上周,360 企业安全发布了一款新品 SD-WAN 。360 天境安全称,该 SD-WAN 产品能够以 Security Defined – Wide Area Network 的方式,为多分支机构、数据中心互联、混合云等场景的用户提供广域安全组网方案。这款产品最大的亮点是,在SD-WAN之外,整合SD-SEC(软件定义安全)、SDP(软件定义边界),支持企业自助智能组网,实现安全功能的按需扩展,降低企业网络建设运维成本,简化了IT基础设施的复杂度。
360 企业安全此举是在朝网络基础构架市场下手吗?他们预期收益几何?是否会触动其他传统设备提供商的利益?雷锋网就这些问题进一步与 360 企业安全集团副总裁欧怀谷、360 企业安全集团智能安全网络事业部产品总监张蒙蒙聊了聊。
张蒙蒙:企业现有网络分为两种,一种是新兴的互联网企业是从头搭建一个网络,这种比较容易处理;另外一种是企业已有的传统网络,要从传统网络切换到 SD-WAN 网络里来,已经有自己各种各样的硬件设备。首先,SD-WAN 的 CPE 网关设备可以和这些设备协同工作,并且在实际网络部署当中,像旁挂的模式对现有的企业网络架构影响最小,以这种方式接入进来,同时还能够替企业客户完成组网,完成安全能力的防护。另外,也可以串接在企业现有的网络架构里面,对企业而言,从传统网络到 SD-WAN 网络是一个渐变的过程。可能原来有两条出口,一条出口先切换到 CPE 网关设备上,传统网络和 SD-WAN 网络并存,当满足企业需求之后,可能传统网络的出口就直接全部挪到 CPE 网关设备上来,最终实现从传统网络到 SD-WAN 网络完整的平滑的迁移。
张蒙蒙:这是两种模式,我们也会选择合作伙伴一起共建 POP 点,利用他们的资源。
欧怀谷:如果说关注到发布会,我们有很细节的地方,我们叫 vPOP,我们有 POP,vPOP 是什么概念?vPOP 是和云的厂商共同来构建的接入点,这是一种合作。第二种叫 POP,POP 是基于与运营商合作的方式,通过运营商的数据中心及网络能力为客户搭建虚拟网络。我认为自建是很含糊的词,我们更倾向于它是与合作伙伴合作的方式,360 企业安全为客户提供的是安全组网的托管服务,自建是更庞大,比如从房屋水电、线路,我认为是很狭义的自建。
张蒙蒙:我们现有的网络是基于客户已有的网络把 CPE 网络设备给集成进去,无论是旁挂还是串行在里面也好,是企业自有的网络。后期我们会和一些合作伙伴建设 POP 点的形式,为客户搭建优化的 SD-WAN 虚拟网。在 POP 点之间,无论是运营商的网络也好还是云服务商的网络也好,SLA 的质量达到类专线的效果,端到端的网络打通对客户来讲,客户起始端到 POP 点最后一公里是 Internet,客户的结束端或者总部到 POP 点的最后一公里也是 Internet,中间最广大距离,最远的距离是专线的效果。我们可以为客户提供端到端近似于专线的网络能力。
我们还会对端到端的网络质量,包括 CPE 设备做实时的监控,包括抖动、延迟、丢包率,每一条链路可以细致到每一条隧道上它的 SLA 质量是怎么样,在我们管控平台上还有监控大屏上对它有直观的,可视化的展示,客户看到这些可视化的数据之后,可以通过这些数据来做业务决策,比如说我有很重要的业务,我要跑到MPLS链路,或者低丢包率的链路,整个网络每条链路的带宽利用率是怎么样的,我就可以立刻选择出来,做相应的业务控制。
欧怀谷:关口前移是个思想,我自己做网络安全十几年,举个简单例子,咱们大家用的有苹果电脑,有跑着 Windows 操作系统的电脑,关口前移很形象的比喻,有安全的东西,你装杀毒软件,就像在电脑里贴膏药,打补丁,它是后发后觉的事。360起家,包括像诺顿,赛门铁克,瑞星、金山等等,这是形象比喻,它不是原生考虑的,也就是说微软在设计操作系统时并没有考虑到安全问题,所以才有安全公司如雨后春笋般出现,这是一个形象比喻。随着现代社会进步,我们说关口前移,希望我们在架构网络的时候,已经开始把安全问题考虑进去,这样可以避免我们往后在这个系统里打补丁,临时来做必然就会没有原生做这么可靠。所以现在很多 Windows 电脑里会自带防火墙,甚至会自带防木马、防后门的一些东西。当然这些东西有反垄断法,这个可能需要考虑。我们的思想一直是说在关口前移过程当中,希望客户在开始建设网络时就把安全问题考虑进来,这就是我们关口前移的思想。
欧怀谷:CPE 盒子目前当下全是 360 企业安全自己的能力。因为 360 企业安全集团本质上是一家以软件开发擅长的公司,所以硬件本身我们并不生产。我认为它的生产必须要采购 CPU,CPU 不是我生产的,可能是一个国产化的CPU,也可能是Intel,AMD、ARM的CPU,主板不是我生产制造的,但是我会委托我的上游厂商会生产制造硬件,我们可能会出设计,比方说我们在里面内置一些安全芯片,我们要内置一些高性能的加速芯片,这个是我们可以要求的,因此我们会出一些设计,但生产制造不是我们自己做。在这个基础上,我们在这个里面贴合我们的软件把它灌写进去,从而使盒子从小到大,成为一个设备,交付给我们客户。
欧怀谷:四种,超低端,盒子里有基本的网络能力,可能没有安全能力,很小的安全能力。有中低端,中高端和高端,大概是四个档次。我们可能会从中低端开始考虑在里面植入一些比较优质的或者说相对比较复杂的综合安全能力,但是在最低端首先保障的是网络接入能力,成本会变得低廉。
欧怀谷:不管是大型企业,还是中小企业,只要具备数量较多的总部、分支或者连锁化的特征都是我们的目标客户。当然,这些客户里,大型企业比较多,连锁类的中小企业也比较多。对于那些集中在少数比较固定的地区办公的,因为它没有自己的数据中心,也没有总部、数据中心和各分支间联网的需求,所以不是我们的目标客户群,这是我们的判断。
在我看来,SD-WAN是为了解决互联的问题。不论是企业所谓的上云,还是企业内部数据中心的打通,甚至有些企业现在想把分支机构所有的上网汇聚到一个统一的出口。这样带来一个很大的问题就是说所谓边界的模糊化,边界的模糊化带来一个问题难以管控。另一个问题,我们为了实现互联,很多技术和方案都是采用了广域网,SD-WAN本质的目标是为了降低成本,因为我们走专线相对来讲是比较高昂的代价,SD-WAN可以提供便捷的方式和低成本的方式。必然它就由广域网来承载,过去我们都说在内部可能安全一点,一旦我的网络暴露在广域网上,面临的风险会越来越大。所以我认为 SD-WAN 技术的演进,再把企业内部或者机构的内部已经推向了互联网,它必然就要面临在广域网上所面临的风险一样,会扩大。
从营收的角度,当然是多多益善了,今年对于我们来说是探索年,我们希望到 2020 年,安全 SD-WAN市场能够有一个爆发,这是我们的期望。
欧怀谷:在客户方面,当然我们有很大的优势。我们比较关注几类客户,比方说如果大家关注当下齐向东董事长在北京政协的提案当中提到了一个很大的方案,能不能把高校整合起来,把一些相对没有那么强技术实力的高校,你如果自己解决安全问题,还不如汇集起来解决安全问题,在教育方面,我们很想给他们提供解决方案,这是我想谈的第一个类型的客户。第二各类型的客户叫头部的部委,刚才提到的包括财政部、水利部,中国人民银行等部委级的客户是很典型的,有总分结构的中国政府的客户,这方面的积累我们是比较深的。
他们对广域网方案,最大的一种是所谓的集中上网的管理会比较多一些,这是我们的客户方向,坦白讲他们还在构建其他的一些方案,至少在我来讲是有机会引导的。
欧怀谷:我认为是有这个机会,但是目前当下我认为它还不是最大的机会。另外我们也提到了像中石化,中石油,包括中电建等大型央企,这也是很典型的,它的产业链很庞大,它有海外的包括勘探,海外挖矿的,挖石油的这些客户,他们需要一个结合。我们在发布会上也提到,像中石化他们虽然自己已经开始在做一部分,这部分的客户,有一部分还没有做大,我们希望这部分客户会是我们很好的客户的基础。
我们也可以看到一些,比方说像京东、顺丰、中通等等快递公司,有自己物流的物流业这些企业,有非常强烈的需求,我们也接触过。我们也可以看到大型的商超、快捷酒店他们的门店非常多,这些都是我们认为潜在的客户,你说它是大型的吗,它是大型,它很庞大,人工十几万,几万,分得很散,它需要这样的组网能力,比如我在快捷店点了餐,我的账单,我的收款,他事实上需要通过加密通道传送到他的总部,他是一个数据通道等。
我们认为在这方面我们的积累,刚才提到很多是我们的客户,我们认为这是我们主要客户群体。另外一块是很长远的客户,我们渠道还在逐步发力,所以我们期望把我们渠道的力量也能够发挥出来,因此一部分是依托我们自己去做客户,一方面也期望渠道能够做得很好。
欧怀谷:我们期望看到整个生态能够更加健康。或者说以数通厂商为代表,当然我们不能完全否认它的安全能力,但是我相信我们的安全能力更加专业。但是在 IT 基础设施方面的提供方面,我们显然不是以此起家。所以,我认为当我们看到这两者的结合,可以更加信任地认为这是一种新兴的机会,可以看到很多数通的厂商他们也同样地会提供安全的解决方案。巨头如思科、华为,他们都提供。以网络安全出身的公司进入这一领域是一种融合。所以,并不是说我们想去切这个市场,而是融合化必然催生新的市场,我们在新的市场过程当中,能够占据一定的位置。
欧怀谷:从我们角度来说,360企业安全集团是一家专业的网络安全公司,我们看到 SD-WAN 相对比较新鲜的事物出现在我们视线范围之内。SD-WAN出现的同时,必然会面临一些安全问题,因为在 IT 架构中,SD-WAN 本身这个产品架构在广域网之上,SD-WAN 的出现是因为要把企业或者机构的内部打通。打通过程中,SD-WAN 是在广域网上承载的,而广域网都是由网络运营商提供基础的设施,安全的服务或者安全能力本身并不必然包含在广域网范围内,当我们的企业内网或者机构的内网延伸或模糊化之后,它必然会带来一些网络安全的问题或者面临一些网络安全的风险,这也是我们因此看到的商业机会。我们严格意义上并不是说我们想切入所谓的基础设施的建设,而是因为我们看到了 SD-WAN 面临的安全风险,而我们又是一家专业的网络安全公司,这是我们看到的机会。
欧怀谷:我们认为也有竞争,也有合作,这是肯定的。
欧怀谷:我们整个生态是开放的,与原有的设备厂商是什么关系?本质上讲,在这个过程中是交给客户选择,你愿意替换,我可以提供给你替换的解决方案,你愿意融合,我给你一个融合的解决方案。我们在后面问题中也想回答。未来,我们这个平台提供了北向接口。北向接口意味着我可以接受别人的指令,平台也可以提供内生的或者叫南向接口,我们可以融合更多的网络设备,包括安全设备,甚至包括管理设备,我们期望打造这么一个解决方案。我认为肯定会有竞争,这时由客户来选择。我们想拿到更大的份额,但是我们并不排斥合作。
比如,我们不提供路由器和交换机。为了建成 SD-WAN 基本网络,我不提供所有宽带接入的基础设施,你所有的路由和交换机都是由我提供的,你说为了达成这个解决方案,需要购买路由器和交换机,是由我提供吗?NO,这是很简单的逻辑。我们提供的是安全 SD-WAN 的能力,我跟网络设备厂商是一种合作关系。这是一种松度耦合,家里要上网或者企业要上网必然要交换机和路由器。在未来可以设想的范围内,期望大家可以合作,比如接口、协议能够互相通讯。
当然,我们前面会做一些铺垫工作,如果没有这些合作,很显然生态建不起来。比如要上云,必然要跟云厂商对接,如果他不提供这个接口给我,我怎么跟他对接,这是客户需要的,因此包括云厂商、基础通讯厂商、运营商都在这个环节中能共赢。
关注雷锋网旗下微信公众号“宅客频道”,可以了解更多安全公司的一手动态与深度访谈。
雷锋网原创文章。