“在与我们进行过沟通的企业客户中，平均每家企业客户在他们自己的企业网络中都拥有大约50到60家不同的供应厂商提供安全服务。”思科安全业务的高级副总裁兼总经理David Goeckeler表示说。“从而使得在这个行业中，管理所有这些不同的产品的复杂性大大超出了这些产品所带来的有效性。”

　　而为了有效应对并处理这些复杂性，思科正在开发新的安全功能软件，使其可以被部署在思科公司现有的相关设备上，包括诸如思科ASA防火墙。而通过该公司对于OpenDNS的收购，他们也将提供增加了安全保护的云服务，而不需要升级或添置新的装备。最近，Goeckeler接受了Network World 网站的高级编辑Tim Greene的专访，在专访中详细介绍了上述收购案所带来的影响及思科公司不断演化的其他安全架构的情况。本文是此次专访的一篇编辑采访记录。

　　思科的广泛的安全方法是什么?

　　我们的企业客户有一系列拼凑的产品。他们很难将这些拼凑的产品整合到一起。因此，我们不断地思考我们如何才能帮助我们的企业客户减少复杂性，构建安全开放和可扩展的平台，推动能见度和自动化的提升，等等这些类型的问题基本上都是为了能够赋予我们的企业客户更多的功能，同时降低复杂性。

　　当您在谈到减少复杂性，是因为客户有一系列拼凑而成的产品时，您所指的是东拼西凑的思科产品或是还包括各种其他供应厂商的产品呢?

　　一系列拼凑的安全产品。在与我们进行过沟通的企业客户中，平均每家企业客户在他们自己的企业网络中都拥有大约50到60家不同的供应厂商提供安全服务。我甚至还有许多有超过100家不同的供应厂商的企业客户交谈过。而在这个行业中，所发生的情况是管理所有这些不同的产品的复杂性，已经大大超出了这些产品所带来的有效性。

　　我们想要为安全市场带来新的创造性的产品。但是我们需要找到一种新的、我所不具备的方法——每一次我们添加了一款新产品，并不是添加了一个新的盒子到网络，而是一个单独的管理。于是，我们通过一个安全架构来解决这个问题。该安全架构产品能够一起工作，为我们的企业客户提供一个更有效和更简单的解决方案。

　　我们已经花费了约40亿美元用于在这一时间内的并购，以加强我们的投资组合，重点关注安全威胁，填补空白，扩大投资组合，基本上是在加快安全架构的打造，以及我们的合作伙伴关系建设。没有任何安全供应商将只有一款单一的功能。这是一个很大的市场。我们希望建立一个开放的、可扩展的体系架构，并在这一体系架构中推动创新。

　　在合作伙伴关系建设方面，是让其他供应厂商的安全装备能够更好与思科产品实现集中管理;还是与思科没有的技术建立合作呢？

　　二者都包括。我们希望能够以一种开放和可扩展的方式来构建我们的架构。这方面的一个很好的例子便是我们的身份服务引擎，其为我们的企业客户提供了很多网络环境。我们有一款开放的API接口，即所谓的平台交换网，当他们有一个IP地址时，我们有一个完整的合作伙伴系统，这些合作伙伴基本上可以从我们的身份系统获得相关的信息，能够告诉他们用户是谁;采用了什么设备;以及用户在哪里。其允许我们的合作伙伴获得更多关于用户在网络上的环境信息，而不是仅仅只是设备信息。

　　所以，您们正在使得将第三方设备集成到思科网络成为可能吗?

　　很多的整合工作都留给了客户，他们对此真的很纠结，因为这只是增加了越来越多的产品，意味着越来越多的复杂性，而这种复杂性又恰恰是有效的安全的天敌。我们真的正在积极的推动一款架构的打造，其将使得我们能够添加更多的功能到该架构，并实际上变得更简化。

　　能否举一个这方面例子呢?

　　我们有一款基于云的先进的恶意软件系统，然后我们打算将其整合到我们的整个产品组合。我们有一个连接器连接到基于云的智能系统，我们可以部署在我们的电子邮件网关。而用户也可以将其部署在网络网关上;您也可以在防火墙上部署它;您甚至可以将其部署在下一代的IPS。该产品有一个终端版本。有一个Linux版本。基本上有一个ISR边缘路由器的版本。基本上能够用于您企业的整个基础设施。您可以部署一个软件升级，让您能够连接到一款先进的恶意软件系统。

　　传统的供应厂商会希望能够把一个盒子放在您的电子邮件网关后面，并将其作为一个单独的元素在您的企业网络实施管理。而我们则会说：不，企业用户应该将您已经有的基础设施升级到一个大系统。这个系统被云绑在一起，有巨大的优势。当在网络中发现任何一个攻击向量的威胁时，云便会知道，然后可以跨每一个攻击向量实施保护。只需要检测到一次攻击向量，就能够提供无处不在的保护。

　　我们打造了该架构，然后我们收购了ThreatGRID公司，这给了我们先进的恶意软件的沙盒功能，我们将其集成整合到了该架构中作为一项功能特征，而不是让客户去无处不在的部署这个盒子到他们的企业网络。这导致了一个先进的恶意软件系列，我们今天称为AMP(先进的恶意软件保护)。

　　顺便说一下，如果您部署了这些箱子，他们互相之间不会通信，所以您会在您企业网络的一个小角落里发现一些东西，那么您要如何处理呢?在您的企业网络中，您必须让员工们去申请相应的政策。所有这一切都是自动的。而对比其它重点产品，我们先进的恶意软件在有效性方面是它们的两倍，而成本仅为它们的一半。我想知道如何减少复杂性，在您给出的答案中，会要求企业用户扔掉多少他们已经有的产品，又有多少已经有的产品能够实现集成整合呢?

　　要准确的回答这一问题是很难的，因为安全是一个市场，在该市场上，每家企业都不应该抛弃他们所已经有的一切。我们正在做的是，为所有这些网络已经存在的产品带去安全架构。这也他们的用户所在，也是数据的所在。我上面谈到了AMP。您可以在一个ISR路由器上增加一款AMP软件升级，这是企业园区分支类型最广泛部署的边缘路由器。

　　您还指了哪些其他的收购交易?

　　距离现在大约五个月前，我们收购了OpenDNS的。如果您看看OpenDNS，从云安全、到纯粹的SaaS模式，没有什么是用户部署的。哪些可以变得更容易呢?我的意思是企业用户改变您的DNS地址，指向我们的云服务，您现在有非常有效的安全，是一个世界级的层。全球覆盖的。无论您是用的是什么设备、什么端口、什么协议都没有关系，您都将得到覆盖。

　　我们也能够整合 AMP特许到我刚才谈到的OpenDNS。现在，在我们的先进的恶意软件特许经营权方面，我在企业用户那里所发现的一切都是关乎安全违规、或恶意软件、以及我不想让我的用户去到的IP地址，只是通过一个API到OpenDNS绕过，现在企业客户已经又了全球范围内的覆盖来对抗这一威胁。他们可以通过自动通过一个API和全球覆盖，瞬时从他们的企业环境中发现一切。

　　当我们在大约一年半以前收购Sourcefire公司时，我们把ASA防火墙整合到Firepower服务，这使得我们能够充分利用Sourcefire的整个资产，并将其作为ASA的软件升级提供给客户。这是相当令人难以置信的，再次为我们的客户带来更多的功能，并降低了复杂度，而不是要求他们把另一个盒子放到防火墙背后，来执行所有的最先进的威胁功能，而只是升级他们已经有的平台。

　　如何在这一过程中，最大限度地减少损失呢?

　　我们可以推动使得网络像一个执行者的架构，便是我们的TrustSec架构，您可以使用网络架构来执行管理政策。用户在网络上时，您可以分配特定的管理政策，然后网络架构将实施这一政策，如果某个用户不应该去到某个网络的一部分时，实际的交换基础设施提供支持。这限制了横向运动。当有人进入您的企业网络，您想尽快找到他们，但您也要限制他们能去到的地方。

　　责任编辑：余芯