Cisco 2026-07-07
Vendor Strategy 影响: Major 置信: 85%

思科用Silicon One与Hypershield锁死AI数据中心安全控制平面

内容摘要

思科发布面向AI数据中心的下一代安全方案,将Splunk SIEM与Silicon One 51.2Tbps芯片深度绑定,通过Hypershield架构将安全策略下沉至网络边缘。此举旨在将安全控制平面从独立设备转移至其专有ASIC与管理平台,形成硬件锁定。

核心要点

思科通过Silicon One系列芯片的51.2Tbps交换容量,为大规模GPU集群提供无损网络(RoCEv2)支持,并宣称已针对AI通信模式优化。核心动作在于将安全功能嵌入Hypershield架构,该架构利用eBPF驱动的分布式策略引擎,将防火墙规则、入侵检测和微隔离直接部署在Silicon One ASIC的数据路径上,而非传统独立安全设备。思科Splunk SIEM平台被重新定位为AI训练环境的统一威胁检测与响应中心,通过采集Silicon One芯片的遥测数据(如流表统计、异常包模式),实现实时异常行为分析。思科强调,该方案可将东西向流量攻击面降低70%,并利用其Cisco DNA Center作为集中策略控制器。然而,该架构高度依赖思科私有协议(如Cisco ACI的端点组EPG)和Silicon One的硬件加速能力,第三方交换机或安全设备无法接入其控制平面。

重要性说明

思科此举本质上是在防守Arista与Nvidia的开放网络联盟。通过将安全控制平面从独立设备(Palo Alto、Zscaler)转移到Silicon One ASIC,思科试图构建一个硬件-安全-管理的铁三角,彻底锁定用户的数据中心基础设施。

隐性锁定资产:用户一旦部署Hypershield,就必须使用Cisco DNA Center作为单一管理平面,且所有安全策略都以Cisco ACI的EPG模型定义。这意味着任何非思科交换机(如Arista 7800R3)都无法参与安全策略执行,迫使客户在AI集群扩展时只能选择思科。

物理限制与成本陷阱:Silicon One的51.2Tbps交换容量虽然亮眼,但其安全功能(如深度包检测DPI)消耗ASIC内部的可编程管线资源。在AI高吞吐场景下,启用全状态防火墙会导致尾部延迟(Tail Latency)从微秒级飙升至毫秒级,因为eBPF策略引擎需要逐包处理。思科未披露启用安全功能后的实际交换容量与延迟数据。此外,Hypershield的分布式安全模型依赖集中式控制器(DNA Center),一旦控制器故障,所有策略更新将停滞,形成单点故障风险。相比之下,Arista的NetDL与Nvidia的BlueField DPU方案允许安全功能在主机侧(DPU)卸载,不干扰网络交换路径,延迟更低且架构更弹性。

PRO 决策建议

【厂商(Arista / Nvidia)】立即攻击思科Hypershield的控制平面锁定性能隐藏成本。推出联合解决方案,强调Arista 7800R3交换机与Nvidia BlueField-3 DPU的组合可实现无状态安全卸载,在主机侧完成微隔离与加密,不干扰网络路径,延迟不超过10微秒。公开对比测试,展示启用思科安全功能后Silicon One交换机的吞吐量下降与延迟飙升数据。

【企业(CIO/架构师)】进行零信任技术审计:要求思科提供启用全状态防火墙与DPI后Silicon One的实际吞吐量与尾部延迟(P99)数据,并验证其是否支持第三方安全设备(如Palo Alto VM-Series)通过API接入Hypershield策略平面。评估Cisco DNA Center的单点故障风险,要求思科提供控制器故障时的降级模式(如本地策略缓存能力)。优先考虑DPU-based安全卸载方案(如Nvidia BlueField + Calico),以保持网络架构弹性。

【投资者】警惕思科通过硬件锁定维持高利润率但牺牲客户弹性的策略。关注Arista与Nvidia在开放网络生态中的市场份额增长,尤其留意Cisco Hypershield是否因性能问题导致AI客户流失。思科2026财年Q3的AI订单增长可能是一次性库存填充,而非可持续趋势。

来源: 第一财经
查看原文 →

觉得这篇分析有用?

每周收到3-5条AI基础设施关键信号 →

💬 评论 (0)