi)放和可擴(kuò)展的平臺(tái)，推動(dòng)能見(jiàn)度和自動(dòng)化的提升，等等這些類(lèi)型的問(wèn)題基本上都是為了能夠賦予我們的企業(yè)客戶(hù)更多的功能，同時(shí)降低復(fù)雜性。

當(dāng)您在談到減少?gòu)?fù)雜性，是因?yàn)榭蛻?hù)有一系列拼湊而成的產(chǎn)品時(shí)，您所指的是東拼西湊的思科產(chǎn)品或是還包括各種其他供應(yīng)廠商的產(chǎn)品呢?

一系列拼湊的安全產(chǎn)品。在與我們進(jìn)行過(guò)溝通的企業(yè)客戶(hù)中，平均每家企業(yè)客戶(hù)在他們自己的企業(yè)網(wǎng)絡(luò)中都擁有大約50到60家不同的供應(yīng)廠商提供安全服務(wù)。我甚至還有許多有超過(guò)100家不同的供應(yīng)廠商的企業(yè)客戶(hù)交談過(guò)。而在這個(gè)行業(yè)中，所發(fā)生的情況是管理所有這些不同的產(chǎn)品的復(fù)雜性，已經(jīng)大大超出了這些產(chǎn)品所帶來(lái)的有效性。

我們想要為安全市場(chǎng)帶來(lái)新的創(chuàng)造性的產(chǎn)品。但是我們需要找到一種新的、我所不具備的方法——每一次我們添加了一款新產(chǎn)品，并不是添加了一個(gè)新的盒子到網(wǎng)絡(luò)，而是一個(gè)單獨(dú)的管理。于是，我們通過(guò)一個(gè)安全架構(gòu)來(lái)解決這個(gè)問(wèn)題。該安全架構(gòu)產(chǎn)品能夠一起工作，為我們的企業(yè)客戶(hù)提供一個(gè)更有效和更簡(jiǎn)單的解決方案。

我們已經(jīng)花費(fèi)了約40億美元用于在這一時(shí)間內(nèi)的并購(gòu)，以加強(qiáng)我們的投資組合，重點(diǎn)關(guān)注安全威脅，填補(bǔ)空白，擴(kuò)大投資組合，基本上是在加快安全架構(gòu)的打造，以及我們的合作伙伴關(guān)系建設(shè)。沒(méi)有任何安全供應(yīng)商將只有一款單一的功能。這是一個(gè)很大的市場(chǎng)。我們希望建立一個(gè)開(kāi)放的、可擴(kuò)展的體系架構(gòu)，并在這一體系架構(gòu)中推動(dòng)創(chuàng)新。

在合作伙伴關(guān)系建設(shè)方面，是讓其他供應(yīng)廠商的安全裝備能夠更好與思科產(chǎn)品實(shí)現(xiàn)集中管理;還是與思科沒(méi)有的技術(shù)建立合作呢？

二者都包括。我們希望能夠以一種開(kāi)放和可擴(kuò)展的方式來(lái)構(gòu)建我們的架構(gòu)。這方面的一個(gè)很好的例子便是我們的身份服務(wù)引擎，其為我們的企業(yè)客戶(hù)提供了很多網(wǎng)絡(luò)環(huán)境。我們有一款開(kāi)放的API接口，即所謂的平臺(tái)交換網(wǎng)，當(dāng)他們有一個(gè)IP地址時(shí)，我們有一個(gè)完整的合作伙伴系統(tǒng)，這些合作伙伴基本上可以從我們的身份系統(tǒng)獲得相關(guān)的信息，能夠告訴他們用戶(hù)是誰(shuí);采用了什么設(shè)備;以及用戶(hù)在哪里。其允許我們的合作伙伴獲得更多關(guān)于用戶(hù)在網(wǎng)絡(luò)上的環(huán)境信息，而不是僅僅只是設(shè)備信息。

所以，您們正在使得將第三方設(shè)備集成到思科網(wǎng)絡(luò)成為可能嗎?

很多的整合工作都留給了客戶(hù)，他們對(duì)此真的很糾結(jié)，因?yàn)檫@只是增加了越來(lái)越多的產(chǎn)品，意味著越來(lái)越多的復(fù)雜性，而這種復(fù)雜性又恰恰是有效的安全的天敵。我們真的正在積極的推動(dòng)一款架構(gòu)的打造，其將使得我們能夠添加更多的功能到該架構(gòu)，并實(shí)際上變得更簡(jiǎn)化。

能否舉一個(gè)這方面例子呢?

我們有一款基于云的先進(jìn)的惡意軟件系統(tǒng)，然后我們打算將其整合到我們的整個(gè)產(chǎn)品組合。我們有一個(gè)連接器連接到基于云的智能系統(tǒng)，我們可以部署在我們的電子郵件網(wǎng)關(guān)。而用戶(hù)也可以將其部署在網(wǎng)絡(luò)網(wǎng)關(guān)上;您也可以在防火墻上部署它;您甚至可以將其部署在下一代的IPS。該產(chǎn)品有一個(gè)終端版本。有一個(gè)Linux版本?；旧嫌幸粋€(gè)ISR邊緣路由器的版本?；旧夏軌蛴糜谀髽I(yè)的整個(gè)基礎(chǔ)設(shè)施。您可以部署一個(gè)軟件升級(jí)，讓您能夠連接到一款先進(jìn)的惡意軟件系統(tǒng)。

傳統(tǒng)的供應(yīng)廠商會(huì)希望能夠把一個(gè)盒子放在您的電子郵件網(wǎng)關(guān)后面，并將其作為一個(gè)單獨(dú)的元素在您的企業(yè)網(wǎng)絡(luò)實(shí)施管理。而我們則會(huì)說(shuō)：不，企業(yè)用戶(hù)應(yīng)該將您已經(jīng)有的基礎(chǔ)設(shè)施升級(jí)到一個(gè)大系統(tǒng)。這個(gè)系統(tǒng)被云綁在一起，有巨大的優(yōu)勢(shì)。當(dāng)在網(wǎng)絡(luò)中發(fā)現(xiàn)任何一個(gè)攻擊向量的威脅時(shí)，云便會(huì)知道，然后可以跨每一個(gè)攻擊向量實(shí)施保護(hù)。只需要檢測(cè)到一次攻擊向量，就能夠提供無(wú)處不在的保護(hù)。

我們打造了該架構(gòu)，然后我們收購(gòu)了ThreatGRID公司，這給了我們先進(jìn)的惡意軟件的沙盒功能，我們將其集成整合到了該架構(gòu)中作為一項(xiàng)功能特征，而不是讓客戶(hù)去無(wú)處不在的部署這個(gè)盒子到他們的企業(yè)網(wǎng)絡(luò)。這導(dǎo)致了一個(gè)先進(jìn)的惡意軟件系列，我們今天稱(chēng)為AMP(先進(jìn)的惡意軟件保護(hù))。

順便說(shuō)一下，如果您部署了這些箱子，他們互相之間不會(huì)通信，所以您會(huì)在您企業(yè)網(wǎng)絡(luò)的一個(gè)小角落里發(fā)現(xiàn)一些東西，那么您要如何處理呢?在您的企業(yè)網(wǎng)絡(luò)中，您必須讓員工們?nèi)ド暾?qǐng)相應(yīng)的政策。所有這一切都是自動(dòng)的。而對(duì)比其它重點(diǎn)產(chǎn)品，我們先進(jìn)的惡意軟件在有效性方面是它們的兩倍，而成本僅為它們的一半。我想知道如何減少?gòu)?fù)雜性，在您給出的答案中，會(huì)要求企業(yè)用戶(hù)扔掉多少他們已經(jīng)有的產(chǎn)品，又有多少已經(jīng)有的產(chǎn)品能夠?qū)崿F(xiàn)集成整合呢?

要準(zhǔn)確的回答這一問(wèn)題是很難的，因?yàn)榘踩且粋€(gè)市場(chǎng)，在該市場(chǎng)上，每家企業(yè)都不應(yīng)該拋棄他們所已經(jīng)有的一切。我們正在做的是，為所有這些網(wǎng)絡(luò)已經(jīng)存在的產(chǎn)品帶去安全架構(gòu)。這也他們的用戶(hù)所在，也是數(shù)據(jù)的所在。我上面談到了AMP。您可以在一個(gè)ISR路由器上增加一款A(yù)MP軟件升級(jí)，這是企業(yè)園區(qū)分支類(lèi)型最廣泛部署的邊緣路由器。

您還指了哪些其他的收購(gòu)交易?

距離現(xiàn)在大約五個(gè)月前，我們收購(gòu)了OpenDNS的。如果您看看OpenDNS，從云安全、到純粹的SaaS模式，沒(méi)有什么是用戶(hù)部署的。哪些可以變得更容易呢?我的意思是企業(yè)用戶(hù)改變您的DNS地址，指向我們的云服務(wù)，您現(xiàn)在有非常有效的安全，是一個(gè)世界級(jí)的層。全球覆蓋的。無(wú)論您是用的是什么設(shè)備、什么端口、什么協(xié)議都沒(méi)有關(guān)系，您都將得到覆蓋。

我們也能夠整合 AMP特許到我剛才談到的OpenDNS?，F(xiàn)在，在我們的先進(jìn)的惡意軟件特許經(jīng)營(yíng)權(quán)方面，我在企業(yè)用戶(hù)那里所發(fā)現(xiàn)的一切都是關(guān)乎安全違規(guī)、或惡意軟件、以及我不想讓我的用戶(hù)去到的IP地址，只是通過(guò)一個(gè)API到OpenDNS繞過(guò)，現(xiàn)在企業(yè)客戶(hù)已經(jīng)又了全球范圍內(nèi)的覆蓋來(lái)對(duì)抗這一威脅。他們可以通過(guò)自動(dòng)通過(guò)一個(gè)API和全球覆蓋，瞬時(shí)從他們的企業(yè)環(huán)境中發(fā)現(xiàn)一切。

當(dāng)我們?cè)诖蠹s一年半以前收購(gòu)Sourcefire公司時(shí)，我們把ASA防火墻整合到Firepower服務(wù)，這使得我們能夠充分利用Sourcefire的整個(gè)資產(chǎn)，并將其作為ASA的軟件升級(jí)提供給客戶(hù)。這是相當(dāng)令人難以置信的，再次為我們的客戶(hù)帶來(lái)更多的功能，并降低了復(fù)雜度，而不是要求他們把另一個(gè)盒子放到防火墻背后，來(lái)執(zhí)行所有的最先進(jìn)的威脅功能，而只是升級(jí)他們已經(jīng)有的平臺(tái)。

如何在這一過(guò)程中，最大限度地減少損失呢?

我們可以推動(dòng)使得網(wǎng)絡(luò)像一個(gè)執(zhí)行者的架構(gòu)，便是我們的TrustSec架構(gòu)，您可以使用網(wǎng)絡(luò)架構(gòu)來(lái)執(zhí)行管理政策。用戶(hù)在網(wǎng)絡(luò)上時(shí)，您可以分配特定的管理政策，然后網(wǎng)絡(luò)架構(gòu)將實(shí)施這一政策，如果某個(gè)用戶(hù)不應(yīng)該去到某個(gè)網(wǎng)絡(luò)的一部分時(shí)，實(shí)際的交換基礎(chǔ)設(shè)施提供支持。這限制了橫向運(yùn)動(dòng)。當(dāng)有人進(jìn)入您的企業(yè)網(wǎng)絡(luò)，您想盡快找到他們，但您也要限制他們能去到的地方。