思科Cloud Control统一身份视图:网络即身份控制平面
内容摘要
核心要点
思科宣布在Cisco Cloud Control中推出统一身份体验(Identity in Cisco Cloud Control),整合Duo(多因素认证)、Cisco Identity Intelligence (CII)、Cisco Identity Services Engine (ISE)以及支持的第三方厂商来源(如Okta、Entra、Jamf、GitHub Copilot、Snowflake Cortex等)。核心能力包括:
- 统一身份可见性:在一个工作区查看人类与非人类身份(设备、应用、工作负载、AI代理)的状态。
- 增强Trust Score:现在纳入ISE网络访问上下文,将设备信任、身份风险与网络策略关联。
- 操作监控仪表盘:监控分布式ISE Policy Administration Node (PAN)和CII集成健康状态。
- AI Canvas中的身份上下文:利用AI代理引导调查路径,加速响应。
- AI代理可见性:识别并跟踪AI agent、workloads等非人类身份的访问活动。
思科宣称这能消除团队在多个工具之间切换的延迟,实现从身份信号到网络强制执行的闭环(如通过Duo触发step-up认证、通过ISE限制网络访问、撤销会话或隔离设备)。该功能预计2026年6月alpha,下半年GA。
重要性说明
思科此举表面是提升运维效率,实则是通过将身份决策权从独立的IAM平台(如Okta、Azure AD)转移到其网络基础设施(ISE + Cloud Control),实现控制平面转移。核心意图是防御/合围Okta和Azure AD——这两家正在向网络层渗透(如Okta的Workforce Identity与网络设备集成),而思科直接以网络为锚点反制。
隐性锁定:一旦企业采用Cloud Control统一身份视图,其身份策略将深度绑定ISE策略管理节点(PAN)和Duo的强制执行能力。迁移到其他IAM提供商意味着要重构网络策略与身份关联,资产折旧极高。
故意隐瞒的工程短板:
- ISE PAN集中式架构在跨大规模分布式网络(尤其是全球多DC)时存在尾部延迟和单点故障风险,而思科未提及PAN的扩展限制。
- Trust Score依赖思科内部信号(ISE、Duo),对第三方身份提供商(如Okta)的数据整合深度有限,可能导致风险评估偏差。
- AI代理可见性目前依赖有限的数据源(如GitHub Copilot、Snowflake),对自定义AI工作流和开源代理框架(如LangChain)覆盖不足,存在盲区。
PRO 决策建议
【厂商(Okta、Azure AD、Palo Alto Networks)】立即攻击思科ISE PAN的集中式瓶颈,宣传在网络规模场景下其尾部延迟和单点故障风险;同时强调Trust Score对第三方身份数据的整合深度不足,推出与网络解耦的独立身份分析方案(如Okta Identity Engine + 第三方网络策略集成),打破思科的闭环锁定。
【企业CIO/架构师】进行零信任技术审计:要求思科提供ISE PAN的扩展基准测试(支持的最大节点数、时延分布);评估Cloud Control统一视图是否真的支持异构网络(如Arista、Juniper),还是仅优化思科自身设备;要求明确AI代理可见性的数据源完整性和更新频率。避免被网络身份锁定,保留跨平台身份策略的可移植性。
【投资者】看穿思科此举是在防御身份市场被侵蚀,而非创新。短期可能提升思科网络设备粘性,但长期面临Okta、Azure AD与白盒网络阵营(如Arista + 开源身份方案)的联合反制。关注思科ISE和Duo的独立营收增长是否因锁定而加速,若增速低于预期,则表明客户抵制锁定。
觉得这篇分析有用?
每周收到3-5条AI基础设施关键信号 →
💬 评论 (0)