思科將在下月向其安全管理框架推出核心組件，幫助客戶更有效地創(chuàng)建和管理保護(hù)策略。

具體而言，思科將在其安全云控制平臺(tái)中添加網(wǎng)格策略引擎——該引擎在去年6月的思科Live大會(huì)上首次亮相。這兩款產(chǎn)品結(jié)合使用，可讓客戶定義一次安全意圖，并在整個(gè)企業(yè)中一致地執(zhí)行這一意圖。安全云控制平臺(tái)是控制思科混合網(wǎng)格防火墻組合的主要手段。

思科云安全產(chǎn)品管理總監(jiān)穆拉利·拉蒂納薩米在一篇技術(shù)博客中寫道："傳統(tǒng)的訪問授予方法給網(wǎng)絡(luò)運(yùn)營者造成了很大的開銷：首先需要驗(yàn)證請(qǐng)求是否具有所有正確的規(guī)則，然后確定需要更新哪些防火墻，最后添加規(guī)則，同時(shí)還要不知道現(xiàn)有規(guī)則是否已經(jīng)授予其他某些訪問權(quán)限并進(jìn)行部署。"

"網(wǎng)格策略引擎是安全云控制的一項(xiàng)新功能，重新定義了策略的創(chuàng)建和管理方式。使用網(wǎng)格策略引擎，網(wǎng)絡(luò)運(yùn)營者可以在用戶界面中或通過API表達(dá)訪問意圖（應(yīng)用程序A到應(yīng)用程序B的特定端口和協(xié)議），網(wǎng)格策略引擎負(fù)責(zé)確定哪些設(shè)備應(yīng)該獲得哪些策略，然后進(jìn)行部署。"拉蒂納薩米寫道。

"這種方法使安全團(tuán)隊(duì)能夠登錄安全云控制平臺(tái)，快速了解應(yīng)用程序具有哪些訪問權(quán)限，并確信修改或撤銷該訪問不會(huì)影響其他應(yīng)用程序或產(chǎn)生意外后果。"他指出，"使用基于意圖的方法實(shí)現(xiàn)了真正的網(wǎng)絡(luò)訪問策略生命周期管理——從新應(yīng)用程序部署到最終棄用和撤銷網(wǎng)絡(luò)訪問。"

根據(jù)拉蒂納薩米的說法，一旦組織的網(wǎng)絡(luò)拓?fù)溆成涞桨踩瓶刂破脚_(tái)，并且擁有防火墻、連接和路徑的統(tǒng)一視圖，他們就可以使用網(wǎng)格策略引擎來：

自動(dòng)部署策略：可以在幾分鐘內(nèi)創(chuàng)建和應(yīng)用新的或更新的第3層/第4層策略到適當(dāng)?shù)姆阑饓?。這與傳統(tǒng)流程形成鮮明對(duì)比，傳統(tǒng)流程可能需要數(shù)周的時(shí)間，通常還需要與應(yīng)用程序所有者反復(fù)溝通。

避免完全替換：該引擎通過毫不費(fèi)力地集成新設(shè)備（包括第三方防火墻）來支持混合網(wǎng)格防火墻架構(gòu)，無需對(duì)現(xiàn)有基礎(chǔ)設(shè)施進(jìn)行全面改造，使客戶能夠使用思科防火墻進(jìn)行分段策略，而無需替換所有內(nèi)容。

改進(jìn)分段：通過關(guān)注意圖，該引擎可以消除多達(dá)80%的冗余規(guī)則和35%的對(duì)象，簡(jiǎn)化策略管理，提高適應(yīng)性，增強(qiáng)網(wǎng)絡(luò)分段以防止未授權(quán)訪問。

最終目標(biāo)是用一個(gè)集中式的智能系統(tǒng)取代分散的安全控制臺(tái)，該系統(tǒng)集成并協(xié)調(diào)多個(gè)域中的安全執(zhí)行，思科表示。

在最近關(guān)于混合網(wǎng)格防火墻市場(chǎng)的報(bào)告中，高德納指出，隨著混合環(huán)境的采用，其客戶傾向于選擇同一防火墻供應(yīng)商，并在各環(huán)境中集中管理和可視化防火墻策略，以便簡(jiǎn)化管理和降低運(yùn)營復(fù)雜性。"混合網(wǎng)格防火墻通過硬件、虛擬和專用云防火墻部署類型以及基于云的集中可視化和管理功能來支持這一用例。"高德納寫道。

"混合網(wǎng)格防火墻采用平臺(tái)方法，提供了防火墻網(wǎng)格與集中管理的集成、對(duì)多種部署形式的支持以及來自多個(gè)供應(yīng)商的工具的更好集成。"高德納指出。

"隨著基礎(chǔ)設(shè)施環(huán)境變得更加復(fù)雜和分散，網(wǎng)絡(luò)安全團(tuán)隊(duì)難以有效管理這些環(huán)境，市場(chǎng)將繼續(xù)發(fā)展，以支持傳統(tǒng)和新興防火墻用例，提供跨混合環(huán)境的微分段、集中可視化和控制管理。"高德納寫道。

在其混合網(wǎng)格防火墻魔力象限報(bào)告中，高德納將思科稱為"遠(yuǎn)見者"，指出思科通過多個(gè)產(chǎn)品線提供硬件、虛擬、FWaaS、云原生和容器部署類型，即思科安全防火墻、思科安全訪問、思科多云防御、思科安全工作負(fù)載和思科Hypershield。它通過思科云保護(hù)套件提供混合網(wǎng)格防火墻許可，允許客戶使用不同的防火墻部署類型以及云管理器。

"與直接競(jìng)爭(zhēng)對(duì)手相比，該供應(yīng)商提供多種靈活的防火墻部署類型來支持混合環(huán)境。思科Hypershield為云提供高級(jí)分布式部署。思科是唯一提供基于智能體的微分段的混合網(wǎng)格防火墻供應(yīng)商，該功能通過思科安全工作負(fù)載提供。"高德納指出。

思科的競(jìng)爭(zhēng)對(duì)手包括HPE、Palo Alto、Fortinet、Check Point等，高德納表示。

Q&A

Q1：什么是網(wǎng)格策略引擎，它的主要功能是什么？

A：網(wǎng)格策略引擎是思科安全云控制平臺(tái)的一項(xiàng)新功能，可以幫助網(wǎng)絡(luò)運(yùn)營者更有效地創(chuàng)建和管理保護(hù)策略。用戶只需表達(dá)一次訪問意圖（如應(yīng)用程序A到應(yīng)用程序B的特定端口和協(xié)議），引擎就會(huì)自動(dòng)確定哪些設(shè)備需要哪些策略并進(jìn)行部署，大大簡(jiǎn)化了傳統(tǒng)的繁瑣流程。

Q2：使用網(wǎng)格策略引擎能帶來哪些實(shí)際好處？

A：使用網(wǎng)格策略引擎可以在幾分鐘內(nèi)部署新策略或更新策略，而傳統(tǒng)方式需要數(shù)周；支持混合網(wǎng)格防火墻架構(gòu)無需完全替換現(xiàn)有設(shè)備；可以消除多達(dá)80%的冗余規(guī)則和35%的對(duì)象，大幅簡(jiǎn)化策略管理和網(wǎng)絡(luò)分段。

Q3：思科在混合網(wǎng)格防火墻市場(chǎng)中處于什么地位？

A：高德納在魔力象限報(bào)告中將思科列為"遠(yuǎn)見者"，認(rèn)可其提供硬件、虛擬、云原生等多種靈活部署類型。思科是唯一提供基于智能體微分段功能的混合網(wǎng)格防火墻供應(yīng)商，競(jìng)爭(zhēng)對(duì)手包括HPE、Palo Alto、Fortinet和Check Point等。