CTO Bret Hartma訪談:思科安全戰略
Bret Hartman去年加入思科,擔任思科安全技術部門的首席技術官。他目前向安全與管理部門的高級副總裁Chris Young匯報。與Yound類似,Hartman之前是EMC安全部門RSA的一位執行官。這位來自RSA的主管將如何影響思科的安全戰略呢?我們為此采訪了Bret Hartman。
您擔任思科安全CTO的目標是什么?
Brett Hartman:讓思科更加重視安全性,并且保證安全性一直處于思科的戰略中心。這其中的關鍵是就是讓安全性直接進入網絡結構,當您使用這些網絡設備時,安全性就植根于思科的細胞之中。我們的戰略依賴于思科的其他戰略,所以實際上onePK的概念和軟件定義網絡功能就與安全性密切相關。
有許多供應商宣稱安全性屬于網絡結構的一部分。那么思科的安全戰略又有何不同?
Hartman:思科將安全性值入到網絡結構中,因為思科產品的大范圍部署,我們與其他大多數公司的做法是不同的。因為這都關系到政策的真正執行。您想擁有世界上的最佳安全策略,但這是不可能的,如果能夠攔截流量并控制流量流,那么策略就已經不重要了。這關系上如何利用已經部署的大量思科設備。
在某種意義上,它與思科之前提出的安全戰略自我防衛網絡是一致的,但重點是圍繞onePK的新趨勢使網絡更能實現這個目標。首先,在解決實現安全性時,有兩個問題:一是可見性。您必須查看基礎架構的運行狀態。然后您必須執行這些策略,確定要做什么才能夠保護想要保護的東西。
關于思科onePK的API,它就是關于可見性和執行。您可以利用現有的全部路由器、交換機及其他設備,監控比以前更多的內容。然后,您可以將策略應用到這個結構上。
另一種方式是將安全的重點放在設備(主要部署在網絡邊界的設備)、防火墻和反病毒軟件上。問題是,我們面對的安全挑戰是分布式安全問題。各種手機連接了云。這是一個極大的分布式系統。只使用一兩臺設備是絕對無法解決問題的。它已經遍布所有位置。您必須對任意設備、任意位置和任意云服務應用安全策略。我們將它稱為任意至任意的問題。當您確實有很多連接時,您該如何在這樣復雜的環境上應用策略?您不可能只通過部署一個設備來解決問題。它必須遍布整個結構。這就是我們要實現的目標。
我們利用思科ONE和onePK接口創建一個安全服務平臺,它可以跨越整個協議棧;它可以嵌入到路由器和交換機中,也可以在需要時部署為物理設備。它可以部署到虛擬環境、私有云和公共云中。您可以得到相同的安全服務,而不僅僅是一個設備;它將分布到整個協議棧中。
這是否意味著防火墻和IPS等設備將消失?
Hartman:我認為它們將發生變化。許多設備將消失和棄用。有一個例子,如果您想了解入侵防御領域,那么您會一定關注于設備的分析功能,即檢測網絡內容。您可以在一臺有許多x86內核的物理設備上做,非常快速且非常便宜。但是,在執行時,您可以將這些策略應用到現有的路由器和交換機上。這些策略不會應用到一個網絡節點上,而是應用到所有位置。您可以在一個企業網絡中實現,阻止一個攻擊在這個LAN中傳播。
看看IT安全趨勢,您一定知道許多安全供應商在增加越來越多的安全服務。首先就是安全控制。然后是內容監控和環境監控,以及反病毒和威脅保護。所有供應商只是在堆砌安全服務。趨勢是讓安全服務部署到最有效實施的網絡棧中。
有一些客戶說:“我不淘汰自己的安全設備。”您會怎么回復他們?
Hartman:問題在于要利用現有的設備。這正是這個新架構的關鍵所在。它實際上是一個運行在思科現有硬件平臺之上的軟件架構。onePK是現有產品的軟件固件升級。整個方法的目標是使它能夠變得更先進。您最不想做的事情就是讓人們丟掉所有設備,然后重要開始。我們將onePK視為一個自然進化。我們現有的下一代防火墻已經在使用onePK。我知道,我們每一種產品的新版本都將越來越多地使用onePK。
ASA-CX防火墻如何使用onePK?
Hartman:在管理方面——能夠連接底層網絡結構,主要是在管理接口上。
您是否認為思科安全戰略還包含了SDN的其他方面?例如,是否在安全性中應用了OpenFlow?
Hartman:是,肯定有。首先,標準支持對于可信度至關重要。這絕不是僅僅關于思科設備或思科產品。如果要讓它真正走向正途,那么它必須能夠與其他產品實現互操作。它肯定先從OpenFlow開始。我們開發的云支持也肯定與OpenStack密切相關。此外,我們還會用一些新興安全標準共享不同的環境信息。
這種方法會不會比直接在網絡中部署安全設備復雜很多?
Hartman:如果您有一個物理設備,那么最大的優點就是它可以作為一個獨立管理的設備。但是,這里有一些欺騙人,因為您實際上并不管理這個設備,而是管理它所有周邊組件。許多大型組織可能會部署50個這種獨立安全產品,他們必須投入人力管理和控制這些設備。而這個架構的目標就是將這些管理整合并集中在一起。
這是我們在安全策略和管理方面的重要投入。否則,復雜管理會帶來風險。為此,我們開發了身份驗證服務引擎(Identify Services Engine),這是一個管理不同用戶和設備的訪問策略的強大產品。
它還與思科Prim和Prime Security Manager整合,這是我們實現的安全產品集合。但是,按照您的觀點,在使用分布式架構時,最好在架構之上部署一個管理框架。否則,您會遇到很多問題。您一定不能將這些服務作為獨立分散的服務進行管理。您必須將它們作為一個系統。
鑒于思科Prime是另一個業務單元,思科如何實現這種管理?
Hartman:安全是思科整體戰略的一個重要組成部分,也是擴展和交付大范圍IT解決方案的一個重要組成部分,而不僅僅涉及網絡基礎架構。所以,我們將繼續開發和交付能夠適應思科各個產品系列的安全戰略。
例如,作為公司CTO,我會與其他部門的CTO協作,當然也包括負責Prime產品的CTO,這樣我們就能夠實現一致的安全戰略。這實際上會激勵思科各個業務部門,一起協作完成這個聚和的安全戰略。這并不多見。
它受到每一個業務部門的重視,因為所有部門都將安全視為一個重要的競爭手段,無論是數據中心團隊、企業網絡團隊、服務提供商團隊還是移動與協同團隊都一樣。我們確實在思科的各個部門實現核心技術。我的作用是保證我們有一致的安全性,沒有分隔。
