Bret Hartman去年加入思科，擔任思科安全技術(shù)部門的首席技術(shù)官。他目前向安全與管理部門的高級副總裁Chris Young匯報。與Yound類似，Hartman之前是EMC安全部門RSA的一位執(zhí)行官。這位來自RSA的主管將如何影響思科的安全戰(zhàn)略呢?我們?yōu)榇瞬稍L了Bret Hartman。

您擔任思科安全CTO的目標是什么?

Brett Hartman：讓思科更加重視安全性，并且保證安全性一直處于思科的戰(zhàn)略中心。這其中的關(guān)鍵是就是讓安全性直接進入網(wǎng)絡結(jié)構(gòu)，當您使用這些網(wǎng)絡設備時，安全性就植根于思科的細胞之中。我們的戰(zhàn)略依賴于思科的其他戰(zhàn)略，所以實際上onePK的概念和軟件定義網(wǎng)絡功能就與安全性密切相關(guān)。

有許多供應商宣稱安全性屬于網(wǎng)絡結(jié)構(gòu)的一部分。那么思科的安全戰(zhàn)略又有何不同?

Hartman：思科將安全性值入到網(wǎng)絡結(jié)構(gòu)中，因為思科產(chǎn)品的大范圍部署，我們與其他大多數(shù)公司的做法是不同的。因為這都關(guān)系到政策的真正執(zhí)行。您想擁有世界上的最佳安全策略，但這是不可能的，如果能夠攔截流量并控制流量流，那么策略就已經(jīng)不重要了。這關(guān)系上如何利用已經(jīng)部署的大量思科設備。

在某種意義上，它與思科之前提出的安全戰(zhàn)略自我防衛(wèi)網(wǎng)絡是一致的，但重點是圍繞onePK的新趨勢使網(wǎng)絡更能實現(xiàn)這個目標。首先，在解決實現(xiàn)安全性時，有兩個問題：一是可見性。您必須查看基礎架構(gòu)的運行狀態(tài)。然后您必須執(zhí)行這些策略，確定要做什么才能夠保護想要保護的東西。

關(guān)于思科onePK的API，它就是關(guān)于可見性和執(zhí)行。您可以利用現(xiàn)有的全部路由器、交換機及其他設備，監(jiān)控比以前更多的內(nèi)容。然后，您可以將策略應用到這個結(jié)構(gòu)上。

另一種方式是將安全的重點放在設備(主要部署在網(wǎng)絡邊界的設備)、防火墻和反病毒軟件上。問題是，我們面對的安全挑戰(zhàn)是分布式安全問題。各種手機連接了云。這是一個極大的分布式系統(tǒng)。只使用一兩臺設備是絕對無法解決問題的。它已經(jīng)遍布所有位置。您必須對任意設備、任意位置和任意云服務應用安全策略。我們將它稱為任意至任意的問題。當您確實有很多連接時，您該如何在這樣復雜的環(huán)境上應用策略?您不可能只通過部署一個設備來解決問題。它必須遍布整個結(jié)構(gòu)。這就是我們要實現(xiàn)的目標。

我們利用思科ONE和onePK接口創(chuàng)建一個安全服務平臺，它可以跨越整個協(xié)議棧;它可以嵌入到路由器和交換機中，也可以在需要時部署為物理設備。它可以部署到虛擬環(huán)境、私有云和公共云中。您可以得到相同的安全服務，而不僅僅是一個設備;它將分布到整個協(xié)議棧中。

這是否意味著防火墻和IPS等設備將消失?

Hartman：我認為它們將發(fā)生變化。許多設備將消失和棄用。有一個例子，如果您想了解入侵防御領(lǐng)域，那么您會一定關(guān)注于設備的分析功能，即檢測網(wǎng)絡內(nèi)容。您可以在一臺有許多x86內(nèi)核的物理設備上做，非?？焖偾曳浅１阋恕５?，在執(zhí)行時，您可以將這些策略應用到現(xiàn)有的路由器和交換機上。這些策略不會應用到一個網(wǎng)絡節(jié)點上，而是應用到所有位置。您可以在一個企業(yè)網(wǎng)絡中實現(xiàn)，阻止一個攻擊在這個LAN中傳播。

看看IT安全趨勢，您一定知道許多安全供應商在增加越來越多的安全服務。首先就是安全控制。然后是內(nèi)容監(jiān)控和環(huán)境監(jiān)控，以及反病毒和威脅保護。所有供應商只是在堆砌安全服務。趨勢是讓安全服務部署到最有效實施的網(wǎng)絡棧中。

有一些客戶說：“我不淘汰自己的安全設備。”您會怎么回復他們?

Hartman：問題在于要利用現(xiàn)有的設備。這正是這個新架構(gòu)的關(guān)鍵所在。它實際上是一個運行在思科現(xiàn)有硬件平臺之上的軟件架構(gòu)。onePK是現(xiàn)有產(chǎn)品的軟件固件升級。整個方法的目標是使它能夠變得更先進。您最不想做的事情就是讓人們丟掉所有設備，然后重要開始。我們將onePK視為一個自然進化。我們現(xiàn)有的下一代防火墻已經(jīng)在使用onePK。我知道，我們每一種產(chǎn)品的新版本都將越來越多地使用onePK。

ASA-CX防火墻如何使用onePK?

Hartman：在管理方面——能夠連接底層網(wǎng)絡結(jié)構(gòu)，主要是在管理接口上。

您是否認為思科安全戰(zhàn)略還包含了SDN的其他方面?例如，是否在安全性中應用了OpenFlow?

Hartman：是，肯定有。首先，標準支持對于可信度至關(guān)重要。這絕不是僅僅關(guān)于思科設備或思科產(chǎn)品。如果要讓它真正走向正途，那么它必須能夠與其他產(chǎn)品實現(xiàn)互操作。它肯定先從OpenFlow開始。我們開發(fā)的云支持也肯定與OpenStack密切相關(guān)。此外，我們還會用一些新興安全標準共享不同的環(huán)境信息。

這種方法會不會比直接在網(wǎng)絡中部署安全設備復雜很多?

Hartman：如果您有一個物理設備，那么最大的優(yōu)點就是它可以作為一個獨立管理的設備。但是，這里有一些欺騙人，因為您實際上并不管理這個設備，而是管理它所有周邊組件。許多大型組織可能會部署50個這種獨立安全產(chǎn)品，他們必須投入人力管理和控制這些設備。而這個架構(gòu)的目標就是將這些管理整合并集中在一起。

這是我們在安全策略和管理方面的重要投入。否則，復雜管理會帶來風險。為此，我們開發(fā)了身份驗證服務引擎(Identify Services Engine)，這是一個管理不同用戶和設備的訪問策略的強大產(chǎn)品。

它還與思科Prim和Prime Security Manager整合，這是我們實現(xiàn)的安全產(chǎn)品集合。但是，按照您的觀點，在使用分布式架構(gòu)時，最好在架構(gòu)之上部署一個管理框架。否則，您會遇到很多問題。您一定不能將這些服務作為獨立分散的服務進行管理。您必須將它們作為一個系統(tǒng)。

鑒于思科Prime是另一個業(yè)務單元，思科如何實現(xiàn)這種管理?

Hartman：安全是思科整體戰(zhàn)略的一個重要組成部分，也是擴展和交付大范圍IT解決方案的一個重要組成部分，而不僅僅涉及網(wǎng)絡基礎架構(gòu)。所以，我們將繼續(xù)開發(fā)和交付能夠適應思科各個產(chǎn)品系列的安全戰(zhàn)略。

例如，作為公司CTO，我會與其他部門的CTO協(xié)作，當然也包括負責Prime產(chǎn)品的CTO，這樣我們就能夠?qū)崿F(xiàn)一致的安全戰(zhàn)略。這實際上會激勵思科各個業(yè)務部門，一起協(xié)作完成這個聚和的安全戰(zhàn)略。這并不多見。

它受到每一個業(yè)務部門的重視，因為所有部門都將安全視為一個重要的競爭手段，無論是數(shù)據(jù)中心團隊、企業(yè)網(wǎng)絡團隊、服務提供商團隊還是移動與協(xié)同團隊都一樣。我們確實在思科的各個部門實現(xiàn)核心技術(shù)。我的作用是保證我們有一致的安全性，沒有分隔。