-
部長好,今天來主要是想要跟部長表示,我們希望可以把臺灣的數位環境一起推動起來,也想要聽聽部長的想法,因為您有談到幾個部分,包含強化數位產業、數位治安、也希望有一些數位公民連結等等,這些主題跟我們都有相當大的關聯。
-
思科有許多的資源,我們想知道從部長的觀點來看,我們可以怎麼樣來幫忙或者是在全民公民社會當中,做出一些貢獻。
-
我先開個頭,再請同仁補充。我們現在對有全國個資的 A 級機關,希望能夠在我接下來的任期內,全面推動零信任架構,這個是很大的挑戰。
-
我們本部跟兩署,並沒有舊的系統,所有的系統剛開始就不分內外網,我們這邊的人都是發筆電,沒有人在用桌機,也在闕資訊長的督導之下,我們也把少數的一些系統,像公文系統,接下來會全部都換成點對點加密。行動自然人憑證不但可以簽章,還可以加密,所以所有的 component 我們都有。
-
我們解決方法的協助者是 Azure AD,但是跟很多的機關不一樣的是,維然有所謂的四色定理,也就是相鄰層不會用同一個 vendor,像 Azure AD 的相鄰層在零信任架構上,那就是確保手上的安全性,但是端點防護就不會用他的 Intune,左邊的這一層就是 public cloud hosting 的這邊,也就是本地雲不會用 Azure,也就是完全是 AD,但是這兩邊都是別的 vendor,依此類推。
-
所以,我們整個零信任架構裡面,只要是相鄰層就不會用同個廠商的解決方案,這個有兩個好處,一個是必須走互通的開放標準,所以很多廠商跟我們講說開放標準寫在這邊,但先前沒有用過,因為是整個 stack 賣過去。我們這種做法,是每一層用最適解決方案(best-in-breed),那就必須要 exercise 這個開放標準。
-
對於你們來講或者是對於任何提供者來講,這個就表示不會很像你必須等一年或者是兩年的 lock-in 結束了才有機會進來,每個部分都可以很容易進來。這是第一個好處。
-
第二個是可以因地制宜。所有其他的部會或者是地方政府都有 Legacy,但只要他們的這些傳統系統,能夠走這些開放標準,你看我們如果是全部賭在某一家上面,如果這邊的傳統系統跟這邊不同,我們就幫不上忙,但是我們在意的是這種 ZTA 的架構,並不是特定的系統,所以無論傳統系統怎麼樣,我們都可以幫得上忙。這個是第二個好處,也就是多元異質的好處。
-
但是我不確定你們現在對於 ZTA 在臺灣對於去宣導這種事,或者是把大家儘快導入無密碼(passwordless),或者是假設已經被攻占(assume breach)的這些,你們目前的策略或者是想法是什麼?我們知道那幾家大的公有雲,現在非常喜歡推這個,甚至公有雲落地,他們也很願意,他們也知道 ZTA 對他們有好處,但是我不確定從思科的角度來看怎麼樣。
-
其實在 2005 年 AWS 開始做這個公有雲,到 2009 年微軟也進入公有雲市場,思科內部有很大的聲音是我們也要做公有雲,那也是個很好的機會。但是公司最後決定不跟我們的夥伴電信公司的 local 雲競爭。
-
那時候不知道這件事。
-
是的,所以那時候的想法是,大家可以一起合作;公有雲有公有雲的好處,但是 local 的這些雲也有 local 的優點,我們可以一起思考如何把各個優點結合在一起。
-
大家談雲,一般認為幾個 vendor 可以幫助,例如 AWS、微軟、Google、IBM 等等,但是你發現排在前五名的是 Cisco,但是 Cisco 常常在雲端調研裡是前五名重要的 vendor,Cisco 沒有公有雲,為何大家對於提到雲端的這件事一直想到 Cisco?因為我們對於連結之外,我們做到了保護,所以在雲端的資源很多人不敢上雲,是因為不知道使用者體驗好不好、是否安全,這其實 Cisco 可以幫忙。
-
提到零信任的部分,思科在 2012 年的時候,就提出 SDN,我們就說這就有了 ZTA 的概念,為什麼?因為我們通常網路原始設定是允許連接的,可是後來我們就把我們的 SDN 網路變成大的防火牆的概念,必須事先非常清楚瞭解,應用之間需要的 protocol,才允許連接,這是防火牆該做的事,為何放在網路層?因為我們看到網路如果沒有做到保護的話,很多事情其實像 IoT 會沒有人敢連接,所以我們很早就把 ZTA 的精神建立在所有的 network 上,雖然我們沒有把網路的解決方式叫做「ZTA」,但是本身就有這個精神了。
-
目前大家談了很多的 ZTA,也包括終端以及應用的保護,例如無密碼身分驗證,思科也都有解決方案。
-
像 FidO?
-
在全球的 ZTA 架構是五根柱子,在技術中心給的是三大面向,我想使用者驗證、設備驗證,尤其設備驗證,Cisco 已經做了很多年。
-
所以設備,是我之前有聊過,Meraki 的那些人嗎?
-
Meraki 是我們很早就 adopt cloud 觀念的平臺,那其實很好玩,一般的網路設備都是 on premise,特別是有些人不太能夠接受雲端。
-
⋯⋯我知道,看不到的不存在。
-
但是好玩的是,我們收購了 Meraki 之後,他們的成長驚人;為何我們講「他們」,因為我們思科希望把表現好的組織獨立。
-
所以 Webex 也是「他們」(笑)?
-
因為 Meraki 成長非常快。
-
是孵化成功的意思。
-
-
可以地端優先,不是把地端當備援。
-
因為網路越來越複雜,加了很多資安的功能在裡面,其實真的是很複雜。
-
所以我們要做的事是很簡單化,幾個按鈕,然後透過一些 AI 分析,所以可以去確認發生什麼事,因為我們會 collect metadata,不會 collect sensitive data,我們也會預測一些情況,當還沒有發生事情問題的時候,像 capacity 有問題的時候,我們就給你很多警告,我們讓你用這樣的技術,可以讓網路維運變得很簡單。
-
所以剛剛講的裝置驗證,你們的大方向還是往 Meraki 的方向,但如果對地端有信仰的,好比留著以地端為主的這種邏輯,可以這樣講嗎?
-
是的。而且要做得很簡單,好用。
-
這並不是機密的(笑)。
-
現在很多企業所以談的是全球高效率維運,如果使用雲端來控制,變成對他們非常有誘因。
-
瞭解。就是一個很緩的學習曲線,不是到這邊就全雲端。
-
像部長剛剛提到 ZTA 的概念或者是架構,你們想要建立一個標準。
-
等於要讓所有的關鍵基礎設施、重要的政府機關全部都 ZTA 化。
-
除了產品之外,思科也希望可以對社會做出其它的貢獻。思科在全球與各政府一同推動數位加速計畫,在全球各地現在有 1,400 多個專案,這些專案並不是賣產品,而是我們希望把把思科的專家、資源跟 funding 串聯起來,在多個面向幫助合作的政府單位,比如政府的基礎建設、交通、教育等等。
-
我們還有看到離岸風機。
-
還有綠能等等,在各個市場我們都有一些計畫的導入。
-
思科的這個數位加速計畫,我們在四年前引進臺灣,叫做「Taiwan Digital Acceleration,TDA」,也就是「臺灣數位加速計畫」。這個是一個概念:Cisco 希望在各個領域、各個角落幫助政府做數位轉型,這個數位轉型不只是在單一個領域,內部的也可以,好比像綠能跟教育。
-
過去我們有 5G 的開放試驗平臺,我們也有跟健康與 AI 相關的計畫,我們未來想要做更多,包括長照,來幫助廣泛的 ESG。
-
我們還有一個思科網路學院,我很簡單來講,思科網路學院是 25 年前,思科就成立公益性的網路教育推廣,並不是銷售組織,而是一個獨立的部門,在臺灣引進 23 年,有 15 萬多個學生上過這樣的課程,有 100 多位的老師在跟思科老師合作,其中的課程當中,其實很重要的這幾年轉向資安,不管是網路的資安、IoT 的資安、雲的資安,這些基礎的課程,其實也可以幫助從國、高中一路下來的人才培育或者是全民資安的教育,我們很樂意可以提供這樣的教材來作貢獻。
-
部長剛剛提到零信任開始,也提到很多面向的東西,我簡單跟部長講一下思科可以做的。
-
零信任是使用習慣的改變,這個是最基本的而已,基礎建設做好了,大家都不用就沒有意義。
-
像剛剛講到學院,我們接下來年底會有一個資安院,資安院特別要注重的,不是完全做研究,只做四年之內可以轉化成所有人每天都在用的那種研究,所以不是理論性的研究,而是完全實戰性的研究,也包含剛剛特別提到國、高中生,像這些年輕朋友他們只要對資安有興趣,不一定未來當資安的專家,但是素養必須要有,這些如果人才培育上,你們有一些資源的話,不曉得這邊有沒有要補充的⋯⋯
-
資安的部分,部長講了滿多,之前我執行「亞洲·矽谷」計畫,跟思科團隊有一些認識,之前部長一直講說之後有數位韌性的網絡,除了基礎建設的建置之外,後來談到很多,大家強調資料傳輸的保密性,因此這塊也可以科請教。
-
而且剛剛提到對地端的信仰,你們也特別提到長照的情況,長照在遠距醫療,其實要純地端是不現實的,因為有大量的影音資料,不可能用貨櫃車載硬碟,這是不現實的。
-
當然有一些基本的規範,但現在看起來有一個趨勢,可以把資料的儲存把 At-rest encryption 跟運算脫鉤,脫鉤就有很多算法,當然點對點加密是最簡單的,但是現在有所謂的零知識,也就是我可以證明我的事,但不需要透露我的個資,也就是聯邦式的學習,也就是分別來作運算,但實際做 model,並沒有誰把 raw data 放在手裡等等,我不確定這是不是你們的興趣?或只是底層的部分?
-
像剛剛提到 Webex,不好意思問比較細,因為我知道 Webex 有點對點加密,所以理論上像藥師或者是遠距醫療,不需要擔心在視訊裡面透露的這些東西流向其他人被攔截,但是像這種你們是需要特別打開或者是設定?
-
Webex 一開始設計時就定位為比較安全的通訊軟體,所以除了點對點的加密之外,甚至 user 在使用這個軟體的行為也可把關。
-
像描述資料。
-
還記得有個例子,有人加入後,但是不是應該加入這個會議的人,share 一些不被允許的資料,我們就說登入的時候可以有驗證機制,可以先在 lobby 虛擬會議大廳。
-
先取得代碼。
-
允許之後才可以進來,這其實是我們比較創新的一個例子。
-
所以你們有所謂 ZTA、E2E 的部分,是不是因為這樣的關係,所以你們比較不需要做 data resiliency,那個流向可能是流到別的國家,是這樣嗎?如果跟你開個 Webex,也就是 E2E 跟 ZTA 的 code,那個路由會去別的地方,或者是待在臺灣?
-
因為其實最近有一些國外訪團來,也聊到這個問題,他們發現其實我們落地並不是我們不信任點對點加密或者是 ZTA,而是真的發生什麼事情,假設海纜斷了,你放外面的話,就算加密也沒有意義了。
-
地端對我們來講,還是備援上有必要,但我們並不是地端的信仰者,我們並不是要以地端為主,只是如果發生什麼事,當然現在都說要 700 個接衛星的地方,但那並不是支援所有視訊跟衛星頻寬,衛星頻寬還是有限,所以盡可能多的,也就是在那個時候,就像你講的,放在彰濱、中華電信或者是哪裡,可以稍微按一下,就保證那個時候視訊也是通的,即使海纜斷光了,這對我們就比較有幫助。
-
比如發生大地震的時候,不能斷的東西,即使是人為的地震(笑)。我這個叫做「全災害」的想法,並不是平常信不過加密,就像你剛剛所說的,而是哪裡發生大地震,其他地方還活著,其實一句話就是這樣子,那個場景很容易想像。
-
另外一個也是很多外商會問到的,像您剛剛提到的財經,那就比長照來講,它的法遵義務更多,因為健康一定是醫療,但是長照不一定是醫療,但是只要是一定資本額以上,上市櫃的金融商都一樣,金管會控制權都相同。
-
這時候還會另外問一個,實際去管這些基礎建設的,是不是可以要求特定的國籍,而不是任何的國籍都可以來管,你知道我的意思嗎?因為我們在其他的 Public Cloud 那邊,他們現在開始有這一種承諾,當然在前一陣子都是說新加坡,因為在那邊放的人是最多的,現在因為越來越多的要求,他們現在也有個承諾,說他們在國內找合作廠商,國內的這家也不是代理商,而是合作營運商才可以碰主權雲裡面的東西,國內的 operator 就會保證這些人是具有我國國籍。
-
我大概瞭解你們的 picture,基本上就是按需求來擴張,概念上並不是特別反對或支持這種想法,類似主權雲的想法,就是有客戶需求,那就來做?
-
對,我想思科在這幾個方面,TDA、網路學院,部長大概也都瞭解,我不曉得部長這邊有沒有要給我們一些建議?
-
維然有沒有一些想法?
-
我之前在警察局做監視器系統的時候,那時候思科的東西就用滿多,那時是在做城市級的光纖網路覆蓋,我們等於在路口擺 4、5 個 switch 的,我們拉的光纖覆蓋率比中華電信還要多,為的是是用在路口監控。這在其他地方是完全沒有的,其他地方租用的是中華電信的主幹線路,所以頻寬都很有限,但是如果用 GSN 的 VPN 都很小,在我離開之前,我們的三條幹線都已經達到 10g 以上,還有一條核心主幹線可以到 40G。
-
舉這個例子是,從政府機關的角度,要做這些基礎建設,要搭很多的 application,其實政府底下的這些光纖,如果都要用中華電信的或者是營運商的,其實成本非常高,我們 10 年前,我不知道是哪一個長官決定頭要洗下去,所以我們光纖真的是自己埋的,我們就是小的營運商,中華電信還會跟我們借光纖,我們都埋到深山去,那邊的監視器都是最高畫質的,中間那時候有一部分主要路由是思科的核心設備,當時放外點很熱,有到 40 度,但是設備都還不錯,沒有壞。
-
但是如同剛剛所說的管理,那時新的設備上來要怎麼辦,我們有一個備份的機制要送過去,後來還有監控來做一些大規模的流量監控,所以回過頭來的是,政府底下有 GSNVPN,但如果要做一個智慧城市級的應用,像這些基礎建設,老實說從政府的角度來看,掌握能力並不是沒麼密,我想除了新竹市之外,找不到第二個城市是有一個政府自營運的光纖主幹。
-
所以我們後來要做什麼事?比如要加各種 sensor 都不用錢,我今天要加就加,我要做智慧路燈幾支就幾支,我的路由全部都可以切開,我們跟消防局,還有佈一些災害檢測的,其實是搭在一個主幹上,我不用額外收錢,但是像消防局、環保局,他們要架一些什麼設備,就是在我的平臺上,這些局處都不用額外編錢,錢全部到我這邊,我們來養這個光纖網路,讓大家在上面用,然後我們就切很多路由,愛怎麼設定就可以營運這件事,往智慧城市的方向去走,我覺得可以跟縣市政府討論,因為我們都很想做上面的應用,但是沒有底層,因為光底層這邊就要付出很高的通訊成本時,上面的應用是我們看到一個專案結束就沒了,像什麼實驗場域的專案,那個計畫其實沒有辦法再營運了,因為底層的通訊成本其實很高,從市政府的角度來看是很貴的。
-
這是我以發展智慧城市的角度出發的分享,真正核心的難點是在這些通訊的成本,一點分享。
-
我覺得講得非常好。剛剛講的除了資安之外,visibility 也很重要,其實在整個大的網路底下,按不管佈網路的這些點,當某一個環節出問題的時候,是不是可以在第一時間做出決定,這個網路點是指從任何地方連到任何地方,我講的是很大的範圍。
-
我們最近買了一間公司,他們創立一個想法,為何現在在疫情的情況之下,有很多人是虛實混合工作,對於網路、雲端服務的依賴越來越增加的情況之下,很多人一連上去,不管是剛剛講的視訊會議變慢,不知道是自己家裡或者是某一段自己的網路,又或是別人家的電信,我們有佈很多 sensor,我們可以做很多 SLA 的 monitor,所以我們交岔比對出來之後,就可以算出來是哪一個節點的哪一個街口的速度變慢,這是我們所有解決方式最快的一個,也就是因應如何解決 troubleshooting。
-
這個是網路層,大家對於思科的認知是網路、資安,我們還有應用層的 visibility,AppDynamics,當你變慢的時候,我不但告訴你是網路問題,我甚至可以告訴你的程式問題,也就是程式哪一行程式有問題。我們剛剛所說的可視性,不能只停留在網路層,如果是資安造成的 slow,也要有 visibility 等等,就是我們剛剛所說的「可視性」,這是客戶的要求,不要只是證明網路沒有問題,而是要告訴我哪一些問題,是資安的問題或者是 application 的問題或者是網路的問題。
-
我呼應一下,重要的節點會寫一些程式做 SLA 的 check,再做一些分析,是我們自己建起來的,所以才體會到對程式很重要的基礎建設,對程式有非常多的好處,節省非常多的市政成本,甚至有很多應用,因為我們是做很多監視器,像 NVDIA 早期有來,我們有一些現成的 model,他就願意將他的 server 佈在我家,不用佈在荒郊野外,因為隨時都可以拉,走到哪一個節點都可以拉,因此我們那邊就變成很好的實驗場域;那時做很多 AI 相機都會放在我們家,因為我們不出網路的,他們可以做很多 testing,然後要親自人來,才可以拿走,我們發現這樣 work 之後,就覺得程式有這樣很好的基礎建設,其實真的滿不錯,我覺得邁向數位城市、智慧城市滿關鍵的地方。
-
像這種需求,我知道你們在推 5G 專網,還有 Wifi-6,但是像維然剛剛描述的需求,在哪一些情景之下,你們現在會打算用 5G 配合 Wifi-6?你們剛剛講到臺灣 team,有這部分的量能嗎?
-
像美國的市場,比如 5G 走比較快,5G 專網的這件事有很多的 push back from enterprise,原因有很多面向,後來我們大概分享幾個原因,也就是我們對於我們的解決方式有一些調整。
-
第一,5G 是 cellular network,這個對 enterprise 的 IT 來講,相對來說陌生。因此思科在做一件事,像現在在推 5G,可能是製造業,這些東西 AR、VR 的 case 都很棒,像現有的 Wifi 做不到,如果看到但是每一個企業例如製造業,絕大部分已有 Wifi。
-
如果可以做一件事,也就是整合 Wifi 跟 5G 的管理,可以讓管 5G 的這件事,就變成跟管 Wifi 一樣簡單,其實這件事,我們在美國的 5G 客戶上看到很大的成效,像國防部、有一些學校,基本上海軍陸戰隊很多的 AR、VR 都是採用我思科的 5G 解決方案,很簡單,我們把 5G 當作是 Wifi 的延伸,這樣子客戶去 adopt 5G 的時候,他們的阻力就比較小,因為用的是同樣的東西,他們也比較放心,更重要的是跟剛所講的,要提供 visibility,因為如果今天是黑盒子,其實他們心理還是會有一些想法,如果出事的時候或者怎麼樣的時候,到底發生什麼事,不能老是等電信公司來講是什麼問題。
-
剛剛提到很重要的一件事,剛剛提到 Zero trust,很重要的是區隔 segmentation,不能保證是不是可以擋在外面,但是一旦進來的時候,確定影響力就是在這邊,不會延伸到其他的地方,保護企業 5G 可以用同樣的策略來去設定,所以我的 wire segment 跟 Wifi 的 5G 是同一套的,這個對 enterprise 來講,他的政策就是一致性,這個對他們來講是有誘因的,而且是很有興趣的,他們也不希望 5G 的這件事是資安的破口。
-
我先確認一下我聽到的,意思是像維然的那種 case,如果是長途拉光纖的,在現在或者是到明年,你們覺得繼續拉光纖,因為這邊還沒有完全準備好。但是如果有某些測試場域已經有佈 Wifi,不管是 EEAC 或者是 Wifi-6,你的建議是想成 Wifi-6+ 之類的東西;如果他現在下單現在挑 Wifi 的地方轉 5G 看看,你們現在已經準備好,然後這個是用好比像租賃雲市集的東西,這個是有訂價了嗎?或者是 PoC?
-
現在已經有幾個客戶已經 production 了。
-
就是在雲市集上下訂單了,共同供應契約可以談了等等?
-
是的。
-
我們有講說如果兩年之內可以商轉、進共同供應契約,我們會是產業署這邊來投入資源,但是如果你告訴我說要四年或是四年以上,才可以進共同供應契約,大概就是資安院會放一些資源,但可能離產業署就太遠了,當然如果比四年還要久很多,連資安院都沒有。所以二以內、二到四跟四以外是不同的,這樣聽起來是你覺得二年以內就會全面商轉?
-
是的。
-
瞭解。我們自己一部兩署,其實是部級的沙盒,我們不管要推任何東西,我們一定自己用過,我們絕對不會自己沒有用過的東西去推。主要的原因是,就像剛剛講的是支援開放標準,但是不接起來,維然的「四色定理」每天碰到的事情是,廠商說要支援國際標準,但是沒有要很特定的 condition,而且那一段 path 從來沒有人用過(笑)。
-
所以剛剛講 ZTA 的部分,特別是網路能見度的部分等等,這當然是你們的強項,這部分我們在很多相鄰層可能也都會用到,所以 pilot 我覺得是沒有問題的,這是一定的,先從我們這邊做。
-
另外一個,「一般性」的意思是,像行動自然人憑證,我們現在整天拿來簽公文跟登入 FidO,非常順,我們知道不可能只靠我們推,在臺灣用 FidO 的人就沒有幾個人,最主要的原因是沒有跟現有的身分認證機制接上,舉例來說,像 AD,AD 大家都有用,只要 FidO 能跟 AD 接,等於就不是我們來賣了,而是微軟來賣了。
-
在電子簽章也是一樣的,我們現在用行動自然人憑證做電子簽章,當然只有我們自己認,但是我們的公文廠商不是只賣我們,他們也會賣別人,我們希望把這一段容器化跟 open source 出來,即使不是公文廠商,但是也有多個維護商,專門為了 ZTA 導入這一段身分認證的東西,所以我們會有很多在沙盒實驗出來的東西,因為我們是甲方、也付錢了,希望並不是你們 stack 可以 open source,變成不是一個開發商、多個維護商這樣的生態系,這樣對大家都好,因為如果我們用傳統的那種來做,不要說兩年,十年也沒有辦法推動這個東西,所以我們會策略性挑一些東西容器化。
-
這個要跟你們的商業模式要談的部分,但是這可能是維然接下來一年優先要做的,闕次這邊的優先順序,主要是要把資安院弄起來,像哪一個便利商店放在布告欄,總有人會問有沒有連網,表示這已經有警示效果了。
-
像現在的瀏覽器連到沒有 https 的網站,大家也會問說為何沒有加密、瀏覽器不安全的;未來只要問我 8 碼密碼,消費者就會客訴說為何犧牲我們的資安、零信任等等,也就是全面性的,並不是你們自己打電視廣告,而是在你們導入各行各業數位轉型的同時,就埋一些這種 ZTA 並沒有更麻煩、ZTA 的能見度說不定更好、ZTA 不用記密碼的概念上去,像有配合的學院內容等等,這個是很容易跟產業署、資安院合作。如果要對外分享 ZTA 這個題目的話,也可以考慮請闕次,因為闕次是本部的資訊長、資安長。
-
最後是 5G 租賃式的專網,如果有一些解決方式,我們很鼓勵放到產業署雲市集的資服業媒合平臺,你放上去,國家就幫你出一半,我們吸收 50%的成本,中小企業處要試這些雲端方案的時候,要怎麼 overcome,他覺得砸大錢,也就是吸收一半的成本,他可以隨時 switch,等到最後決定要長租了,那時再來想買,也就是可以不斷適用,這個雲市集的訊息,不管是核心,也就是旁邊的產品線,我覺得都可以考慮。大概是這樣。
-
謝謝部長。
-
謝謝。