Product Launch
影响: Important
置信: 85%
思科将OT安全控制点嵌入交换机ASIC:从可见性到执行的闭环锁定
内容摘要
思科在Cisco Live 2026发布Cyber Vision新功能,将安全策略自动推荐、模拟与执行直接集成到IE3500/IE9300工业交换机的自有ASIC中,并嵌入零信任远程访问。此举将OT安全从独立设备转移到网络基础设施内部,实现从可见性到预防的闭环,但旨在深度锁定用户于Cisco全栈。
核心要点
思科在Cisco Live Americas 2026上宣布了Cyber Vision的重大更新,核心是将OT安全从“可见性”推进到“执行”阶段。新功能包括:
- 自动策略推荐:基于已知资产和流量,自动生成IEC 62443区域/通道的允许/拒绝策略,替代人工起草。
- 模拟模式:在真实流量回放下模拟策略效果,显示哪些流量会被阻断,避免“部署后祈祷”。
- 内嵌执行:策略直接在IE3500、IE3500H和IE9300工业交换机的自有ASIC上以线速运行,无需额外安全设备,声称零延迟税。
- 零信任远程访问:集成到同一交换机,提供基于最小权限、特定时间窗口的资产访问,替代传统VPN或跳板机。
思科强调“own the full stack, from silicon to switch to software”,将Cyber Vision作为标准功能随交换机提供。此举旨在简化OT安全部署,但实质是将安全控制点从独立防火墙/安全网关转移到思科网络硬件内部,形成硬件+软件的双重锁定。
重要性说明
思科此举表面是简化OT安全,实则是通过控制平面转移来合围竞争对手(如Palo Alto Networks、Fortinet、Nozomi Networks)。将策略执行嵌入交换机ASIC,意味着用户必须购买思科交换机才能获得内嵌安全能力,从而锁定网络基础设施采购。
隐性资产锁定:一旦采用Cyber Vision的自动策略推荐和模拟,用户将依赖思科的资产数据库和流量模型。迁移到其他厂商的交换机将导致策略无法移植,因为策略格式与思科ASIC绑定。这剥夺了用户的架构弹性。
工程短板:思科宣称“零延迟税”但未提及尾部延迟影响。在混合关键流量(如安全控制与实时I/O)的OT网络中,线速策略匹配可能引入PFC/ECN瓶颈,尤其在IE9300这类非数据中心级交换机上。此外,远程访问集成到交换机意味着所有远程连接必须经过同一控制平面,一旦交换机控制平面过载,远程访问可能成为单点故障。思科还隐瞒了版本迭代的资产折旧陷阱:未来Cyber Vision功能升级可能需要特定ASIC版本,导致旧交换机无法支持新策略。
PRO 决策建议
【厂商】(竞争对手:Palo Alto Networks、Fortinet、Nozomi Networks)
- Palo Alto Networks:立即攻击思科方案的“单点故障”风险,推广其OT安全方案(如Industrial OT Security)使用独立防火墙+云管理,强调控制平面分离可避免交换机过载导致远程访问中断。
- Fortinet:利用FortiGate与FortiSwitch的集成优势,但强调其方案支持第三方交换机,避免ASIC锁定。发布对比白皮书,展示在混合厂商环境下的策略可移植性。
- Nozomi Networks:突出其Vantage平台与硬件无关的特性,支持多厂商交换机,并强调第三方安全分析能力不受限于特定ASIC。
【企业】(CIO与架构师)
- 立即进行零信任技术审计:要求思科提供策略格式的开放标准证明,确保未来可迁移。测试尾部延迟:在模拟高负载场景(如同时执行策略匹配和远程访问)时,测量IE9300的时延抖动。
- 评估供应商集中度风险:若采用Cyber Vision内嵌方案,需确认远程访问控制平面是否支持冗余(如双交换机热备)。要求思科书面承诺未来5年ASIC兼容性,避免版本锁定。
- 对比独立方案:测试Palo Alto或Fortinet的独立OT安全设备,验证其在混合网络中的部署灵活性。
【投资者】
- 看穿公关辞令:思科此举本质是防御性合围,应对OT安全市场被Palo Alto和Fortinet侵蚀。但内嵌方案可能因锁定客户而短期提升交换机销量,长期则面临客户抵制(如汽车、制药等要求开放架构的行业)。
- 关注Arista、Juniper等网络厂商的OT安全合作动向,若它们推出开放策略接口,思科的锁定策略将失效。
- 警惕思科OT安全业务的毛利率稀释:捆绑销售Cyber Vision可能降低交换机利润,需观察实际定价。
觉得这篇分析有用?
每周收到3-5条AI基础设施关键信号 →
💬 评论 (0)