CTO Bret Hartma访谈：思科安全战略

Bret Hartman去年加入思科，担任思科安全技术部门的首席技术官。他目前向安全与管理部门的高级副总裁Chris Young汇报。与Yound类似，Hartman之前是EMC安全部门RSA的一位执行官。这位来自RSA的主管将如何影响思科的安全战略呢?我们为此采访了Bret Hartman。

您担任思科安全CTO的目标是什么?

Brett Hartman：让思科更加重视安全性，并且保证安全性一直处于思科的战略中心。这其中的关键是就是让安全性直接进入网络结构，当您使用这些网络设备时，安全性就植根于思科的细胞之中。我们的战略依赖于思科的其他战略，所以实际上onePK的概念和软件定义网络功能就与安全性密切相关。

有许多供应商宣称安全性属于网络结构的一部分。那么思科的安全战略又有何不同?

Hartman：思科将安全性值入到网络结构中，因为思科产品的大范围部署，我们与其他大多数公司的做法是不同的。因为这都关系到政策的真正执行。您想拥有世界上的最佳安全策略，但这是不可能的，如果能够拦截流量并控制流量流，那么策略就已经不重要了。这关系上如何利用已经部署的大量思科设备。

在某种意义上，它与思科之前提出的安全战略自我防卫网络是一致的，但重点是围绕onePK的新趋势使网络更能实现这个目标。首先，在解决实现安全性时，有两个问题：一是可见性。您必须查看基础架构的运行状态。然后您必须执行这些策略，确定要做什么才能够保护想要保护的东西。

关于思科onePK的API，它就是关于可见性和执行。您可以利用现有的全部路由器、交换机及其他设备，监控比以前更多的内容。然后，您可以将策略应用到这个结构上。

另一种方式是将安全的重点放在设备(主要部署在网络边界的设备)、防火墙和反病毒软件上。问题是，我们面对的安全挑战是分布式安全问题。各种手机连接了云。这是一个极大的分布式系统。只使用一两台设备是绝对无法解决问题的。它已经遍布所有位置。您必须对任意设备、任意位置和任意云服务应用安全策略。我们将它称为任意至任意的问题。当您确实有很多连接时，您该如何在这样复杂的环境上应用策略?您不可能只通过部署一个设备来解决问题。它必须遍布整个结构。这就是我们要实现的目标。

我们利用思科ONE和onePK接口创建一个安全服务平台，它可以跨越整个协议栈;它可以嵌入到路由器和交换机中，也可以在需要时部署为物理设备。它可以部署到虚拟环境、私有云和公共云中。您可以得到相同的安全服务，而不仅仅是一个设备;它将分布到整个协议栈中。

这是否意味着防火墙和IPS等设备将消失?

Hartman：我认为它们将发生变化。许多设备将消失和弃用。有一个例子，如果您想了解入侵防御领域，那么您会一定关注于设备的分析功能，即检测网络内容。您可以在一台有许多x86内核的物理设备上做，非常快速且非常便宜。但是，在执行时，您可以将这些策略应用到现有的路由器和交换机上。这些策略不会应用到一个网络节点上，而是应用到所有位置。您可以在一个企业网络中实现，阻止一个攻击在这个LAN中传播。

看看IT安全趋势，您一定知道许多安全供应商在增加越来越多的安全服务。首先就是安全控制。然后是内容监控和环境监控，以及反病毒和威胁保护。所有供应商只是在堆砌安全服务。趋势是让安全服务部署到最有效实施的网络栈中。

有一些客户说：“我不淘汰自己的安全设备。”您会怎么回复他们?

Hartman：问题在于要利用现有的设备。这正是这个新架构的关键所在。它实际上是一个运行在思科现有硬件平台之上的软件架构。onePK是现有产品的软件固件升级。整个方法的目标是使它能够变得更先进。您最不想做的事情就是让人们丢掉所有设备，然后重要开始。我们将onePK视为一个自然进化。我们现有的下一代防火墙已经在使用onePK。我知道，我们每一种产品的新版本都将越来越多地使用onePK。

ASA-CX防火墙如何使用onePK?

Hartman：在管理方面——能够连接底层网络结构，主要是在管理接口上。

您是否认为思科安全战略还包含了SDN的其他方面?例如，是否在安全性中应用了OpenFlow?

Hartman：是，肯定有。首先，标准支持对于可信度至关重要。这绝不是仅仅关于思科设备或思科产品。如果要让它真正走向正途，那么它必须能够与其他产品实现互操作。它肯定先从OpenFlow开始。我们开发的云支持也肯定与OpenStack密切相关。此外，我们还会用一些新兴安全标准共享不同的环境信息。

这种方法会不会比直接在网络中部署安全设备复杂很多?

Hartman：如果您有一个物理设备，那么最大的优点就是它可以作为一个独立管理的设备。但是，这里有一些欺骗人，因为您实际上并不管理这个设备，而是管理它所有周边组件。许多大型组织可能会部署50个这种独立安全产品，他们必须投入人力管理和控制这些设备。而这个架构的目标就是将这些管理整合并集中在一起。

这是我们在安全策略和管理方面的重要投入。否则，复杂管理会带来风险。为此，我们开发了身份验证服务引擎(Identify Services Engine)，这是一个管理不同用户和设备的访问策略的强大产品。

它还与思科Prim和Prime Security Manager整合，这是我们实现的安全产品集合。但是，按照您的观点，在使用分布式架构时，最好在架构之上部署一个管理框架。否则，您会遇到很多问题。您一定不能将这些服务作为独立分散的服务进行管理。您必须将它们作为一个系统。

鉴于思科Prime是另一个业务单元，思科如何实现这种管理?

Hartman：安全是思科整体战略的一个重要组成部分，也是扩展和交付大范围IT解决方案的一个重要组成部分，而不仅仅涉及网络基础架构。所以，我们将继续开发和交付能够适应思科各个产品系列的安全战略。

例如，作为公司CTO，我会与其他部门的CTO协作，当然也包括负责Prime产品的CTO，这样我们就能够实现一致的安全战略。这实际上会激励思科各个业务部门，一起协作完成这个聚和的安全战略。这并不多见。

它受到每一个业务部门的重视，因为所有部门都将安全视为一个重要的竞争手段，无论是数据中心团队、企业网络团队、服务提供商团队还是移动与协同团队都一样。我们确实在思科的各个部门实现核心技术。我的作用是保证我们有一致的安全性，没有分隔。