寫在前面:筆者並非思科員工,只因工作之故接觸思科的產品,興趣使然寫下關於思科在近20年來在資安上的戰略與發展
思科系統(Cisco Systems)是網路通訊界的巨人,在網際網路發展的歷史上是不可抹滅的存在,然而,在資訊安全的領域中,對比其他資安大廠如Fortinet或Palo Alto,本業並非資訊安全起家的思科,是如何布局它的資安產品與戰略呢?
1990年代 - 網際網路的開墾期
在那個手機還不那麼普及,Windows桌面系統才剛開始發展,網際網路還處於56K撥接的年代,當時的資安概念就是用防火牆擋住企業邊界,管制內外互聯的流量,就像是過去的城市會用城牆圍住,在城門會有士兵檢查進出的人員一樣的概念;當時主流的防火牆例如Raptor Systems Eagle Firewall或是Gauntlet Firewall都是Proxy防火牆(註: 防火牆切斷原始連線,完整檢查封包後,再代理原始連線重新發起一個連線),雖然非常安全,但因為切斷連線重新建立的關係,效能就非常低落,隨著90年代後期網際網路流量的快速增長,現今主流的Stateful防火牆就此崛起
思科早在1994年收購了Network Translation的PIX(Private Internet eXchange)產品,就具備了Stateful的概念,具備session table可根據連線狀態動態檢測,這樣的方式使的statful防火牆取得巨大的成功,因為它可以在安全與效能之間取得最佳平衡;思科的這一步棋奠定了日後思科在資安戰略的基礎,在1990年代與Check Point的FireWall-1在市場上各領風騷
在90年代防火牆已然蓬勃發展的時候,AAA(Authentication,Authorization,Accounting)技術相應而生,1993思科已經發表TACACA+協定,但其實還沒有一個獨立的AAA產品,直到90年代中期,思科推出了ACS(Access Control Server),才正式將AAA從協定轉變為產品,提供網路設備登入、授權及使用紀錄的集中管理平台,以及提供使用者基於RADIUS協定或TACACS+協定的身分認證機制
當時AAA是與防火牆並列的資安核心,概念就是內網透過AAA驗證身分,外網透過防火牆管制流量,這個在現在看起來很脆弱的資安機制,在當年可是大家奉為圭臬的最佳實踐呢(笑);在同期,與ACS競爭的產品,例如Novell Directory Services (NDS),與Windows AD的前身Microsoft Windows NT Server,都是身分驗證的主流產品,後兩者已經消失在歷史的洪流中,而ACS經過了10幾年的演進,在2010年升級為全新的ISE產品,至今仍活躍在市場上
2000年代 - 現今資安概念的分水嶺
1994年思科收購的PIX防火牆,是思科收購資安產品的濫觴,但也不代表思科沒有自主開發的資安產品能力(ACS就是思科自行研發的產品),從90年代就可以得知,思科在資安領域的戰略一直都很清晰:自主研發+策略性收購;以策略性收購快速反應市場趨勢,再以收購得來的技術能量,灌注在自身產品的研發上,將原生產品進化再造,推出更符合市場需求的產品
2005年思科推出的ASA(Adaptive Security Appliance)防火牆,就是一個最好的例子,ASA 是思科對 PIX 技術的重大演進,思科在 PIX 的基礎上,對硬體和軟體進行了全面的重新設計,它的設計概念就是一個 多功能的安全平台,也就是現今的UTM(Unified Threat Management)概念
早在2002年,Fortinet的FortiGate防火牆率先提出UTM的概念,可說是UTM的先行者,它將傳統的防火牆功能與 VPN(IPSec/SSL)、SSL 加速、入侵防禦(IDS/IPS)、防毒與網頁過濾等功能整合在一起,這個創新的概念精準地抓到了市場對於簡化資安部署的需求,因此獲得了空前的成功,思科著眼於此,於是在3年後,也改造升級了PIX,於是誕生了ASA,象徵著思科防火牆從「單一功能」轉向「多功能安全設備」的重大戰略轉變
於是,ASA 統一了 PIX 和 VPN 3000 系列的軟硬體平台,成為思科新一代的旗艦資安設備,雖然它的技術根源來自收購而來的PIX,但 後續ASA的出現, 其實是由思科開發並持續演進的成果,這也呼應到前述思科的資安戰略:自主研發+策略性收購的互補,讓思科面對強力競爭對手時,還能夠亦步亦趨地跟上腳步
NEXT
下一篇,我們會繼續談到後起之秀Palo Alto如何影響思科的防火牆戰略;以及進入2010年代後,ACS會如何華麗變身成ISE的故事,敬請期待
