在下一代网络来临之际,我们展望着新网络环境下所带来的新应用与新业务,以及随之而来的诸多便利。但也许我们恰恰忽略了,在网络升级,业务多样化的背后,下一代网络所面临的安全压力也是前所未有的。为此,C114记者参与了全球知名网络安全提供商Crossbeam系统公司的新品发布会,并在会后就下一代网络安全问题请教了Crossbeam公司的两位高层,Crossbeam系统公司副总裁/全球市场总监Throop Wilder先生(下图右)以及Crossbeam系统公司中国区总经理杨锐先生(下图左)。
C114:首先,感谢两位抽空接受采访。
产品优势,可扩展性是关键
C114:这次公布的新产品有很多新功能和新改进,如果让您挑选一项您觉得最具吸引力的,最体现价值的功能,你会选择哪项,为什么?
Throop Wilder/杨锐(异口同声):扩展性。
Throop Wilder:我想挑选一个优点是有些困难,因为不同的厂家会有其不同的考虑,但就我个人而言,我觉得就网络产品而言,应该是Crossbeam产品所提供的扩展性。 我们在全球有很多运营商都是我们的客户,像美国、欧洲几大主要运用商,也包括现在中国的运营企业像电信、网通、移动,他们都表示在扩展性方面有很高需求,并且都十分看中Crossbeam所具有的扩展能力。所以,我们的系统能随着他们的业务需求一起成长,这一点是很重要的。
杨锐:确实,这点我们想到一块了。可能对企业用户而言,其网络建成后会有相对时间的稳定性。但运营商则完全不同,运用商的主要业务就是基于IP的服务,其架构一定需要随着业务的增长而不断扩展。可能几个月就需要扩展一次。所以我个人十分赞同这个观点,对运营商用户而言,你的产品是否可以随着运营商业务量的增长而平滑扩展,这点很关键。
Throop Wilder:除了网络本身处理容量的扩展性外,在安全方面,也需要有很强的扩展性。网络安全问题是层出不穷的,有针对性的解决也需要与时俱进、不断扩展。这可能并不是来自网络容量扩展的需求,但一样在应用层面需要扩展。
集众家应用于一身的平台
C114:谈到应用层面的扩展,我们知道应用是多种多样的,威胁也是多种多样的,且不断的会有新应用,新威胁涌现,在这方面,Crossbeam是如何及时开发的,是自己开发,还是寻求合作伙伴开发?
Throop Wilder:非常好的提问,这个提问也是Crossbeam全球公司一直在考虑的。我们注意到安全领域面临的问题一直在改变。如果你完全凭借自己的力量去开发一个应用,你将错过其他新兴的应用。有些厂家会考虑自己一手包办所有的相关业务。所以他们可能面临不能第一时间开发新应用的问题。例如,如果Crossbeam想自己开发防火墙,我们必须具备至少30名专业研发防火墙的人员支持。依此类推,如果加上其他种种应用,我们就需要上千名专职开发人员。所以权衡之后,我们考虑和合作伙伴一起开发相关应用。
杨锐:是,我们公司的做法会和其他公司有所不同。每个公司都希望能独立提供给用户自主的产品。但在安全领域,考虑到安全领域的多样性。我们目前选择采用的是第三方中最好的应用设备。因为目前为止我们还没有看到有同时在几个安全领域做的很到位的公司,因为大家的资源,包括人力资源都是很有限的。现在有些公司提供所谓“ALL IN ONE”的概念。就是针对现在应用中的热点,用最省的方式从其他渠道获得代码,加载在自己设备上,这种简单的集成很大程度上都不能解决实际的问题。这些都只是从概念上混淆了大家的视听。但Crossbeam不同,我们希望能集众家所长,在每个方面都挑选最好的企业作为合作伙伴。提供真正能解决问题的业务。所以Crossbeam可以说是拥有全球最大的安全资源,在每一项都有最好的企业基于我们的平台做开发,他们的工程师从某种程度而言也是我们技术支持的一部分。
Throop Wilder:我们也看到一个很有趣的现象,很多提倡“ALL IN ONE”的企业都出现在低端中小企业市场。因为对于这些企业而言,“ALL IN ONE”所能提供的服务比他们之前享有的服务要好很多了。但这绝对不会在高端市场出现。因为“ALL IN ONE”绝对满足不了高端的需求。另一方面,我们可以看到一个趋势,在今后5年里,所有的中小企业市场会逐步被运营商所提供的针对中小企业的服务所全面取代。
助力运营企业,诠释安全专家
C114:确实,我们看到固网运营商们为了提高他们的收入,正在寻求语音业务之外的新业务,那么为中小企业提供服务也是很重要的组成,在这方面Crossbeam会怎样予以配合?
杨锐:对于这个市场,Crossbeam在全球包括中国都倾注了大量的关注。并且我们已经和中国的运营商,网通、电信采取了积极的合作。这个市场称之为MSSP(manage securety service provide)。我想,当一个企业面对一个威胁的时候,一般有三种态度来应对这个威胁:一、装做不存在。二、自己解决。三、把威胁转给第三方。
之前我们也积极地和客户探讨过类似问题,因为我们觉得客户可能会担心把安全问题外交。但结果恰恰相反,客户觉得就应该让专家去处理专业的问题。而客户只需要在合同中提出各种要求即可。所以,当这样的需求出现时,客户第一个想到的专家就是运营商。这对运营商而言也是很大的商机。尤其是现在固网运营商都在寻求下一个业务增长点。
目前,在几个大的城市和省,运营商正在试用我们的MSSP解决方案。对他们而言,用户很多安全需求都是类似的,如果运营商开拓这个市场,对他们而言可以用很少的投入,不断复制业务,积累相似经验,从而覆盖到很大的市场。逐步建立起其安全专家的地位。
安全流量调度优势
C114:既然MSSP是一个潜在市场,一定会有很多企业会积极投入之中,抢夺市场。Crossbeam如何看待,又有何优势?
Throop Wilder:我想还是要提到扩展性的优势,尤其是在安全增值运营领域。我们发现之前的一些企业不能及时开发一些新应用,有些即使加了也是很勉强的通过增加代码的方式添加,不能独立添加新应用模块,也没有能力扩展系统容量,所以他们很快就垮了。对Crossbeam而言,除了上面这点扩展性优势外,还有一个重要的优势,就是我们可以根据用户实际需求区别化提供不同应用。比如两个用户,A用户需要防火墙加防病毒,B用户需要防火墙加IPS,系统必须区别对待他们之间不同的需求并提供不同支持。这个对运营过程中业务实现是很重要的,同样也是很难实现的。Crossbeam则拥有自己的“安全流量调度”专利,可以做到这一点,甚至可以进一步做到对应用层面的区分,比如对用户的http流量使用防病毒,而email流量不需要。在我们看来至少有20家企业试图进入这个领域,其中不乏大公司,但能做到这点的确没有。
杨锐:对,我想全球范围内除了Crossbeam,没有第二家能做到。因为安全领域的进入门槛还是很高的。另外对于一些中国本土同行,他们可能会专注在他们强的领域。那么没问题,本身Crossbeam的平台就是开放的,我们很欢迎合作,把他们的优势集成到我们的平台上。但从整体架构,安全应用调度,应用协调能力等等方面而言,还没有第二家企业可以和Crossbeam一比高下。
Throop Wilder:是的,刚才忘了提到,Crossbeam在全球很多国家正在申请很多核心技术专利,像安全调度等,而中国是第一个确认这个专利的国家。
平滑过渡的向下兼容
C114:之前所说的兼容包括扩展性方面的兼容都是对未来的兼容,现在我们也注意到运营商很关注对已有网络设备的兼容,这样可以最大化利用他们之前的投入,在这方面Crossbeam有没有想到过?
Throop Wilder:有,主要可以分为二方面,一方面,我们的产品可以大量简化已部署网络的结构。其实企业在部署第二代网络安全的时候,部署的比较多,涉及不同的厂家也较多,如果想增加应用的话,需要改动的地方很多,必须沟通很多团队一起改。如果用Crossbeam的产品的话,只需要一个安全团队的支持就可以了。所以对用户而言可以简化很多工作。另外一方面,对用户已有的一些网络和设备而言,我们可以通过整合已有设备、业务,为客户提供很好的资产保护。比如客户以前购买的一些业务和设备,我们能帮助客户平滑移植到Crossbeam的平台上继续使用。我们有很多类似的例子,用户之前买了防火墙、防病毒应用,当应用越来越多,用户自己觉得网络复杂到他自己难以维护了。这时候Crossbeam可以很好的整合这些应用,并把授权都转过来,基本有三分之一到一半的价值都可以平滑的移植过来。很好的保护了客户的资产。
针对网络上层 应用、数据的保护
C114:下一代网络同时有很多新应用出现,像视频应用、数据库等,针对这些新应用的特质,Crossbeam是怎么予以保护的?
Throop Wilder:这点也是Crossbeam很关注的一点,在安全领域,保护方向涉及传输、协议、应用、内容、数据。以前的防火墙主要针对下面几层,而现在我们开始关注包括上层内容、应用在内的部分,像Web应用防火墙。我们现在已经和合作伙伴一起开发基于应用、基于内容方面的安全解决方案。当然这种针对上层内容的保护,对企业提出的要求也是很大的。例如现在网络60%流量是基于XML应用,这属于第7层的协议,从网络传输层面而言完全是合法的,但到达服务器上一解析内容就出问题了。这就相当于通过信封鉴别信件的安全性,与通过读取内容鉴别信件安全性的区别。当你面临的安全级别领域不断上升时,传统针对传输的保护已经不奏效了,你需要扩展你的安全保护。
杨锐:我们可以用OSI的7层协议来做说明,我们知道七层协议包括:物理层、逻辑、网络、传输、会话、表示、应用。之前基于ISL的安全是在最底下几层,而我们现在所作的安全,像防火墙,都是基于中间网络层的保护,而目前针对应用、数据的保护是缺失的。但究其根本,我们防护的最终目的是为了防护应用、保护数据。举个例子:很多企业都有自己的数据库,又很多企业对数据库的保护相当缺失,以至于当数据库中字段被随意改动后,还无法追究责任人。这就事数据保护缺失的典型案例。而这方面,Crossbeam就可以监控很多操作、并设置分级权限。我们明年会推出针对数据泄漏的产品,加上已有的数据库防护、审计等,这些都是针对应用层、针对数据的保护。
Throop Wilder:是的,所以对于Crossbeam而言,我们可以很自豪地说,对于网络传输过程中所有自下而上的层面,我们都可以用一种解决方案予以全面保护,而不是局限在某一层地防护。这是我们和很多企业本质的不同,也是我们的核心优势之一。
高端安全市场第一
C114:确实如你们所述,Crossbeam涉及到一个很全面的安全防护领域,在这方面,全球市场的情况如何?
Throop Wilder:由于刚才所提到的产品独特性和高技术含量,所以在高端安全领域,我们有很高的市场占有率。我们连续十个季度在IDC统计的高端UTM报告中排名第一,且我们的市场份额占据总体的半壁江山。所以在全球方面,尤其是美国及欧洲市场,几乎所有大型的运营企业都是我们的客户。在亚洲市场,尤其是中国和日本,都是目前Crossbeam很重要的市场。
C114:您刚才说到高端市场,是不是价格方面也是比较高端的呢?
杨锐:是,但这个问题要从整体上来看,除去产品性能的绝对优势之外,我们要考虑到部署整个安全网络的成本。可能我们单台X系列产品的成本会比较高,但网络部署是整体部署的。打个比方我们使用一般的设备可能需要70台,每台10万,但使用Crossbeam的产品每台需要20万,但只需要7台设备。这中间不仅是整体的购买差价,还包括后续维护费用,维护7台和70台成本也是不同的。所以你要从部署的宏观方面考虑,这也是我们一直倡导的能为用户缩减TCO(总体拥有成本)总费用的承诺。另外,从产品本身具有的可靠性而言,也可以大大降低后期的产品维护费用。当然针对低端客户,我们也有C系列产品可以满足单设备客户的需求,并且价格上也很有竞争力。
3G安全防护部署
C114:在整个下一代网络的部署中,还有一个热门领域就是无线3G方面的部署,在3G的新环境下Crossbeam会否有新的表现,具体介绍一下。
杨锐:当网络升级到3G,其面临的安全威胁一定会上升,因为一方面网络上跑的应用多了,另一方面,全IP化的结果就是不单要跑语音,还要跑数据。在很大层面上,应用和数据都需要安全保护。像现在有些运营商已经在推的手机支付,如果没有保护,是很大的安全威胁。在很多应用上,我们已经有客户和实际的运作经验了。这对下一代网络应用很有帮助。
Throop Wilder:是的,我们有一些合作伙伴正在积极参与3G应用方面的准备,在他们的协作下,我们正在部署基于IMS方面的安全以及针对3G网络等基于IP层面的安全防护。这也充分的说明安全领域的变化之快,没有一家企业可以仅凭一己之力,覆盖所有的安全领域。我们会和很多,在3G方面优秀的合作伙伴一起共同开发这个新领域。 在欧美,我们已经和很多3G运营商展开合作,这些经验对我们接下来的发展都是极为重要的。
杨锐:另外我想补充一句,很荣幸,中移动现在在部署TD试验网,其中鼎桥中标的四个城市的防火墙方案就是我们提供的,所以我们已经亲身参与到了其中。这些案例与经验对以后大规模布网具有很重要的示范作用。
