摘要：思科大舉收購了安全供應廠商，并正積極致力于將他們的軟件保護集成整合到現有的思科設備，以便能夠打造出更簡單、更安全和更靈活的網絡，思科的安全主管表示說。

“在與我們進行過溝通的企業客戶中，平均每家企業客戶在他們自己的企業網絡中都擁有大約50到60家不同的供應廠商提供安全服務。”思科安全業務的高級副總裁兼總經理David Goeckeler表示說。“從而使得在這個行業中，管理所有這些不同的產品的復雜性大大超出了這些產品所帶來的有效性。”

而為了有效應對并處理這些復雜性，思科正在開發新的安全功能軟件，使其可以被部署在思科公司現有的相關設備上，包括諸如思科ASA防火墻。而通過該公司對于OpenDNS的收購，他們也將提供增加了安全保護的云服務，而不需要升級或添置新的裝備。最近，Goeckeler接受了Network World 網站的高級編輯Tim Greene的專訪，在專訪中詳細介紹了上述收購案所帶來的影響及思科公司不斷演化的其他安全架構的情況。本文是此次專訪的一篇編輯采訪記錄。

思科的廣泛的安全方法是什么?

我們的企業客戶有一系列拼湊的產品。他們很難將這些拼湊的產品整合到一起。因此，我們不斷地思考我們如何才能幫助我們的企業客戶減少復雜性，構建安全開放和可擴展的平臺，推動能見度和自動化的提升，等等這些類型的問題基本上都是為了能夠賦予我們的企業客戶更多的功能，同時降低復雜性。

當您在談到減少復雜性，是因為客戶有一系列拼湊而成的產品時，您所指的是東拼西湊的思科產品或是還包括各種其他供應廠商的產品呢?

一系列拼湊的安全產品。在與我們進行過溝通的企業客戶中，平均每家企業客戶在他們自己的企業網絡中都擁有大約50到60家不同的供應廠商提供安全服務。我甚至還有許多有超過100家不同的供應廠商的企業客戶交談過。而在這個行業中，所發生的情況是管理所有這些不同的產品的復雜性，已經大大超出了這些產品所帶來的有效性。

我們想要為安全市場帶來新的創造性的產品。但是我們需要找到一種新的、我所不具備的方法——每一次我們添加了一款新產品，并不是添加了一個新的盒子到網絡，而是一個單獨的管理。于是，我們通過一個安全架構來解決這個問題。該安全架構產品能夠一起工作，為我們的企業客戶提供一個更有效和更簡單的解決方案。

我們已經花費了約40億美元用于在這一時間內的并購，以加強我們的投資組合，重點關注安全威脅，填補空白，擴大投資組合，基本上是在加快安全架構的打造，以及我們的合作伙伴關系建設。沒有任何安全供應商將只有一款單一的功能。這是一個很大的市場。我們希望建立一個開放的、可擴展的體系架構，并在這一體系架構中推動創新。

在合作伙伴關系建設方面，是讓其他供應廠商的安全裝備能夠更好與思科產品實現集中管理;還是與思科沒有的技術建立合作呢？

二者都包括。我們希望能夠以一種開放和可擴展的方式來構建我們的架構。這方面的一個很好的例子便是我們的身份服務引擎，其為我們的企業客戶提供了很多網絡環境。我們有一款開放的API接口，即所謂的平臺交換網，當他們有一個IP地址時，我們有一個完整的合作伙伴系統，這些合作伙伴基本上可以從我們的身份系統獲得相關的信息，能夠告訴他們用戶是誰;采用了什么設備;以及用戶在哪里。其允許我們的合作伙伴獲得更多關于用戶在網絡上的環境信息，而不是僅僅只是設備信息。

所以，您們正在使得將第三方設備集成到思科網絡成為可能嗎?

很多的整合工作都留給了客戶，他們對此真的很糾結，因為這只是增加了越來越多的產品，意味著越來越多的復雜性，而這種復雜性又恰恰是有效的安全的天敵。我們真的正在積極的推動一款架構的打造，其將使得我們能夠添加更多的功能到該架構，并實際上變得更簡化。

能否舉一個這方面例子呢?

我們有一款基于云的先進的惡意軟件系統，然后我們打算將其整合到我們的整個產品組合。我們有一個連接器連接到基于云的智能系統，我們可以部署在我們的電子郵件網關。而用戶也可以將其部署在網絡網關上;您也可以在防火墻上部署它;您甚至可以將其部署在下一代的IPS。該產品有一個終端版本。有一個Linux版本。基本上有一個ISR邊緣路由器的版本。基本上能夠用于您企業的整個基礎設施。您可以部署一個軟件升級，讓您能夠連接到一款先進的惡意軟件系統。

傳統的供應廠商會希望能夠把一個盒子放在您的電子郵件網關后面，并將其作為一個單獨的元素在您的企業網絡實施管理。而我們則會說：不，企業用戶應該將您已經有的基礎設施升級到一個大系統。這個系統被云綁在一起，有巨大的優勢。當在網絡中發現任何一個攻擊向量的威脅時，云便會知道，然后可以跨每一個攻擊向量實施保護。只需要檢測到一次攻擊向量，就能夠提供無處不在的保護。

我們打造了該架構，然后我們收購了ThreatGRID公司，這給了我們先進的惡意軟件的沙盒功能，我們將其集成整合到了該架構中作為一項功能特征，而不是讓客戶去無處不在的部署這個盒子到他們的企業網絡。這導致了一個先進的惡意軟件系列，我們今天稱為AMP(先進的惡意軟件保護)。

順便說一下，如果您部署了這些箱子，他們互相之間不會通信，所以您會在您企業網絡的一個小角落里發現一些東西，那么您要如何處理呢?在您的企業網絡中，您必須讓員工們去申請相應的政策。所有這一切都是自動的。而對比其它重點產品，我們先進的惡意軟件在有效性方面是它們的兩倍，而成本僅為它們的一半。我想知道如何減少復雜性，在您給出的答案中，會要求企業用戶扔掉多少他們已經有的產品，又有多少已經有的產品能夠實現集成整合呢?

要準確的回答這一問題是很難的，因為安全是一個市場，在該市場上，每家企業都不應該拋棄他們所已經有的一切。我們正在做的是，為所有這些網絡已經存在的產品帶去安全架構。這也他們的用戶所在，也是數據的所在。我上面談到了AMP。您可以在一個ISR路由器上增加一款AMP軟件升級，這是企業園區分支類型最廣泛部署的邊緣路由器。

您還指了哪些其他的收購交易?

距離現在大約五個月前，我們收購了OpenDNS的。如果您看看OpenDNS，從云安全、到純粹的SaaS模式，沒有什么是用戶部署的。哪些可以變得更容易呢?我的意思是企業用戶改變您的DNS地址，指向我們的云服務，您現在有非常有效的安全，是一個世界級的層。全球覆蓋的。無論您是用的是什么設備、什么端口、什么協議都沒有關系，您都將得到覆蓋。

我們也能夠整合 AMP特許到我剛才談到的OpenDNS。現在，在我們的先進的惡意軟件特許經營權方面，我在企業用戶那里所發現的一切都是關乎安全違規、或惡意軟件、以及我不想讓我的用戶去到的IP地址，只是通過一個API到OpenDNS繞過，現在企業客戶已經又了全球范圍內的覆蓋來對抗這一威脅。他們可以通過自動通過一個API和全球覆蓋，瞬時從他們的企業環境中發現一切。

當我們在大約一年半以前收購Sourcefire公司時，我們把ASA防火墻整合到Firepower服務，這使得我們能夠充分利用Sourcefire的整個資產，并將其作為ASA的軟件升級提供給客戶。這是相當令人難以置信的，再次為我們的客戶帶來更多的功能，并降低了復雜度，而不是要求他們把另一個盒子放到防火墻背后，來執行所有的最先進的威脅功能，而只是升級他們已經有的平臺。

如何在這一過程中，最大限度地減少損失呢?

我們可以推動使得網絡像一個執行者的架構，便是我們的TrustSec架構，您可以使用網絡架構來執行管理政策。用戶在網絡上時，您可以分配特定的管理政策，然后網絡架構將實施這一政策，如果某個用戶不應該去到某個網絡的一部分時，實際的交換基礎設施提供支持。這限制了橫向運動。當有人進入您的企業網絡，您想盡快找到他們，但您也要限制他們能去到的地方。