Bret Hartman去年加入思科,担任思科安全技术部门的首席技术官。他目前向安全与管理部门的高级副总裁Chris Young汇报。与Yound类似,Hartman之前是EMC安全部门RSA的一位执行官。这位来自RSA的主管将如何影响思科的安全战略呢?我们为此采访了Bret Hartman。
您担任思科安全CTO的目标是什么?
Brett Hartman:让思科更加重视安全性,并且保证安全性一直处于思科的战略中心。这其中的关键是就是让安全性直接进入网络结构,当您使用这些网络设备时,安全性就植根于思科的细胞之中。我们的战略依赖于思科的其他战略,所以实际上onePK的概念和软件定义网络功能就与安全性密切相关。
有许多供应商宣称安全性属于网络结构的一部分。那么思科的安全战略又有何不同?
Hartman:思科将安全性值入到网络结构中,因为思科产品的大范围部署,我们与其他大多数公司的做法是不同的。因为这都关系到政策的真正执行。您想拥有世界上的最佳安全策略,但这是不可能的,如果能够拦截流量并控制流量流,那么策略就已经不重要了。这关系上如何利用已经部署的大量思科设备。
在某种意义上,它与思科之前提出的安全战略自我防卫网络是一致的,但重点是围绕onePK的新趋势使网络更能实现这个目标。首先,在解决实现安全性时,有两个问题:一是可见性。您必须查看基础架构的运行状态。然后您必须执行这些策略,确定要做什么才能够保护想要保护的东西。
关于思科onePK的API,它就是关于可见性和执行。您可以利用现有的全部路由器、交换机及其他设备,监控比以前更多的内容。然后,您可以将策略应用到这个结构上。
另一种方式是将安全的重点放在设备(主要部署在网络边界的设备)、防火墙和反病毒软件上。问题是,我们面对的安全挑战是分布式安全问题。各种手机连接了云。这是一个极大的分布式系统。只使用一两台设备是绝对无法解决问题的。它已经遍布所有位置。您必须对任意设备、任意位置和任意云服务应用安全策略。我们将它称为任意至任意的问题。当您确实有很多连接时,您该如何在这样复杂的环境上应用策略?您不可能只通过部署一个设备来解决问题。它必须遍布整个结构。这就是我们要实现的目标。
我们利用思科ONE和onePK接口创建一个安全服务平台,它可以跨越整个协议栈;它可以嵌入到路由器和交换机中,也可以在需要时部署为物理设备。它可以部署到虚拟环境、私有云和公共云中。您可以得到相同的安全服务,而不仅仅是一个设备;它将分布到整个协议栈中。
这是否意味着防火墙和IPS等设备将消失?
Hartman:我认为它们将发生变化。许多设备将消失和弃用。有一个例子,如果您想了解入侵防御领域,那么您会一定关注于设备的分析功能,即检测网络内容。您可以在一台有许多x86内核的物理设备上做,非常快速且非常便宜。但是,在执行时,您可以将这些策略应用到现有的路由器和交换机上。这些策略不会应用到一个网络节点上,而是应用到所有位置。您可以在一个企业网络中实现,阻止一个攻击在这个LAN中传播。
看看IT安全趋势,您一定知道许多安全供应商在增加越来越多的安全服务。首先就是安全控制。然后是内容监控和环境监控,以及反病毒和威胁保护。所有供应商只是在堆砌安全服务。趋势是让安全服务部署到最有效实施的网络栈中。
有一些客户说:“我不淘汰自己的安全设备。”您会怎么回复他们?
Hartman:问题在于要利用现有的设备。这正是这个新架构的关键所在。它实际上是一个运行在思科现有硬件平台之上的软件架构。onePK是现有产品的软件固件升级。整个方法的目标是使它能够变得更先进。您最不想做的事情就是让人们丢掉所有设备,然后重要开始。我们将onePK视为一个自然进化。我们现有的下一代防火墙已经在使用onePK。我知道,我们每一种产品的新版本都将越来越多地使用onePK。
ASA-CX防火墙如何使用onePK?
Hartman:在管理方面——能够连接底层网络结构,主要是在管理接口上。
您是否认为思科安全战略还包含了SDN的其他方面?例如,是否在安全性中应用了OpenFlow?
Hartman:是,肯定有。首先,标准支持对于可信度至关重要。这绝不是仅仅关于思科设备或思科产品。如果要让它真正走向正途,那么它必须能够与其他产品实现互操作。它肯定先从OpenFlow开始。我们开发的云支持也肯定与OpenStack密切相关。此外,我们还会用一些新兴安全标准共享不同的环境信息。
这种方法会不会比直接在网络中部署安全设备复杂很多?
Hartman:如果您有一个物理设备,那么最大的优点就是它可以作为一个独立管理的设备。但是,这里有一些欺骗人,因为您实际上并不管理这个设备,而是管理它所有周边组件。许多大型组织可能会部署50个这种独立安全产品,他们必须投入人力管理和控制这些设备。而这个架构的目标就是将这些管理整合并集中在一起。
这是我们在安全策略和管理方面的重要投入。否则,复杂管理会带来风险。为此,我们开发了身份验证服务引擎(Identify Services Engine),这是一个管理不同用户和设备的访问策略的强大产品。
它还与思科Prim和Prime Security Manager整合,这是我们实现的安全产品集合。但是,按照您的观点,在使用分布式架构时,最好在架构之上部署一个管理框架。否则,您会遇到很多问题。您一定不能将这些服务作为独立分散的服务进行管理。您必须将它们作为一个系统。
鉴于思科Prime是另一个业务单元,思科如何实现这种管理?
Hartman:安全是思科整体战略的一个重要组成部分,也是扩展和交付大范围IT解决方案的一个重要组成部分,而不仅仅涉及网络基础架构。所以,我们将继续开发和交付能够适应思科各个产品系列的安全战略。
例如,作为公司CTO,我会与其他部门的CTO协作,当然也包括负责Prime产品的CTO,这样我们就能够实现一致的安全战略。这实际上会激励思科各个业务部门,一起协作完成这个聚和的安全战略。这并不多见。
它受到每一个业务部门的重视,因为所有部门都将安全视为一个重要的竞争手段,无论是数据中心团队、企业网络团队、服务提供商团队还是移动与协同团队都一样。我们确实在思科的各个部门实现核心技术。我的作用是保证我们有一致的安全性,没有分隔。