深度解析：聊聊思科的安全平台战略

思科安全业务高级副总裁Raj Chopra介绍了该公司的安全平台战略，以及如何将多种产品整合至单一平台之内。

2022年6月推出的思科安全云（Cisco Security Cloud）对思科来说无疑是一大重要转折，通过将旗下各安全产品划归单一平台，这位网络巨头开始将以产品为中心的运营模式全面转向平台业务。

这项多年战略旨在打破产品孤岛，为客户提供更加通用的设计系统，借此降低思科安全产品及其他安全厂商产品之间的对接门槛。

最近几年来，思科公司还专注加强AI能力，希望借助这项新兴技术改善安全分析师、IT管理员、开发人员和用户群体的工作体验。

最近在新加坡思科安全峰会期间接受的采访中，思科安全高级副总裁总裁兼首席产品官Raj Chopra介绍了该公司的安全平台战略、如何将多种产品整合至单一平台之内，以及此举对于公司业务的深远影响。

能不能介绍一下您在思科负责的具体工作？

Chopra: 我们在安全领域掌握着极具份量的投资组合，而我自己的工作则分为三个方面。其一是从战略角度决定值得探索的领域，其二则是建立起能够立即为客户创造价值的产品。

传统上，我们安全产品组合中的各项元素分别运行在不同的孤岛当中。每位总经理都在努力优化自己管理的产品，但客户更希望思科产品间能够协同运作。也就是说，我们需要保证思科的交付和执行工作顺畅协调，以便产出真正满足客户需求、而非迎合个别经理判断的合适产品。

第三点，就是确保思科能雇用到最优秀的人才。有了优秀的人才方可打造出优秀的产品，优秀的产品则能成就优秀的企业。这就是战略的核心意义。也有些管理者每天脸色铁青，反复强调手底下没有得力的人才——但很明显，这丝毫解决不了问题。

市场已经感受到这波以思科安全云为载体的发展战略正在发挥作用，特别是将原本分散的产品汇聚在统一的平台之内。这还是一套开放平台，能够顺畅对接其他厂商的安全产品。那能不能聊聊思科平台战略、特别是让多种产品间协同起效到底需要哪些准备？是不是还产生了额外的工作量？

Chopra: 没问题，我会具体做说明。我们首先聊聊思科为什么要通过统一平台提供更具包容性的使用体验。在与客户的交流中，我们发现孤岛形式的思科产品组合不可能得到市场的广泛接纳。单纯使用微软或思科产品的客户其实很少，大部分客户都在同时使用多家厂商提供的多种产品。

如果我们仍然坚持端到端纯思科方案的旧思路，那产品也许在演示中会非常精彩，但在实际应用中绝不可能那么完美。我们必须包容外部技术成果，因为客户需要的是更好的功能体验，而非单一厂商的个人秀。我们需要立足内部提供指导，帮助人们理解为什么会出现某些意外情况。而且我还发现了一个有趣的现象，虽然思科内部一直在讨论这种更统一、更开放的运营思路，但客户们却很难相信这样的战略会出自思科之口。

 “如果我们仍然坚持端到端纯思科方案的旧思路，那产品也许在演示中会非常精彩，但在实际应用中绝不可能那么完美。我们必须包容外部技术成果，因为客户需要的是更好的功能体验，而非单一厂商的个人秀。”

——Raj Chopra, 思科安全业务高级副总裁

战略本身就是这么简单，真正复杂的是执行。因为多数传统产品已经拥有一定历史，所以拿不出功能齐全、扩展良好的API（应用程序编程接口）。但相比之下，安全产品组合中的大部分方案都拥有高质量的API，这也是当今软件开发领域的通用语言。虽然把这么多API整合起来也需要费点工夫，但并不构成战略推动中的主要障碍。

另外还有几个重要问题，首先就是指定所谓通用服务。其实不同的产品之间总有一些相通的服务定位，比如通过适当的日志记录与数据后端来配置访问权限等，我们就把这些提取起来转化为通用服务。

另外还需要把系统设计统一起来。大家应该都用过谷歌Gmail，它的使用感受就跟Slides非常相似，一看就是共同设计的产物。为了让客户获得和谐的套件交互体验，打造这样的通用设计系统非常重要。这样当大家从防火墙管理控制台转向XDR（扩展检测与响应）时，就会看到菜单、外观和使用感受都高度一致的设计成果。所以除了通用服务之外，通用设计也是需要投入精力的工作。

而在降低客户上手难度方面，我在出任安全业务副总裁时思科已经拥有27款产品，之后我们又收购来5款产品。我们决定将这么多产品划分为三大套件，再加上作为执行层的防火墙，共同建立起通用服务与API基础之上，确保它们能够协同起效并彼此分享信息。

现在平台已经构建完成，您打算如何将其推向市场？最典型的客户切入点是什么？您的客户已经在使用这些服务了吗？这套平台有没有为思科吸引到新客户？

Chopra: 总的来说，我们的第一步就是引导安全销售团队以新平台的徽标为切入点。毕竟很多客户非常熟悉思科，但不太熟悉思科安全。而且思科目前已经拥有120万家客户，想要进一步扩大受众规模也着实不易。

更重要的是，对于前面提到的三大套件，其各自提供相应的入门级产品。在用户保护套件中，核心入门产品就是安全访问，毕竟人人都需要零信任或者类似的访问保障机制来实现无缝体验。

比如说在开放应用程序访问时，客户该如何引入身份和设备情报？又该如何添加额外的安全服务，例如远程浏览器隔离或者数据丢失防护？所有这些都从第一个用例开始，即提供安全且值得依赖的访问体验。

同样的，我们也有云保护和违规防护套件的入门方案。在云保护方面，入门级产品就是多云防御。时至今日，人们要么已经在使用云、要么身在云中而不自知，但他们通通需要安全技术的帮助。不少客户指望着照搬之前部署在本地的内容，但很多本地构建在云端根本发挥不了作用。

举例来说，有些人仍在云端使用虚拟防火墙来提供从云应用到本地应用的访问通道。但请注意，哪怕是下一代防火墙，也仍然是以IP地址为核心进行安全管控。但谁能弄清Lambda无服务器函数的IP地址是多少？没人知道，因为这类IP地址从创建到丢弃可能只延续短短五分钟。

我们发现，有71%的工作负载持续时间不足五分钟。而虚拟防火墙的IP地址范围非常宽松，实际上会跨越整个子网，云端应用程序完全可以访问本地客户数据库，从而将其VPC（虚拟私有云）接入所有子网节点。也就是说，单凭防火墙根本不足以保障安全。

借助多云防御，用户可以将范围缩小到仅需要从无服务器函数处调用的API，并在返回结果时检查数据丢失和安全状况。

我们还为各个套件制定了不同的价格。整个定价机制不是那种硬性的按需计费，比如开启这项功能就支付50美分，开启那项功能就支付2美元。因为我们发现用户越是想要省钱，就越容易做出不符合优化原则的决定。每个人都有心理预算，有时候如果超出了预期，他们可能会放弃使用。但这一点在安全问题上行不通，保护应当是硬性执行的，人们必须承受一定的压力来换取更好的安全结果，这里不应该存在讨价还价的空间。

您同时扮演着多种职能角色，比如说IT管理员、安全运营中心（SOC）分析师还有DevSecOps负责人。这么多身份会影响您的设计选择和决策倾向吗？

Chopra: 除了你提到的角色之外，我其实还有另一重身份——用户。这也是个非常重要的角色，因为现在的市场需求早已发生重大变化，我们再也不能牺牲便利性来换取安全了。我们也付出了巨大努力来确保用户体验的顺畅无缝，且尽量避免在非必要时打扰到用户。

至于IT管理员这个身份，主要关注两个问题。除了为用户提供通用的设计体验之外，我还需要帮助他们通过几下单击这样的简单操作来访问最常用的功能。我们把用户的大部分操作整理成一份影响矩阵，借助这份清单来了解管理员们执行某项操作的频率和顺畅程度。毕竟如果某种操作每天都需要进行很多次，那执行过程肯定是越简单越好。

对于DevSecOps团队来说，我认为其中安全这个部分更多以审计为中心，而不是把精力耗费在其他工作上。我们现在所做的DevOps工作主要集中在CI/CD（持续集成/持续交付）管道上，而之前则更多关注SBOM（软件物料清单）。开发人员的工作流程则全部由API驱动，我们已经将其中大部分整合进Jira当中，以便用户可以跟踪并查看哪部分代码需要接受检查。

 “每个人都有心理预算，有时候如果超出了预期，他们可能会放弃使用。但这一点在安全问题上行不通，保护应当是硬性执行的，人们必须承受一定的压力来换取更好的安全结果，这里不应该存在讨价还价的空间。”

——Raj Chopra, 思科安全业务高级副总裁

在安全运营中心这边，除了进行大量检测之外，我们还引入了生成式AI技术。比如当有事件发生时，必须确保事件分析者和事件处理者是同一个人。这样我们才能保证对方顺畅完成自己的工作，而不是每五分钟就发过去一条更新消息。这就是生成式AI的价值所在，它将总结当前发生的一切，帮助负责人高效完成手头的任务，而不致被没完没了的更新内容彻底淹没。目前这项工作还没有彻底完成，但我们将逐步推出更多辅助选项，帮助用户轻松获取安全相关信息。

这跟我们为IT管理员们准备的方案类似。除了故障排查之外，管理员们还需要耗费大量时间制定并修订策略。我们为此构建了一款专门面向防火墙策略的AI助手，大家可以借此与防火墙直接对话，这位助手则会礼貌加以回应。例如，如果你想向某人授予访问Thunderstorm项目的权限，则防火墙不会列出磁盘加密、访问位置之类的具体选项，而是陈述一遍适用于该产品访问授权的现有策略，并将此人添加至相关工作组中。有效期可能是未来6周，也可以是你所指定的其他时长，到期后权限将被撤销。在确认无误之后，AI助手会开具一份工单并发出以待批准。最终审核端仍然由人类员工把控，以确保整个过程既高效流畅又安全可靠。

我们在2023年11月感恩节之前发布了这项功能的beta版本，然而到12月底计划关闭时，客户们纷纷发来电子邮件，希望能继续使用。在体验过beta版的77家客户中，AI助手提出的政策和建议得到了97%的用户满意率，远远超出我们最初预期的50%。

思科掌握着大量遥测数据，那您在使用哪些类型的数据训练自己的AI模型？

Chopra: 我们确实掌握着大量数据，这既是宝贵的资源、也是种沉重的负担。打开思科官方网站，我们在负责任AI框架中列出了六大基本原则——透明、公平、问责、隐私、安全和可靠。从某种角度来讲，我们其实是在刻意放慢技术开发节奏，但这正是负责任态度的体现。

我觉得思科在速度和责任之间找到了适当的平衡点，这里我举几个例子。如今，Webex运行着数十亿分钟的会议，并将内容翻译成120种语言。我们使用的很多训练数据是合成数据，而非客户的真实数据。另外，我之前提到的防火墙AI功能也不涉及客户数据，它使用的训练数据主要是各种配置脚本。

对于安全运营中心，最大的信息库来自Talos——他们拥有一套极为庞大的事件响应数据库。其中不包含任何个人身份信息，也不涉及用户的具体归属地。我们掌握着不同的数据源，也会采取不同程度的脱敏措施。总而言之，我始终要求技术团队遵循负责任的AI原则，也欢迎大家对思科的工作进行监督。

既然思科通过出色的执行力逐个解决了过往的挑战，那相信业务增长也应该能够超过市场的平均水平。您觉得思科距离实际获取回报还有多长时间？

Chopra: 我聊的主要是一些市场领先的指标，但思科在某些方面其实也存在落后。但无论如何，哪怕是抛开我的个人身份，我也能强烈感受到思科强劲的技术实力和光明的业务前景。

据我了解，思科的某些产品有着当前安全领域独一无二的特性。我认为这种特性分两个方面，其一是日常执行、可供客户验证等优势；其二是我们为销售、合作伙伴和用户社区注入信心的强大实力。我们正努力把这些分散的优势集中起来，也对此抱有极高的期望。我暂时没法向你保证什么时候才能看到回报，但我对思科的能力和现有成果的丰富储备绝对是信心满满。