思科正在充实其自我防御网络战略,以确保融合网络的安全。
思科思科为确保融合网络安全而实施了6年之久的自我防御网络战略仍在进行中:收购和内部开发正在推动该战略向前发展,尽管客户在推动思科超越其最初的计划。
思科每年在安全方面投入4亿美元,约占其研发预算总额的10%。公司SDN的目标是将安全集成到聚合数据、语音和视频网络的各个方面,重点关注安全连接、威胁防御、信任和身份管理。
今年6月,思科发布了SDN的最新更新收购铁港系统公司该公司是电子邮件和网络安全产品的私人开发商。思科表示,IronPort引入了SDN 3.0版本(版本1.0涉及思科认识到安全不仅仅是点产品,如防火墙、VPN集中器和入侵检测系统;版本2.0包含了在思科产品中构建这些功能。)
思科计划在2008年上半年将IronPort的SenderBase声誉服务移植到思科自适应安全设备防火墙上。思科还计划将SenderBase移植到其他关键的安全或路由平台上,如集成服务路由器和缓解分析和响应系统。与思科和第三方网络许可控制(NAC)产品的集成也有望。
“如果他们现在能把电子邮件安全、网络安全——基本上所有的安全消息传递技术——纳入其中,他们就有了一个更大的故事,”Current Analysis的企业安全高级分析师夏洛特•邓拉普(Charlotte Dunlap)说。
邓拉普正在密切关注思科如何利用铁港和铁港之间的现有关系Vontu,该软件开发人员分析内容并授权终端用户访问,以防止数据泄漏。
邓拉普说:“我真的很想听听他们泄露数据的故事。安全计算该公司去年收购了CipherTrust。“(铁港没有提供)数据泄漏预防提供商所能提供的深度。”
思科安全营销副总裁Jeff Platon表示,思科打算保持IronPort与Vontu的关系,并利用这一关系将其纳入SDN架构。
Platon说:“我认为这是解决方案的一部分,但我确实看到组合的其他部分也得到了增强,能够参与到更全面的数据泄漏解决方案中。”“这是一个棘手的问题——你不能只依赖一种方法。”
思科早前在2005年5月收购FineGround的交易也符合这一计划。
Platon说,这种精细地面技术已经应用到思科Catalyst 6500开关的控制引擎叶片中。ACE是SDN数据中心安全组件的关键组件,在该组件中,对服务器群的应用程序连接请求进行合法性和出站内容授权检查,并过滤恶意软件。
除了SDN 3.0,思科计划在网络、内容和应用层服务之间建立更大的协作,Platon说。声誉服务也将扩大到包括终端用户,可能是通过普拉东所说的尚未由公共或私营企业创建的全球护照服务。
“你必须有某种方法来确定(某人是谁),而且要有一定的准确性,”普拉东说。“基于用户的声誉是我认为极有可能实现的可能性之一。”
这一点很重要美国太平洋煤气电力公司,正在进行业务转型,建设集中的资源管理中心。PG&E依靠思科来满足桌面到核心的连接、过程和安全需求,局域网/广域网服务主管Paul Nielsen说。
尼尔森说:“我们在这些中心部署了他们的大部分产品,在那里我们可以建立一个自我防御网络。”
尼尔森表示,PG&E在Catalyst 6500 LAN交换机上使用了思科PIX防火墙、清洁接入NAC设备、VPN集中器和防火墙服务模块,以及思科交换机和路由器上“最新最强大”的安全特性。
“这不仅仅是决定你是否有合适的证书或证书;更重要的是我们发现个人电脑上是否有水印,如果这是一个PG&E的人,”尼尔森说。
上周由思科和英特尔可能会有帮助。英特尔通过Cisco认证的“嵌入式信任代理”增强了其vPro处理器技术,该代理为思科客户提供了在不降低IEEE 802.1x网络和思科SDN产品安全性的情况下管理系统的能力。
尼尔森说,PG&E还没有得到思科在这方面的路线图。但SDN目前适合PG&E安装新的思科基础设施的地方。
尼尔森说:“我们有问题的地方是我们的传统系统。”“如果一家公司购买了思科的解决方案,并且买下了所有的部分,那么这个方案就非常有效;但是你必须有所有的部分。你不能在6年或10年前制造的Catalyst 1900开关上做清洁接入NAC;它就是不管用。”
尼尔森指出,这个问题是整个行业的问题,而不是cisco特有的。
客户、分析师愿望清单
PG&E希望看到Cisco将SDN引入虚拟化领域,特别是在入侵检测方面。
尼尔森表示:“这对我们来说意义重大,因为它让我们能够将警报集中在特定于该细分市场的流量上。”“目前,你有很多假警报报告”,因为违反了其他部分。
但就目前而言,IronPort及其消息安全技术是SDN 3.0的基础。Current Analysis分析师邓拉普说,还有很多东西要填。
她说:“我也想知道思科将如何通过除电子邮件安全之外的安全技术来应对威胁——比如ip、行为技术、风险评估。”“他们将如何与之竞争迈克菲,赛门铁克和其他人。”
Phil Hochmuth是Yankee Group的网络安全分析师,他说思科对web2.0、协作和“人的网络”的重视将在带来回报的同时带来额外的风险。
他说:“SDN的下一步是在企业中处理Web 2.0,而不是思科长期以来做得很好的(以网络为中心的)事情。”
普拉东敦促SDN的观察者们保持关注。
他说:“我认为我们还没有完全完成。”“安全问题正在加速,不幸的是,对全球网络的刑事定罪也将加速。我们需要更好的工具来执行策略,更好的工具来理解这是一个可以接受的安全连接请求。”