思科大舉收購了安全供應(yīng)廠商,并正積極致力于將他們的軟件保護集成整合到現(xiàn)有的思科設(shè)備,以便能夠打造出更簡單、更安全和更靈活的網(wǎng)絡(luò),思科的安全主管表示說。
“在與我們進(jìn)行過溝通的企業(yè)客戶中,平均每家企業(yè)客戶在他們自己的企業(yè)網(wǎng)絡(luò)中都擁有大約50到60家不同的供應(yīng)廠商提供安全服務(wù)。”思科安全業(yè)務(wù)的高級副總裁兼總經(jīng)理David Goeckeler表示說。“從而使得在這個行業(yè)中,管理所有這些不同的產(chǎn)品的復(fù)雜性大大超出了這些產(chǎn)品所帶來的有效性。”
而為了有效應(yīng)對并處理這些復(fù)雜性,思科正在開發(fā)新的安全功能軟件,使其可以被部署在思科公司現(xiàn)有的相關(guān)設(shè)備上,包括諸如思科ASA防火墻。而通過該公司對于OpenDNS的收購,他們也將提供增加了安全保護的云服務(wù),而不需要升級或添置新的裝備。最近,Goeckeler接受了Network World 網(wǎng)站的高級編輯Tim Greene的專訪,在專訪中詳細(xì)介紹了上述收購案所帶來的影響及思科公司不斷演化的其他安全架構(gòu)的情況。本文是此次專訪的一篇編輯采訪記錄。
思科的廣泛的安全方法是什么?
我們的企業(yè)客戶有一系列拼湊的產(chǎn)品。他們很難將這些拼湊的產(chǎn)品整合到一起。因此,我們不斷地思考我們?nèi)绾尾拍軒椭覀兊钠髽I(yè)客戶減少復(fù)雜性,構(gòu)建安全開放和可擴展的平臺,推動能見度和自動化的提升,等等這些類型的問題基本上都是為了能夠賦予我們的企業(yè)客戶更多的功能,同時降低復(fù)雜性。
當(dāng)您在談到減少復(fù)雜性,是因為客戶有一系列拼湊而成的產(chǎn)品時,您所指的是東拼西湊的思科產(chǎn)品或是還包括各種其他供應(yīng)廠商的產(chǎn)品呢?
一系列拼湊的安全產(chǎn)品。在與我們進(jìn)行過溝通的企業(yè)客戶中,平均每家企業(yè)客戶在他們自己的企業(yè)網(wǎng)絡(luò)中都擁有大約50到60家不同的供應(yīng)廠商提供安全服務(wù)。我甚至還有許多有超過100家不同的供應(yīng)廠商的企業(yè)客戶交談過。而在這個行業(yè)中,所發(fā)生的情況是管理所有這些不同的產(chǎn)品的復(fù)雜性,已經(jīng)大大超出了這些產(chǎn)品所帶來的有效性。
我們想要為安全市場帶來新的創(chuàng)造性的產(chǎn)品。但是我們需要找到一種新的、我所不具備的方法——每一次我們添加了一款新產(chǎn)品,并不是添加了一個新的盒子到網(wǎng)絡(luò),而是一個單獨的管理。于是,我們通過一個安全架構(gòu)來解決這個問題。該安全架構(gòu)產(chǎn)品能夠一起工作,為我們的企業(yè)客戶提供一個更有效和更簡單的解決方案。
我們已經(jīng)花費了約40億美元用于在這一時間內(nèi)的并購,以加強我們的投資組合,重點關(guān)注安全威脅,填補空白,擴大投資組合,基本上是在加快安全架構(gòu)的打造,以及我們的合作伙伴關(guān)系建設(shè)。沒有任何安全供應(yīng)商將只有一款單一的功能。這是一個很大的市場。我們希望建立一個開放的、可擴展的體系架構(gòu),并在這一體系架構(gòu)中推動創(chuàng)新。
在合作伙伴關(guān)系建設(shè)方面,是讓其他供應(yīng)廠商的安全裝備能夠更好與思科產(chǎn)品實現(xiàn)集中管理;還是與思科沒有的技術(shù)建立合作呢?
二者都包括。我們希望能夠以一種開放和可擴展的方式來構(gòu)建我們的架構(gòu)。這方面的一個很好的例子便是我們的身份服務(wù)引擎,其為我們的企業(yè)客戶提供了很多網(wǎng)絡(luò)環(huán)境。我們有一款開放的API接口,即所謂的平臺交換網(wǎng),當(dāng)他們有一個IP地址時,我們有一個完整的合作伙伴系統(tǒng),這些合作伙伴基本上可以從我們的身份系統(tǒng)獲得相關(guān)的信息,能夠告訴他們用戶是誰;采用了什么設(shè)備;以及用戶在哪里。其允許我們的合作伙伴獲得更多關(guān)于用戶在網(wǎng)絡(luò)上的環(huán)境信息,而不是僅僅只是設(shè)備信息。
所以,您們正在使得將第三方設(shè)備集成到思科網(wǎng)絡(luò)成為可能嗎?
很多的整合工作都留給了客戶,他們對此真的很糾結(jié),因為這只是增加了越來越多的產(chǎn)品,意味著越來越多的復(fù)雜性,而這種復(fù)雜性又恰恰是有效的安全的天敵。我們真的正在積極的推動一款架構(gòu)的打造,其將使得我們能夠添加更多的功能到該架構(gòu),并實際上變得更簡化。
能否舉一個這方面例子呢?
我們有一款基于云的先進(jìn)的惡意軟件系統(tǒng),然后我們打算將其整合到我們的整個產(chǎn)品組合。我們有一個連接器連接到基于云的智能系統(tǒng),我們可以部署在我們的電子郵件網(wǎng)關(guān)。而用戶也可以將其部署在網(wǎng)絡(luò)網(wǎng)關(guān)上;您也可以在防火墻上部署它;您甚至可以將其部署在下一代的IPS。該產(chǎn)品有一個終端版本。有一個Linux版本。基本上有一個ISR邊緣路由器的版本?;旧夏軌蛴糜谀髽I(yè)的整個基礎(chǔ)設(shè)施。您可以部署一個軟件升級,讓您能夠連接到一款先進(jìn)的惡意軟件系統(tǒng)。
傳統(tǒng)的供應(yīng)廠商會希望能夠把一個盒子放在您的電子郵件網(wǎng)關(guān)后面,并將其作為一個單獨的元素在您的企業(yè)網(wǎng)絡(luò)實施管理。而我們則會說:不,企業(yè)用戶應(yīng)該將您已經(jīng)有的基礎(chǔ)設(shè)施升級到一個大系統(tǒng)。這個系統(tǒng)被云綁在一起,有巨大的優(yōu)勢。當(dāng)在網(wǎng)絡(luò)中發(fā)現(xiàn)任何一個攻擊向量的威脅時,云便會知道,然后可以跨每一個攻擊向量實施保護。只需要檢測到一次攻擊向量,就能夠提供無處不在的保護。
我們打造了該架構(gòu),然后我們收購了ThreatGRID公司,這給了我們先進(jìn)的惡意軟件的沙盒功能,我們將其集成整合到了該架構(gòu)中作為一項功能特征,而不是讓客戶去無處不在的部署這個盒子到他們的企業(yè)網(wǎng)絡(luò)。這導(dǎo)致了一個先進(jìn)的惡意軟件系列,我們今天稱為AMP(先進(jìn)的惡意軟件保護)。
順便說一下,如果您部署了這些箱子,他們互相之間不會通信,所以您會在您企業(yè)網(wǎng)絡(luò)的一個小角落里發(fā)現(xiàn)一些東西,那么您要如何處理呢?在您的企業(yè)網(wǎng)絡(luò)中,您必須讓員工們?nèi)ド暾埾鄳?yīng)的政策。所有這一切都是自動的。而對比其它重點產(chǎn)品,我們先進(jìn)的惡意軟件在有效性方面是它們的兩倍,而成本僅為它們的一半。我想知道如何減少復(fù)雜性,在您給出的答案中,會要求企業(yè)用戶扔掉多少他們已經(jīng)有的產(chǎn)品,又有多少已經(jīng)有的產(chǎn)品能夠?qū)崿F(xiàn)集成整合呢?
要準(zhǔn)確的回答這一問題是很難的,因為安全是一個市場,在該市場上,每家企業(yè)都不應(yīng)該拋棄他們所已經(jīng)有的一切。我們正在做的是,為所有這些網(wǎng)絡(luò)已經(jīng)存在的產(chǎn)品帶去安全架構(gòu)。這也他們的用戶所在,也是數(shù)據(jù)的所在。我上面談到了AMP。您可以在一個ISR路由器上增加一款A(yù)MP軟件升級,這是企業(yè)園區(qū)分支類型最廣泛部署的邊緣路由器。
您還指了哪些其他的收購交易?
距離現(xiàn)在大約五個月前,我們收購了OpenDNS的。如果您看看OpenDNS,從云安全、到純粹的SaaS模式,沒有什么是用戶部署的。哪些可以變得更容易呢?我的意思是企業(yè)用戶改變您的DNS地址,指向我們的云服務(wù),您現(xiàn)在有非常有效的安全,是一個世界級的層。全球覆蓋的。無論您是用的是什么設(shè)備、什么端口、什么協(xié)議都沒有關(guān)系,您都將得到覆蓋。
我們也能夠整合 AMP特許到我剛才談到的OpenDNS?,F(xiàn)在,在我們的先進(jìn)的惡意軟件特許經(jīng)營權(quán)方面,我在企業(yè)用戶那里所發(fā)現(xiàn)的一切都是關(guān)乎安全違規(guī)、或惡意軟件、以及我不想讓我的用戶去到的IP地址,只是通過一個API到OpenDNS繞過,現(xiàn)在企業(yè)客戶已經(jīng)又了全球范圍內(nèi)的覆蓋來對抗這一威脅。他們可以通過自動通過一個API和全球覆蓋,瞬時從他們的企業(yè)環(huán)境中發(fā)現(xiàn)一切。
當(dāng)我們在大約一年半以前收購Sourcefire公司時,我們把ASA防火墻整合到Firepower服務(wù),這使得我們能夠充分利用Sourcefire的整個資產(chǎn),并將其作為ASA的軟件升級提供給客戶。這是相當(dāng)令人難以置信的,再次為我們的客戶帶來更多的功能,并降低了復(fù)雜度,而不是要求他們把另一個盒子放到防火墻背后,來執(zhí)行所有的最先進(jìn)的威脅功能,而只是升級他們已經(jīng)有的平臺。
如何在這一過程中,最大限度地減少損失呢?
我們可以推動使得網(wǎng)絡(luò)像一個執(zhí)行者的架構(gòu),便是我們的TrustSec架構(gòu),您可以使用網(wǎng)絡(luò)架構(gòu)來執(zhí)行管理政策。用戶在網(wǎng)絡(luò)上時,您可以分配特定的管理政策,然后網(wǎng)絡(luò)架構(gòu)將實施這一政策,如果某個用戶不應(yīng)該去到某個網(wǎng)絡(luò)的一部分時,實際的交換基礎(chǔ)設(shè)施提供支持。這限制了橫向運動。當(dāng)有人進(jìn)入您的企業(yè)網(wǎng)絡(luò),您想盡快找到他們,但您也要限制他們能去到的地方。
文章來源:機房專用空調(diào) http://