在前一篇文章中,我們追溯到1990年代,從那個網路蠻荒的時代一路看著思科資安的戰略與產品演進,這一篇,我們將從2010年代開始講起,思科在現代資安概念快速演進的時期,如何跟上資安的大趨勢
2010年代 - NGFW與它們的產地
2008年金融海嘯前一年,一款防火牆的誕生在資安界就掀起一波海嘯,它就是Palo Alto PA-4000,生產它的Palo Alto Networks後來成為思科在資安領域的強勁敵手,之後有機會再專門寫一篇關於Palo Alto的故事
為什麼PA-4000會在資安界,尤其是防火牆領域掀起巨大波瀾呢?因為它正是NGFW(Next-Generation Firewall)的先行者,一款不僅是根據IP位址與埠號(Port number)的stateful防火牆,更是能因應web 2.0趨勢,將應用程式管控思維帶入防火牆設計的產品:將APP-ID與User-ID概念導入,從L7*(註: OSI模型的應用程式層)與使用者身分的視角來控管流量,將使用者身分、應用程式與防火牆策略掛勾,讓防火牆能夠真正知道「誰」在使用哪個「應用程式」,而非單純地依賴IP位址與埠號作管控
這個革命性的概念,直接挑戰傳統防火牆設計的思維,在推出的當時並沒有幾家廠商可以跟上這樣的設計,當然也包括思科在內,而在幾年後的2013年,一款名為Firepower,由Sourcefire開發的防火牆卻獲得思科的青睞,被思科以27億美金收購,這款防火牆究竟有何特殊之處,讓思科甘願花大錢收購開發它的公司呢?
Sourcefire何許人也?它就是鼎鼎大名的開源入侵偵測系統(IDS): Snort的研發公司,它將Snort核心的IDS引擎,放入了防火牆中,開發出它們的NGFW:Firepower,與Palo Alto的NGFW不同的地方是,PA的概念是將應用程式與身分管控可視化;而Firepower的概念則是從威脅偵測的角度出發,結合IPS與傳統防火牆的新世代防火牆,也定義了現今的NGFW
NGFW=Firewall+IPS
思科著眼於此,將Firepower納入旗下的防火牆產品之一,經過了一段與ASA並行的時光,最終將ASA與Firepower整合,解決了產品多頭馬車的問題,以Firepower Management Center(FMC)作為統一管理介面;同時整合了作業系統,統一採用Firepower Threat Defense(FTD),簡化了多重產品的操作、部署與管理的複雜性,這也是思科在防火牆產品上一次重大的轉型,跟上了NGFW的趨勢,這次收購也是思科在資安戰略上的成功案例之一
2010年代 - 身分認證的大躍進
還記得前一篇提到1990年代思科推出的ACS平台嗎?經過了10幾年,思科意識到ACS作為一個單純的AAA平台,在產品戰略上難以有進化的空間,也無法與思科其他的資安產品相互整合,但在當時,思科看到了一個機會:NAC(註:網路接取控管,Network Access Control)市場的蓬勃發展讓思科重新思考,能不能利用自家豐富的網路基礎建設生態系發展出一個超越NAC產品的生態系統?
當時的NAC通常是獨立的產品,透過安裝agent在端點或是agentless的模式,來管理設備接入企業內網的行為,但由於這些產品通常與既有的網路基礎建設不是同一供應商,因此需要與現行網路整合,大大提高了部署的複雜性
有鑑於此,思科針對這個痛點,提出了由網路設備做為控管執行點的觀念,也就是說,既有投資的網路設備不僅可以提供本來就具有的功能,還可以提升價值,進而將整個生態系融入到企業網路內,但要實現這個觀念,還需要最重要的一個角色:
一個統一管理的中央策略引擎
而ISE,就是補上這個戰略架構的最後一塊拼圖
ISE (Identity Services Engine)是思科在2010年推出,取代ACS的產品,其核心理念在於:
- 以中央策略引擎取代傳統點對點的概念: 相較於ACS只是單純的AAA平台,只能針對各別使用者接取網路或登入設備時提供身分認證、授權與稽核紀錄,缺乏全面性的視角;而ISE的核心概念就是擔任網路安全政策的「大腦」,能夠與思科的switch,router,firewall,WLC(無線網路控制器)...等產品協同運作,將這些思科的產品做為其政策的執行點,也就是說,即使不在端點安裝agent,思科也可以輕易地在網路設備上做接入管理
- 整合的政策平台:前面提到ACS的限制是缺乏對網路全局的視角,而ISE則完整地解決這個問題:將訪客管理,BYOD流程,設備合規性檢查與基於身分的存取控制整合在一個統一的平台上,搭配可視性的儀表板,將傳統的身分認證平台,昇華成能夠與整合生態系協同運作,統一資安政策的中控平台
作為思科劃時代的戰略性產品,在2010年代,ISE的戰略價值還沒辦法完整呈現,多數企業仍然把ISE當成ACS來使用,但ISE帶來的革新觀念,奠定了思科在2020年代零信任網路的基石,當時創新性的架構,現在看起來,無疑是先知般的存在,也因為有了ISE,思科在未來的TrustSec、SGT、Catalyst Center...等技術或產品,才能真正地整合成完整的思科資安生態系,下一篇中,我們將從零信任開始談起,串起APT,將思科對應多層次攻擊的防禦戰略作一個完整闡述
