“从网络的角度来看,云的出现让网络的拓扑结构发生重大变化。”2023年6月7日,思科Cisco Live 2023大会召开,作为企业级网络和安全领域的重要厂商,思科再次明确了其所定义的“思科网络云”的概念和愿景。接受笔者采访的思科大中华区副总裁、售前工程师团队总经理侯胜利认为,在云环境下,企业级用户对于网络的要求正在发生改变:以往,企业拥有一个互联网出口,整体是星型的或者树型的连接模式;但随着云和各种SaaS应用的出现,企业会有多个互联网出口,因此企业级网络的流量、拓扑结构都发生了本质的变化——变成了一个“全连接或者部分全连接的模式”——企业的网络变得更加复杂,所面临的网络安全风险也更高。
思科大中华区副总裁、售前工程师团队总经理侯胜利
而对于企业用户而言,“无论采用有线、无线接入,还是专线、SD-WAN的模式接入;无论企业信息是连接到SaaS服务,还是连接到企业的私有云,用户都希望有统一的、方便的、简捷安全的体验,不会因为不同的业务、不同的应用或者不同的线路,而使客户的使用体验不同。”很显然,对于企业用户而言,简化对网络管理的难度,是企业用户在云环境下对网络最直接的需求之一。
侯胜利强调,“思科的使命之一是简化IT。”因此,思科网络云愿景,不是一个单一的产品,或者单一的解决方案,单一的体系架构,而是一种适用于本地自建模式和云运营模式的集成管理平台。“我们是把局域网、广域网、安全接入,包括SaaS服务,整合在一个统一的平台上进行管理。对于企业用户对于网络的需求,无论是需要内部部署交付,还是云交付,或者是介于两者之间的任何操作,不论哪种使用场景,思科都能随时随地满足IT需求。”
很显然,思科网络云愿景,事实上就是希望能够为企业用户提供一个基于云计算应用的、能够同时解决网络和安全两个关键问题的工具。从而不仅可以帮助企业管理一个多云多域的网络,而且可以在此过程中,保证企业网络的安全性、以及对网络应用的可预测性。
从思科具体执行层面来看,“思科网络云”愿景对内制定了产品进阶路线图,对外则推出了更开放的合作平台。
众所周知,思科今天对于各种网络模式都有相应的管理平台:如基于SaaS服务的Meraki管理平台、针对SD-WAN智能的广域网络管理平台,以及面向园区网的DNAC的控制器等,“思科正在逐步把这些不同的平台整合为一个大的平台。现在,我们已经可以实现在所有的平台上进行单点登录,即可在不同应用之间快速切换的功能,这使得企业对各个不同平台之间的管理,都能基于一个统一的管理和安全策略,管理更加方便。”侯胜利认为,无论企业采用SaaS运营模式还是本地部署管理模式,“思科网络云都能够为客户提供端到端可信的网络:针对不同业务,无论是SaaS服务,或者安全专用通道,还是访问的公有云,或者自己内部的私有云,系统会自动适配相应的安全策略;而对于企业用户在多种不同领域的网络应用,包括传统的IT领域,或者OT、物联网、工业控制网络等跨不同应用的领域,思科也增加了大量的人工智能和机器学习技术,从而让系统能够更快速地提供相应的支持给到企业用户。”
与此同时,面对多云多域需求的企业用户,事实上其底层架构往往很难由单一系统提供商全面覆盖,因此多云多域的统一管理就需要通过一个更开放的、面向多厂商的平台,用以实现企业对自身IT能力更智能的运维。在本次大会上,思科就推出了一个全新的全栈可观察平台(FSO Platform)。
在思科提供的资料中显示,思科FSO平台从下到上一共分为四层:平台层、服务层、业务层和解决方案层,从而为企业用户提供了一个能够从基础的IT物理层到IT能力应用层进行全面管理的IT逻辑架构。在思科的设想中:FSO是一个针对用户现实管理需求、面向众多合作伙伴、支持和融合多厂商技术产品能力的平台型开放架构。通过聚合来自多域的数据——包括应用程序、网络、基础架构、安全、云等企业资源,从而为企业用户提供包括云原生应用的可观察性,以及云应用成本洞察、应用资源优化、安全洞察,真正实现一个覆盖企业全部IT应用的智能运维管理平台,最终简化和优化企业级IT的运营需求。
“思科在FSO平台上联合合作伙伴开发了大量解决方案,可以满足不同客户的不同需求:例如既有思科开发的IT自动化运维架构,也有思科合作伙伴开发的针对金融科技企业的FSO应用。”侯胜利介绍,思科FSO平台本身的“可扩展性”,一方面体现在“跨平台”能力,其能够针对企业的主机、虚机、容器、微服务等各种不同的对象进行管理;另一方面是“开放遥测”:“思科FSO平台能够通过遥测功能满足企业进行远程访问和分析的需求。”
如果说通过技术和产品的融合来降低企业用户应用网络和运维网络资源的难度,是思科简化网络应用的方式,那么引入更多AI技术的能力,则是此次大会思科在安全策略上最大的亮点之一。
“网络安全是攻和防,但是这场博弈,攻方的试错成本更低,因为攻击者只要正确一次就可以,而防御者必须每次都要正确。”卜宪录,思科大中华区副总裁,安全事业部总经理在回答笔者提问时强调,随着AI技术的普世化,事实上网络黑客将有能力对企业进行更精准的画像,能够更准确识别出企业的网络弱点,从而有能力发起更有针对性、定制性的攻击。“从防御的角度,目前我们能做的,是充分利用AI,包括生成式AI里先进的部分,同时去对抗产生的风险和威胁;同时还要结合包括全面采用零信任架构,或者全面提升企业的安全弹性等方式,而不是简单的防御。”
思科大中华区副总裁,安全事业部总经理卜宪录
在卜宪录看来,在安全策略方面,思科正在推动 AI 优先的安全云,并为混合办公提供简捷性和保护。“思科对AI技术的研究和投资已经持续数十年,这对我们来说不是一个新的领域。思科的目标是利用 AI 重新构想工作的未来,使人们能够竭尽所能,更加安全、高效地完成工作,从而带来真正的价值。”
今年5月31日,思科宣布计划收购生成式AI领域的安全公司Armorblox,“对Armorblox的收购加上原来思科在这个领域里的沉淀,我们希望能从根本上改变对基于AI攻击的预测、检测、防御和运维。”卜宪录重点谈到了本次会议上推出的数据中心级防火墙产品AI Powered 4200,“其五项重点功能中的三个功能,都是AI赋能和驱动的最新技术。”
“第一,AI Powered 4200采用加密流量的可视化引擎,能够在不解密的情况下,区别网络恶意流量;第二,下一代防火墙是基于应用层的,AI Powered 4200针对应用层的协议加入了零信任——以上这两项技术都是AI/ML在背后起决定性作用。第三,大家都知道,对于企业用户而言,防火墙策略的生成、变更、维护,往往会消耗企业用户大量的时间,工作任务繁重的同时,其准确度和运维的效率却很低。AI Powered 4200通过AI驱动,能够为企业用户自动生成防火墙应用策略,且进行自动优化,从而降低企业防火墙的运维复杂程度,真正让AI来赋能解决方案。”
另外一个被重点强调的安全产品是“安全接入”解决方案。在卜宪录看来,今天企业用户需要连接网络和应用,需要面对各种不同的方式:有些应用必须用安全专用通道连接,而有些应用直接用零信任的双因素认证才能登录;与此同时,员工、访客、合作伙伴……不同身份也需要遵循不同的规定才能连接应用。“思科的解决方案是:用户只要进入公司连接到网络,思科的安全接入解决方案就可以自动生成所有的决策,帮用户根据自己的身份自动完成匹配,比如:登录互联网应用,思科有云端解决方案提供保护;必须通过安全专用通道的传统应用,系统就会自动匹配安全专用通道;如果是业务相关的甚至涉及企业机密的专用应用,则一定会通过零信任认证……所有这些在后台接入层就可以完成,思科将不同的控制策略现在统一在一个控制面板上,以更简单的方式把所有的策略、所有安全的功能统一集中起来进行管理。对于管理者、IT运维人员来讲,集中策略大大提高了用户使用网络的体验。”卜宪录强调:思科提供的安全云解决方案,目标是在网络和安全相结合点——无论是安全接入、还是数据中心智能防火墙、策略管理,以及运维管理等——思科都能够帮客户一次性解决问题。
“有网络的地方就有思科,安全与网络相遇的地方,就是思科大放异彩的地方。”卜宪录说。
写在最后
网络到今天为止,已经成为一种习以为常的存在,但事实上,对于企业用户而言,其中所涉及到的技术、应用和安全的门槛却并不低。这不仅是因为在网络这个主干上又衍生出了包括物联网、边缘计算、云计算等各种分支,也因为对于企业用户而言,IT技术天然的学科门槛并没有因为技术的民主化而变得更加简单易用。作为从网络发端的厂商,思科在多年来围绕网络技术做了更多层面的技术延展和能力升级,从本次Cisco Live 2023大会的重点发布就可以看出:一方面,基于自身与合作伙伴的能力,思科正在通过技术和产品的整合,降低企业用户应用、维护网络的技术门槛,另一方面,也通过对新兴技术的应用,从内部提高系统的智能化程度,目的依然是降低企业拥有IT复杂性的能力。
专业的事交给专业的人做,这句话说了很多年,但是真正实践起来,也许并不容易。
京公网安备 11010202008829号