部長好,今天來主要是想要跟部長表示,我們希望可以把臺灣的數位環境一起推動起來,也想要聽聽部長的想法,因為您有談到幾個部分,包含強化數位產業、數位治安、也希望有一些數位公民連結等等,這些主題跟我們都有相當大的關聯。
思科有許多的資源,我們想知道從部長的觀點來看,我們可以怎麼樣來幫忙或者是在全民公民社會當中,做出一些貢獻。
我先開個頭,再請同仁補充。我們現在對有全國個資的 A 級機關,希望能夠在我接下來的任期內,全面推動零信任架構,這個是很大的挑戰。
我們本部跟兩署,並沒有舊的系統,所有的系統剛開始就不分內外網,我們這邊的人都是發筆電,沒有人在用桌機,也在闕資訊長的督導之下,我們也把少數的一些系統,像公文系統,接下來會全部都換成點對點加密。行動自然人憑證不但可以簽章,還可以加密,所以所有的 component 我們都有。
我們解決方法的協助者是 Azure AD,但是跟很多的機關不一樣的是,維然有所謂的四色定理,也就是相鄰層不會用同一個 vendor,像 Azure AD 的相鄰層在零信任架構上,那就是確保手上的安全性,但是端點防護就不會用他的 Intune,左邊的這一層就是 public cloud hosting 的這邊,也就是本地雲不會用 Azure,也就是完全是 AD,但是這兩邊都是別的 vendor,依此類推。
所以,我們整個零信任架構裡面,只要是相鄰層就不會用同個廠商的解決方案,這個有兩個好處,一個是必須走互通的開放標準,所以很多廠商跟我們講說開放標準寫在這邊,但先前沒有用過,因為是整個 stack 賣過去。我們這種做法,是每一層用最適解決方案(best-in-breed),那就必須要 exercise 這個開放標準。
對於你們來講或者是對於任何提供者來講,這個就表示不會很像你必須等一年或者是兩年的 lock-in 結束了才有機會進來,每個部分都可以很容易進來。這是第一個好處。
第二個是可以因地制宜。所有其他的部會或者是地方政府都有 Legacy,但只要他們的這些傳統系統,能夠走這些開放標準,你看我們如果是全部賭在某一家上面,如果這邊的傳統系統跟這邊不同,我們就幫不上忙,但是我們在意的是這種 ZTA 的架構,並不是特定的系統,所以無論傳統系統怎麼樣,我們都可以幫得上忙。這個是第二個好處,也就是多元異質的好處。
但是我不確定你們現在對於 ZTA 在臺灣對於去宣導這種事,或者是把大家儘快導入無密碼(passwordless),或者是假設已經被攻占(assume breach)的這些,你們目前的策略或者是想法是什麼?我們知道那幾家大的公有雲,現在非常喜歡推這個,甚至公有雲落地,他們也很願意,他們也知道 ZTA 對他們有好處,但是我不確定從思科的角度來看怎麼樣。
其實在 2005 年 AWS 開始做這個公有雲,到 2009 年微軟也進入公有雲市場,思科內部有很大的聲音是我們也要做公有雲,那也是個很好的機會。但是公司最後決定不跟我們的夥伴電信公司的 local 雲競爭。
那時候不知道這件事。
是的,所以那時候的想法是,大家可以一起合作;公有雲有公有雲的好處,但是 local 的這些雲也有 local 的優點,我們可以一起思考如何把各個優點結合在一起。
大家談雲,一般認為幾個 vendor 可以幫助,例如 AWS、微軟、Google、IBM 等等,但是你發現排在前五名的是 Cisco,但是 Cisco 常常在雲端調研裡是前五名重要的 vendor,Cisco 沒有公有雲,為何大家對於提到雲端的這件事一直想到 Cisco?因為我們對於連結之外,我們做到了保護,所以在雲端的資源很多人不敢上雲,是因為不知道使用者體驗好不好、是否安全,這其實 Cisco 可以幫忙。
提到零信任的部分,思科在 2012 年的時候,就提出 SDN,我們就說這就有了 ZTA 的概念,為什麼?因為我們通常網路原始設定是允許連接的,可是後來我們就把我們的 SDN 網路變成大的防火牆的概念,必須事先非常清楚瞭解,應用之間需要的 protocol,才允許連接,這是防火牆該做的事,為何放在網路層?因為我們看到網路如果沒有做到保護的話,很多事情其實像 IoT 會沒有人敢連接,所以我們很早就把 ZTA 的精神建立在所有的 network 上,雖然我們沒有把網路的解決方式叫做「ZTA」,但是本身就有這個精神了。
目前大家談了很多的 ZTA,也包括終端以及應用的保護,例如無密碼身分驗證,思科也都有解決方案。
像 FidO?
在全球的 ZTA 架構是五根柱子,在技術中心給的是三大面向,我想使用者驗證、設備驗證,尤其設備驗證,Cisco 已經做了很多年。
所以設備,是我之前有聊過,Meraki 的那些人嗎?
Meraki 是我們很早就 adopt cloud 觀念的平臺,那其實很好玩,一般的網路設備都是 on premise,特別是有些人不太能夠接受雲端。
⋯⋯我知道,看不到的不存在。
但是好玩的是,我們收購了 Meraki 之後,他們的成長驚人;為何我們講「他們」,因為我們思科希望把表現好的組織獨立。
所以 Webex 也是「他們」(笑)?
因為 Meraki 成長非常快。
是孵化成功的意思。
可以地端優先,不是把地端當備援。
因為網路越來越複雜,加了很多資安的功能在裡面,其實真的是很複雜。
所以我們要做的事是很簡單化,幾個按鈕,然後透過一些 AI 分析,所以可以去確認發生什麼事,因為我們會 collect metadata,不會 collect sensitive data,我們也會預測一些情況,當還沒有發生事情問題的時候,像 capacity 有問題的時候,我們就給你很多警告,我們讓你用這樣的技術,可以讓網路維運變得很簡單。
所以剛剛講的裝置驗證,你們的大方向還是往 Meraki 的方向,但如果對地端有信仰的,好比留著以地端為主的這種邏輯,可以這樣講嗎?
是的。而且要做得很簡單,好用。
這並不是機密的(笑)。
現在很多企業所以談的是全球高效率維運,如果使用雲端來控制,變成對他們非常有誘因。
瞭解。就是一個很緩的學習曲線,不是到這邊就全雲端。
像部長剛剛提到 ZTA 的概念或者是架構,你們想要建立一個標準。
等於要讓所有的關鍵基礎設施、重要的政府機關全部都 ZTA 化。
除了產品之外,思科也希望可以對社會做出其它的貢獻。思科在全球與各政府一同推動數位加速計畫,在全球各地現在有 1,400 多個專案,這些專案並不是賣產品,而是我們希望把把思科的專家、資源跟 funding 串聯起來,在多個面向幫助合作的政府單位,比如政府的基礎建設、交通、教育等等。
我們還有看到離岸風機。
還有綠能等等,在各個市場我們都有一些計畫的導入。
思科的這個數位加速計畫,我們在四年前引進臺灣,叫做「Taiwan Digital Acceleration,TDA」,也就是「臺灣數位加速計畫」。這個是一個概念:Cisco 希望在各個領域、各個角落幫助政府做數位轉型,這個數位轉型不只是在單一個領域,內部的也可以,好比像綠能跟教育。
過去我們有 5G 的開放試驗平臺,我們也有跟健康與 AI 相關的計畫,我們未來想要做更多,包括長照,來幫助廣泛的 ESG。
我們還有一個思科網路學院,我很簡單來講,思科網路學院是 25 年前,思科就成立公益性的網路教育推廣,並不是銷售組織,而是一個獨立的部門,在臺灣引進 23 年,有 15 萬多個學生上過這樣的課程,有 100 多位的老師在跟思科老師合作,其中的課程當中,其實很重要的這幾年轉向資安,不管是網路的資安、IoT 的資安、雲的資安,這些基礎的課程,其實也可以幫助從國、高中一路下來的人才培育或者是全民資安的教育,我們很樂意可以提供這樣的教材來作貢獻。
部長剛剛提到零信任開始,也提到很多面向的東西,我簡單跟部長講一下思科可以做的。
零信任是使用習慣的改變,這個是最基本的而已,基礎建設做好了,大家都不用就沒有意義。
像剛剛講到學院,我們接下來年底會有一個資安院,資安院特別要注重的,不是完全做研究,只做四年之內可以轉化成所有人每天都在用的那種研究,所以不是理論性的研究,而是完全實戰性的研究,也包含剛剛特別提到國、高中生,像這些年輕朋友他們只要對資安有興趣,不一定未來當資安的專家,但是素養必須要有,這些如果人才培育上,你們有一些資源的話,不曉得這邊有沒有要補充的⋯⋯
資安的部分,部長講了滿多,之前我執行「亞洲·矽谷」計畫,跟思科團隊有一些認識,之前部長一直講說之後有數位韌性的網絡,除了基礎建設的建置之外,後來談到很多,大家強調資料傳輸的保密性,因此這塊也可以科請教。
而且剛剛提到對地端的信仰,你們也特別提到長照的情況,長照在遠距醫療,其實要純地端是不現實的,因為有大量的影音資料,不可能用貨櫃車載硬碟,這是不現實的。
當然有一些基本的規範,但現在看起來有一個趨勢,可以把資料的儲存把 At-rest encryption 跟運算脫鉤,脫鉤就有很多算法,當然點對點加密是最簡單的,但是現在有所謂的零知識,也就是我可以證明我的事,但不需要透露我的個資,也就是聯邦式的學習,也就是分別來作運算,但實際做 model,並沒有誰把 raw data 放在手裡等等,我不確定這是不是你們的興趣?或只是底層的部分?
像剛剛提到 Webex,不好意思問比較細,因為我知道 Webex 有點對點加密,所以理論上像藥師或者是遠距醫療,不需要擔心在視訊裡面透露的這些東西流向其他人被攔截,但是像這種你們是需要特別打開或者是設定?
Webex 一開始設計時就定位為比較安全的通訊軟體,所以除了點對點的加密之外,甚至 user 在使用這個軟體的行為也可把關。
像描述資料。
還記得有個例子,有人加入後,但是不是應該加入這個會議的人,share 一些不被允許的資料,我們就說登入的時候可以有驗證機制,可以先在 lobby 虛擬會議大廳。
先取得代碼。
允許之後才可以進來,這其實是我們比較創新的一個例子。
所以你們有所謂 ZTA、E2E 的部分,是不是因為這樣的關係,所以你們比較不需要做 data resiliency,那個流向可能是流到別的國家,是這樣嗎?如果跟你開個 Webex,也就是 E2E 跟 ZTA 的 code,那個路由會去別的地方,或者是待在臺灣?
因為其實最近有一些國外訪團來,也聊到這個問題,他們發現其實我們落地並不是我們不信任點對點加密或者是 ZTA,而是真的發生什麼事情,假設海纜斷了,你放外面的話,就算加密也沒有意義了。
地端對我們來講,還是備援上有必要,但我們並不是地端的信仰者,我們並不是要以地端為主,只是如果發生什麼事,當然現在都說要 700 個接衛星的地方,但那並不是支援所有視訊跟衛星頻寬,衛星頻寬還是有限,所以盡可能多的,也就是在那個時候,就像你講的,放在彰濱、中華電信或者是哪裡,可以稍微按一下,就保證那個時候視訊也是通的,即使海纜斷光了,這對我們就比較有幫助。
比如發生大地震的時候,不能斷的東西,即使是人為的地震(笑)。我這個叫做「全災害」的想法,並不是平常信不過加密,就像你剛剛所說的,而是哪裡發生大地震,其他地方還活著,其實一句話就是這樣子,那個場景很容易想像。
另外一個也是很多外商會問到的,像您剛剛提到的財經,那就比長照來講,它的法遵義務更多,因為健康一定是醫療,但是長照不一定是醫療,但是只要是一定資本額以上,上市櫃的金融商都一樣,金管會控制權都相同。
這時候還會另外問一個,實際去管這些基礎建設的,是不是可以要求特定的國籍,而不是任何的國籍都可以來管,你知道我的意思嗎?因為我們在其他的 Public Cloud 那邊,他們現在開始有這一種承諾,當然在前一陣子都是說新加坡,因為在那邊放的人是最多的,現在因為越來越多的要求,他們現在也有個承諾,說他們在國內找合作廠商,國內的這家也不是代理商,而是合作營運商才可以碰主權雲裡面的東西,國內的 operator 就會保證這些人是具有我國國籍。
我大概瞭解你們的 picture,基本上就是按需求來擴張,概念上並不是特別反對或支持這種想法,類似主權雲的想法,就是有客戶需求,那就來做?
對,我想思科在這幾個方面,TDA、網路學院,部長大概也都瞭解,我不曉得部長這邊有沒有要給我們一些建議?
維然有沒有一些想法?
我之前在警察局做監視器系統的時候,那時候思科的東西就用滿多,那時是在做城市級的光纖網路覆蓋,我們等於在路口擺 4、5 個 switch 的,我們拉的光纖覆蓋率比中華電信還要多,為的是是用在路口監控。這在其他地方是完全沒有的,其他地方租用的是中華電信的主幹線路,所以頻寬都很有限,但是如果用 GSN 的 VPN 都很小,在我離開之前,我們的三條幹線都已經達到 10g 以上,還有一條核心主幹線可以到 40G。
舉這個例子是,從政府機關的角度,要做這些基礎建設,要搭很多的 application,其實政府底下的這些光纖,如果都要用中華電信的或者是營運商的,其實成本非常高,我們 10 年前,我不知道是哪一個長官決定頭要洗下去,所以我們光纖真的是自己埋的,我們就是小的營運商,中華電信還會跟我們借光纖,我們都埋到深山去,那邊的監視器都是最高畫質的,中間那時候有一部分主要路由是思科的核心設備,當時放外點很熱,有到 40 度,但是設備都還不錯,沒有壞。
但是如同剛剛所說的管理,那時新的設備上來要怎麼辦,我們有一個備份的機制要送過去,後來還有監控來做一些大規模的流量監控,所以回過頭來的是,政府底下有 GSNVPN,但如果要做一個智慧城市級的應用,像這些基礎建設,老實說從政府的角度來看,掌握能力並不是沒麼密,我想除了新竹市之外,找不到第二個城市是有一個政府自營運的光纖主幹。
所以我們後來要做什麼事?比如要加各種 sensor 都不用錢,我今天要加就加,我要做智慧路燈幾支就幾支,我的路由全部都可以切開,我們跟消防局,還有佈一些災害檢測的,其實是搭在一個主幹上,我不用額外收錢,但是像消防局、環保局,他們要架一些什麼設備,就是在我的平臺上,這些局處都不用額外編錢,錢全部到我這邊,我們來養這個光纖網路,讓大家在上面用,然後我們就切很多路由,愛怎麼設定就可以營運這件事,往智慧城市的方向去走,我覺得可以跟縣市政府討論,因為我們都很想做上面的應用,但是沒有底層,因為光底層這邊就要付出很高的通訊成本時,上面的應用是我們看到一個專案結束就沒了,像什麼實驗場域的專案,那個計畫其實沒有辦法再營運了,因為底層的通訊成本其實很高,從市政府的角度來看是很貴的。
這是我以發展智慧城市的角度出發的分享,真正核心的難點是在這些通訊的成本,一點分享。
我覺得講得非常好。剛剛講的除了資安之外,visibility 也很重要,其實在整個大的網路底下,按不管佈網路的這些點,當某一個環節出問題的時候,是不是可以在第一時間做出決定,這個網路點是指從任何地方連到任何地方,我講的是很大的範圍。
我們最近買了一間公司,他們創立一個想法,為何現在在疫情的情況之下,有很多人是虛實混合工作,對於網路、雲端服務的依賴越來越增加的情況之下,很多人一連上去,不管是剛剛講的視訊會議變慢,不知道是自己家裡或者是某一段自己的網路,又或是別人家的電信,我們有佈很多 sensor,我們可以做很多 SLA 的 monitor,所以我們交岔比對出來之後,就可以算出來是哪一個節點的哪一個街口的速度變慢,這是我們所有解決方式最快的一個,也就是因應如何解決 troubleshooting。
這個是網路層,大家對於思科的認知是網路、資安,我們還有應用層的 visibility,AppDynamics,當你變慢的時候,我不但告訴你是網路問題,我甚至可以告訴你的程式問題,也就是程式哪一行程式有問題。我們剛剛所說的可視性,不能只停留在網路層,如果是資安造成的 slow,也要有 visibility 等等,就是我們剛剛所說的「可視性」,這是客戶的要求,不要只是證明網路沒有問題,而是要告訴我哪一些問題,是資安的問題或者是 application 的問題或者是網路的問題。
我呼應一下,重要的節點會寫一些程式做 SLA 的 check,再做一些分析,是我們自己建起來的,所以才體會到對程式很重要的基礎建設,對程式有非常多的好處,節省非常多的市政成本,甚至有很多應用,因為我們是做很多監視器,像 NVDIA 早期有來,我們有一些現成的 model,他就願意將他的 server 佈在我家,不用佈在荒郊野外,因為隨時都可以拉,走到哪一個節點都可以拉,因此我們那邊就變成很好的實驗場域;那時做很多 AI 相機都會放在我們家,因為我們不出網路的,他們可以做很多 testing,然後要親自人來,才可以拿走,我們發現這樣 work 之後,就覺得程式有這樣很好的基礎建設,其實真的滿不錯,我覺得邁向數位城市、智慧城市滿關鍵的地方。
像這種需求,我知道你們在推 5G 專網,還有 Wifi-6,但是像維然剛剛描述的需求,在哪一些情景之下,你們現在會打算用 5G 配合 Wifi-6?你們剛剛講到臺灣 team,有這部分的量能嗎?
像美國的市場,比如 5G 走比較快,5G 專網的這件事有很多的 push back from enterprise,原因有很多面向,後來我們大概分享幾個原因,也就是我們對於我們的解決方式有一些調整。
第一,5G 是 cellular network,這個對 enterprise 的 IT 來講,相對來說陌生。因此思科在做一件事,像現在在推 5G,可能是製造業,這些東西 AR、VR 的 case 都很棒,像現有的 Wifi 做不到,如果看到但是每一個企業例如製造業,絕大部分已有 Wifi。
如果可以做一件事,也就是整合 Wifi 跟 5G 的管理,可以讓管 5G 的這件事,就變成跟管 Wifi 一樣簡單,其實這件事,我們在美國的 5G 客戶上看到很大的成效,像國防部、有一些學校,基本上海軍陸戰隊很多的 AR、VR 都是採用我思科的 5G 解決方案,很簡單,我們把 5G 當作是 Wifi 的延伸,這樣子客戶去 adopt 5G 的時候,他們的阻力就比較小,因為用的是同樣的東西,他們也比較放心,更重要的是跟剛所講的,要提供 visibility,因為如果今天是黑盒子,其實他們心理還是會有一些想法,如果出事的時候或者怎麼樣的時候,到底發生什麼事,不能老是等電信公司來講是什麼問題。
剛剛提到很重要的一件事,剛剛提到 Zero trust,很重要的是區隔 segmentation,不能保證是不是可以擋在外面,但是一旦進來的時候,確定影響力就是在這邊,不會延伸到其他的地方,保護企業 5G 可以用同樣的策略來去設定,所以我的 wire segment 跟 Wifi 的 5G 是同一套的,這個對 enterprise 來講,他的政策就是一致性,這個對他們來講是有誘因的,而且是很有興趣的,他們也不希望 5G 的這件事是資安的破口。
我先確認一下我聽到的,意思是像維然的那種 case,如果是長途拉光纖的,在現在或者是到明年,你們覺得繼續拉光纖,因為這邊還沒有完全準備好。但是如果有某些測試場域已經有佈 Wifi,不管是 EEAC 或者是 Wifi-6,你的建議是想成 Wifi-6+ 之類的東西;如果他現在下單現在挑 Wifi 的地方轉 5G 看看,你們現在已經準備好,然後這個是用好比像租賃雲市集的東西,這個是有訂價了嗎?或者是 PoC?
現在已經有幾個客戶已經 production 了。
就是在雲市集上下訂單了,共同供應契約可以談了等等?
我們有講說如果兩年之內可以商轉、進共同供應契約,我們會是產業署這邊來投入資源,但是如果你告訴我說要四年或是四年以上,才可以進共同供應契約,大概就是資安院會放一些資源,但可能離產業署就太遠了,當然如果比四年還要久很多,連資安院都沒有。所以二以內、二到四跟四以外是不同的,這樣聽起來是你覺得二年以內就會全面商轉?
瞭解。我們自己一部兩署,其實是部級的沙盒,我們不管要推任何東西,我們一定自己用過,我們絕對不會自己沒有用過的東西去推。主要的原因是,就像剛剛講的是支援開放標準,但是不接起來,維然的「四色定理」每天碰到的事情是,廠商說要支援國際標準,但是沒有要很特定的 condition,而且那一段 path 從來沒有人用過(笑)。
所以剛剛講 ZTA 的部分,特別是網路能見度的部分等等,這當然是你們的強項,這部分我們在很多相鄰層可能也都會用到,所以 pilot 我覺得是沒有問題的,這是一定的,先從我們這邊做。
另外一個,「一般性」的意思是,像行動自然人憑證,我們現在整天拿來簽公文跟登入 FidO,非常順,我們知道不可能只靠我們推,在臺灣用 FidO 的人就沒有幾個人,最主要的原因是沒有跟現有的身分認證機制接上,舉例來說,像 AD,AD 大家都有用,只要 FidO 能跟 AD 接,等於就不是我們來賣了,而是微軟來賣了。
在電子簽章也是一樣的,我們現在用行動自然人憑證做電子簽章,當然只有我們自己認,但是我們的公文廠商不是只賣我們,他們也會賣別人,我們希望把這一段容器化跟 open source 出來,即使不是公文廠商,但是也有多個維護商,專門為了 ZTA 導入這一段身分認證的東西,所以我們會有很多在沙盒實驗出來的東西,因為我們是甲方、也付錢了,希望並不是你們 stack 可以 open source,變成不是一個開發商、多個維護商這樣的生態系,這樣對大家都好,因為如果我們用傳統的那種來做,不要說兩年,十年也沒有辦法推動這個東西,所以我們會策略性挑一些東西容器化。
這個要跟你們的商業模式要談的部分,但是這可能是維然接下來一年優先要做的,闕次這邊的優先順序,主要是要把資安院弄起來,像哪一個便利商店放在布告欄,總有人會問有沒有連網,表示這已經有警示效果了。
像現在的瀏覽器連到沒有 https 的網站,大家也會問說為何沒有加密、瀏覽器不安全的;未來只要問我 8 碼密碼,消費者就會客訴說為何犧牲我們的資安、零信任等等,也就是全面性的,並不是你們自己打電視廣告,而是在你們導入各行各業數位轉型的同時,就埋一些這種 ZTA 並沒有更麻煩、ZTA 的能見度說不定更好、ZTA 不用記密碼的概念上去,像有配合的學院內容等等,這個是很容易跟產業署、資安院合作。如果要對外分享 ZTA 這個題目的話,也可以考慮請闕次,因為闕次是本部的資訊長、資安長。
最後是 5G 租賃式的專網,如果有一些解決方式,我們很鼓勵放到產業署雲市集的資服業媒合平臺,你放上去,國家就幫你出一半,我們吸收 50%的成本,中小企業處要試這些雲端方案的時候,要怎麼 overcome,他覺得砸大錢,也就是吸收一半的成本,他可以隨時 switch,等到最後決定要長租了,那時再來想買,也就是可以不斷適用,這個雲市集的訊息,不管是核心,也就是旁邊的產品線,我覺得都可以考慮。大概是這樣。
謝謝部長。