上周，思科公司已超过23亿美元的价格收购了互联网安全公司Duo Security，本次收购完成后，Duo Security的联合创始人兼首席执行官Dug Song将继续担任总经理，并将加入由副总裁、总经理 David Goeckeler领导的思科网络与安全业务部门。

这是思科自2017年初以37亿美元收购应用管理公司App Dynamic以来规模最大的一笔收购案，同时响应了CEO查克-罗宾斯（Chuck Robbins）推动公司进一步进军软件领域的战略。　

公开信息显示，Duo Security的业务方向主要为用户提供基于云端的安全工具，从而帮助用户解决设备安全漏洞问题。总部位于密歇根州安娜堡，该公司由Did Song和Jonathan Oberheide于2010年共同创建。公司目前有700名员工，在美国和伦敦设有办事处。

Duo的安全设备允许员工使用自己的设备进行自适应身份验证。Duo的解决方案不再是使用安全代码发出密钥卡，而是可以安全的与任何设备配合使用。在思科的环境中，该技术应该是寻求安全双因素身份验证的CTO的自然选择。

正式进军身份和访问管理（IAM）市场

此次收购，标志着思科将正式涉足身份和访问管理（IAM）市场。事实上，思科始终了解身份管理在安全堆栈中的重要性，但却迟迟没有进军该领域。那么为什么这次会改变心意呢？

原因在于，云计算和移动计算的普及应用几乎已经消除了网络边界问题。如今，移动用户访问SaaS和基于云的应用程序，甚至无需再接触内部网络。正如一位CISO多年前所言一样，

由于云和移动计算，我已经丧失了对自己IT基础设施的控制权。为了解决这一问题，我必须在‘身份’和‘数据安全’这两个方面获取更多控制权。因为无论喜欢与否，这两个领域都是‘新的’安全边界。

需要明确的一点是，网络安全产品和服务仍然是必要的，思科也将继续销售大量防火墙、入侵防御系统（IPS）/入侵检测系统（IDS）和网关设备。然而，通过此次收购Duo，思科可以通过以下方式进一步扩展其已经涉猎甚深的网络安全足迹：

1.利用多因素身份验证（MFA）扩展

根据ESG研究数据显示，65％的企业组织都部署了MFA，但大多数企业只是使用它来保护一小部分应用程序和/或用户。为什么会这样呢？原因在于，MFA一直过于复杂和昂贵，而且许多组织认为，当企业PC被限制通过有线网络连接到LAN时，便不需要再向员工发放令牌或智能卡。

随着云计算和移动计算的日益普及，市场对MFA的需求也进一步加剧，而MFA技术本身也变得更便宜且易于使用——特别是使用移动应用程序和成熟标准（如快速在线身份认证FIDO）的技术。Duo公司已经充分利用了MFA的发展势头。现在，思科可以利用其庞大的全球资源，将这一MFA加速推向更广泛的受众群。

2.扩展其托管安全服务组合

思科正处于业务转型期，其越来越多的安全收入主要来自基于云的电子邮件服务、DNS安全以及威胁防御等方面。Duo的SaaS模型正适合这种策略。实际上，Duo通常会使用端到端的云和移动模型来替换基于硬件的令牌和复杂的本地认证服务器，以赢取竞争优势。收购完成后，思科可以将Duo集成到其数据中心，为Duo赋予更广的用户群，增加其支持的语言数量，以及扩展Duo服务和支持选项。

3.在迅速发展的“软件定义边界”（SDP）空间占据领先地位

虽然思科并没有言及太多该方面的问题，但是其身份服务引擎（ISE）在过去几年间已经得到了充分发展，能够同时支持AAA，802.1X，访客；自带设备（BYOD），pxGrid，移动设备管理等多种部署模式。目前，ISE每个部署可扩展最多50万个并发会话和最多150万个终端。堪称业界最佳。

事实上，ISE是NAC与ACS的集合体。其中，NAC（network admission control，网络准入控制）是检查客户端的安全装备的，以防止内网攻击。因为虽然账户合法了，但是接入设备不一定合法，其检查内容包括：操作系统、杀毒软件、补丁等的新旧程度，不符合要求的客户端就无法接入网络；而ACS（access controlserver，访问控制服务器）检查客户端使用者身份的，主要负责检查其是否拥有指定的账号，控制指定账号的访问权限。没有账号的客户端，使用者无法接入网络。

虽然市场对NAC仍有需求，但是许多组织还需要一个软件定义边界（SDP），通过从不接触公司网络的点对点可信和加密网络隧道，将远程用户和大量设备连接到基于云和SaaS的应用程序中。

SDP对思科尤其重要，因为许多组织将其视为VPN替代品，这是思科拥有并且必须捍卫的一个细分市场。Duo已经开发了自己的零信任连接版本——从端点到基于云的资产。思科可以将Duo的服务与自己的产品结合起来，将最全面的SaaS和本地NAC / SDP整合到其客户群中，在SDP空间，与Cyxtera，Google和Zscaler等公司一争高下。

20世纪90年代，思科提出了目录驱动网络（DEN）的想法，致力于协调IP网络连接和基于身份的优先级。这种想法最终并未实现，但是这种愿景无疑是合理的。如今，有了Duo，思科可以及时整合类似DEN的产品，帮助客户建立高度安全的云和移动计算专用网络连接。

思科如何将此次收购活动发挥最大效益？

为了充分利用此次收购行为，思科公司还应该做出如下尝试：

1. 探索数据安全机遇

思科如今已经涉足了两个“新”安全边界（身份和数据安全）的其中一个。他可能希望通过下一次收购（比如说Digital Guardian公司）来结合这两大边界。通过这种方式，思科还可以涉猎另一个充满挑战，同时也充满机遇的空间：数据隐私。这也是一个至关重要的领域，因为GDPR只是该领域更多法规和治理的开端。

2.巩固其SDP架构和市场

正如我曾多次提及的那样，虽然目前没人有SDP预算，但是每个人都有SDP需求。换句话说，在2019年SDP市场大爆炸之前，思科还有一些时间发展完善其SDP产品。具体步骤：将零件组合成一个SDP架构，开发出清晰且有说服力的营销信息，并通过向市场宣传SDP是什么，以及为什么需要它，来发挥意识主导作用。不得不说，如此一来可能会蚕食AnyConnect VPN的销售成绩，但是，思科应该愿意承受短期的打击，以便随着时间推移获取更广阔的市场。 

3.建立强大的IAM生态系统

身份管理一直是一个难题，因为它涉及应用程序开发人员、IT运营、安全性、法律、合规性等等问题，而且它还会因行业而异。既然如今思科已经趟进了“身份管理”这摊浑水，就必须将IAM生态系统的技术供应商、系统集成商以及VAR等结合起来，以帮助提供符合企业需求的行业解决方案。此外，思科还需重视行业标准方面取得的成果（例如FIDO），以确保公司能够在符合行业标准的基础上蓬勃发展。如此，思科方能实现此次收购的利益最大化。