有一些客户说：“我不淘汰自己的安全设备。”您会怎么回复他们？

Hartman：问题在于要利用现有的设备。这正是这个新架构的关键所在。它实际上是一个运行在思科现有硬件平台之上的软件架构。onePK是现有产品的软件固件升级。整个方法的目标是使它能够变得更先进。您最不想做的事情就是让人们丢掉所有设备，然后重要开始。我们将onePK视为一个自然进化。我们现有的下一代防火墙已经在使用onePK。我知道，我们每一种产品的新版本都将越来越多地使用onePK。

ASA-CX防火墙如何使用onePK？

Hartman：在管理方面——能够连接底层网络结构，主要是在管理接口上。

您是否认为思科安全战略还包含了SDN的其他方面？例如，是否在安全性中应用了OpenFlow？

Hartman：是，肯定有。首先，标准支持对于可信度至关重要。这绝不是仅仅关于思科设备或思科产品。如果要让它真正走向正途，那么它必须能够与其他产品实现互操作。它肯定先从OpenFlow开始。我们开发的云支持也肯定与OpenStack密切相关。此外，我们还会用一些新兴安全标准共享不同的环境信息。

这种方法会不会比直接在网络中部署安全设备复杂很多？

Hartman：如果您有一个物理设备，那么最大的优点就是它可以作为一个独立管理的设备。但是，这里有一些欺骗人，因为您实际上并不管理这个设备，而是管理它所有周边组件。许多大型组织可能会部署50个这种独立安全产品，他们必须投入人力管理和控制这些设备。而这个架构的目标就是将这些管理整合并集中在一起。

这是我们在安全策略和管理方面的重要投入。否则，复杂管理会带来风险。为此，我们开发了身份验证服务引擎（Identify Services Engine），这是一个管理不同用户和设备的访问策略的强大产品。

它还与思科Prim和Prime Security Manager整合，这是我们实现的安全产品集合。但是，按照您的观点，在使用分布式架构时，最好在架构之上部署一个管理框架。否则，您会遇到很多问题。您一定不能将这些服务作为独立分散的服务进行管理。您必须将它们作为一个系统。

鉴于思科Prime是另一个业务单元，思科如何实现这种管理？

Hartman：安全是思科整体战略的一个重要组成部分，也是扩展和交付大范围IT解决方案的一个重要组成部分，而不仅仅涉及网络基础架构。所以，我们将继续开发和交付能够适应思科各个产品系列的安全战略。

例如，作为公司CTO，我会与其他部门的CTO协作，当然也包括负责Prime产品的CTO，这样我们就能够实现一致的安全战略。这实际上会激励思科各个业务部门，一起协作完成这个聚和的安全战略。这并不多见。

它受到每一个业务部门的重视，因为所有部门都将安全视为一个重要的竞争手段，无论是数据中心团队、企业网络团队、服务提供商团队还是移动与协同团队都一样。我们确实在思科的各个部门实现核心技术。我的作用是保证我们有一致的安全性，没有分隔。