2017/10/12

F5 Anticipate Taiwan 2017:應用成為新邊界 企業數位轉型是危機也是轉機

第二屆F5 Anticipate 2017 Taiwan大會,揭示了雲端應用帶給現代消費者莫大便利,也對現代企業帶來經營上的危機。然而如果輔以完整的資安防護方案,將能使危機變成轉機。

雲端應用的興起,愈來愈多企業架構私有雲環境、將應用導向公有雲,或是建立兩者兼具的混合雲,以及架構更複雜的多雲環境。這迫使企業必須重新設計業務流程、改革IT基礎架構或是強化人員訓練,以便強化自己在現今市場上的競爭力和影響力。根據一項針對財星五百大企業進行的調查,有1/5的企業已經將半數以上的應用部署在雲端上,只有15%還沒有部署雲端應用的計畫。

F5 Networks亞太區業務資深副總裁Adam Judd

F5 Networks亞太區業務資深副總裁Adam Judd指出,這些企業可能還不了解「不轉型」的危機,因為他們的客戶已經率先擁抱雲端。例如他們以WhatsApp彼此保持聯繫,用Uber網路叫車,不再以電話「打滴」。而在中國,顧客匯款給朋友或上街購買全部都用WeChat而不經過銀行或信用卡。

雲端應用蓬勃發展,Gartner估計全球雲端市場產值到2020年將成長到3,833 億美元。今年全球連網裝置也已超過84億。然而數位轉型的企業碰到的另一項挑戰來自暗黑界;網路攻擊輕則引發網站掛掉,重則導致營運中斷、財務損失、重要客戶資料或商業機密被竊。2016年DNS代管服務供應商Dyn遭遇到史上最大的1.2 Tbps 分散式阻斷攻擊(DDoS)流量而癱瘓。Judd並指出,網路攝影機經常被當作發動DDoS攻擊的跳板,或是殭屍網路,而亞太區國家在其中則是「名列前茅」的受害者。

圖 1:2017年雲端市場成長率達18%,雲端成為業界大勢所趨;2017年全球連網裝置達84億,超過全球總人口數,萬物都將連網;2016年的Dyn DDoS攻擊出現破紀錄的1.2 Tbps巨大流量,威脅已無所不在。

在數位轉型浪潮中,雲端應用成為企業營運的最前端。以F5一家分行遍佈亞太區各地的銀行客戶為例,光是一個應用市集,就提供3000到5000個App。今天企業資安預算分配來看,仍然視防火牆為雲端週邊(perimeter)。事實上,現今App已經成了新「週邊」,而一個完善的資安防護策略也應該循著這新思維而建構。

F5台灣分公司總經理張紘綱

F5台灣分公司總經理張紘綱則說明,F5從早年的網頁防火牆(WAF)開始,已經發展出應用為中心(Application-centric)的完整安全解決方案,在防火牆、資料外洩防護(DLP)、防毒、入侵偵測/入侵防護及進階精準攻擊(APT)防護之外,提供多樣化資安解決方案,確保使用者安全存取App,建立管理的透通性,以及提供應用的安全性,實現端對端的防護。

圖 2:F5提供使用者到應用之間端到端的防護

物聯網時代 建立端到端的應用中心資安策略

萬物聯網及雲端解決方案的出現,促成了企業向雲端轉型的大勢。然而新一波威脅也相應而來,企業是否做好了準備?

企業與消費者加速擁抱雲端,根據Gartner統計,全球雲端市場產值去年為400億美元,預計到2025年將成長5倍突破2100億美元。如今每個企業或多或少都有雲端建置規劃。依據一項針對財星五百大(Fortune 500)企業的一項調查,有超過70%的企業認為未來2到5年內雲端對公司將有策略重要性,而未來12個月內有採購雲端解決方案的企業更高達73%,不論是私有或公有雲。另外,根據調查,企業內部50%以上應用搬移到雲端上的企業比例高達1/5,只有15%的企業完全不仰賴雲端應用。

圖 3:多數財星五百大企業客戶都有近年內導入雲端解決方案的規劃

伴之而來的問題是物聯網及相關。研究估計2017年全球連上私有、公有雲或是網際網路的裝置已超過80億,但這也讓物聯網及企業成了駭客眼中的肥羊。今年初美國一所大學也遭到DDoS攻擊,發現連路燈及自動販賣機也可拿來當攻擊跳板。2016年知名DNS代管業者Dyn,承受了高達1.2Tbps的DDoS流量最後癱瘓。2016年美國一家珠寶商遭到2.5萬台網路監視器組成殭屍網路發動分散式阻斷服務(DDoS)攻擊,結果居然最大宗攻擊流量來自中國及台灣的產品,這也顯示台灣企業可能隨時成為駭客全球肆虐下的工具或攻擊受害者。

F5相信,現今的應用(Application)已經是通往企業資料寶庫的閘道。然而物聯網的興起以及雲端應用的普及使得網路攻擊面(attack surface)變得更廣,擴及公有雲、私有雲、雲端互連(interconnect)區域、容器環境等,任一環節都可能成為駭客入侵管道。因此F5台灣分公司系統工程部總監莊龍源指出,現在光是防火牆等網路層防護已經不足,為了確保資料的長治久安,建構資安策略最有效率的方法是從應用層著手,形成以應用為中心(Application-centric)的安全。

F5台灣分公司系統工程部總監莊龍源

F5的應用中心安全必須包括三項基礎要素:可視性(visibility)、行為與情境(behavior & context)、控管(control)。可視性包括是否能突破加密監看內容、以及基礎架構層是否夠敏銳,可察覺App處理的內容,這又和第二項要素有關:行為與情境。行為與情境意謂著安全策略不能只著眼單一App,而是必須擴大到App的情境或上下文(context),例如DDoS的防禦策略,除了App外還必須考慮App處理資料的風險、使用者行為,及雲端的來龍去脈。控管就是在你掌握了如此多資料後要如何建立資安策略。此時,一個透通及全面的控管平台則可幫助你從網頁、路由器、防火牆、DNS、到App各環節建立一致性的安全防護,防止百密一疏,被攻擊者乘虛而入,同時還能將此策略應用到多雲環境。

圖 4:F5 Network認為資安為中心的防護,必須滿足可視性、行為與情境及控管三大要求

F5以應用為中心的資安解決方案,正滿足了可視性、行為與情境及控管三大要求,並整合合作夥伴提供的威脅情報服務,建立「應用之所在,安全隨之」(security follow the application),也就是不論網路或資料儲存架構型態,都能提供終端裝置App連到雲端之間端到端(end to end)的全程保護。

企業數位轉型 資安思維不可少

在萬物聯網的時代,為企業經營帶來安全挑戰,因此一個追求位轉型的企業必須將資訊安全納入考量。

英國標準協會(BSI)台灣分公司蒲樹盛首先勾勒近百年來科技普及的速度。飛機自發明到普羅大眾都有機會搭乘花了68年,電話則需要50年,電視和電腦在人類社會普及各花了22和14年。但是這些都是過去式了,現代科技從誕生到大多數人都會使用,這種偉大成就只要幾年就夠;iPod只要3年、臉書(Facebook)更只要短短2年。

圖 5:一世紀以來,科技從出現到普及的速度愈來愈快,也加速資安威脅的散佈。

他舉例,今天將近10億的人以Facebook Messenger、WhatsApp或Line聯繫私事或公事,在中國,不論你是匯款給朋友、到菜市場買菜、甚至捐錢給路邊的街友,都可以用支付寶把錢即時轉到對方帳戶!談到企業的日常流程,以前許多要用車票存根黏貼請款單申請差旅費的企業,現在都轉用Conquer,然後財務部門可以統一審核全球分公司請款作業,並集中分析所有公務花費。另一方面,現今從汽車、電視、冰箱到工廠生產設備,也就是說在Facebook、Amazon、Apple、Netflix、Microsoft、Google及Tesla主宰現代網路經濟,所有企業也都必須因應消費者行為所趨、而展開數位轉型的歷程。

英國標準協會(BSI)台灣分公司蒲樹盛

然而在此同時,企業也將必須正視數位轉型中如影隨形的資安挑戰。除了Line帳號詐騙、誤觸假造按讚遭植入木馬程式等對消費者的資安威脅外,企業也難逃駭客的覬覦。例如,今年初台灣6家券商遭到駭客發動分散式阻斷服務(Distributed Denial of Service, DDoS)以勒索數十萬台幣,不從者則可能面臨更大規模攻擊。而且,發動DDoS 已經不再是電腦天才的專利了,現在網路上攻擊工具唾手可及,甚至還有「外包服務」,「客戶」只要付了錢,就可以預訂精準的攻擊時間、以及攻擊對象,令企業資安陰影雪上加霜。根據世界經濟論壇(World Economic Forum)已經將網路攻擊、資料詐欺或竊取,以及關鍵基礎架構潰散列為《全球風險報告》的三大風險來源。

圖 6:網路攻擊、資料外洩,以及無預警的資訊與通訊中斷被BSI列為企業前十大風險之首。

隨著企業資安威脅日愈氾濫,歐美國家也亟思將之法制化。例如美國紐約州制訂紐約金融服務部網路安全法規(New York Department of Financial Services Cyber Security Regulations),要求銀行、保險公司等金融機構必須設立資訊安全長(CISO),必須要有明確及完整的網路安全防範方案,同時這些機構的資安單位必須證明具有防範及回應網路入侵的能力。新法預定在2018年2月上路。

此外,歐洲有「歐盟資料保護規範」(General Data Protection Regulation,GDPR)。於2016年4 月核准生效,規定歐盟公民擁有「被遺忘權」,即有資料不被搜尋的權利;資料可在不同服務間移動的「資料可攜權」;以及有權反對資料被他人處理的「反對權」。違反者將依據情節,可由歐盟或成員國資料保護主責機關,處以其所屬企業公司年營業額最高4%,或是2,000萬歐元的行政罰鍰。

或許你以為歐盟法令和台灣無關,事實上,GDPR適用對象將涵蓋提供產品或服務給歐盟成員國居民、或於歐盟境內從事系統性監控等涉及敏感個人資料蒐集活動之境外公司企業。也就是說,只要客戶中有一位歐盟公民就需合規,因此GDPR一旦施行,全世界都受到影響。

因應嚴苛的資安挑戰,企業必須掌握4P要項:Product、Partnership、People、Process。即在合作夥伴支持下,透過導入適合的安全產品、同時從制度著手,建立適當的人事管理與流程,例如IOS 27001、ISO 27018、ISO 22301或IOS 27034,防堵有心或無意的機密外洩或網路入侵。

突破攻擊者偽裝  資料防護滴水不漏

現在網路威脅變化多端、充滿偽裝,防不勝防。你小心翼翼不隨意下載來路不明的影片檔改看串流,結果仍不小心點選釣魚郵件進入假冒網頁,使攻擊程式下載到電腦中。

今年初一款MacOS的惡意軟體Mac Downloader運用瀏覽器攻擊框架-BeEF,冒充過包括美國空軍及牙科網站,誘騙不知情的用戶連進網站下載到Mac電腦。此外,還有勒索軟體虎視耽耽,藉由社交工程及漏洞攻擊蔓延,加密綁架使用者重要檔案以向用戶強索贖金。今年5月的WannaCry就席捲超過百個國家及40萬台電腦。面對變化多端的網路威脅,如何確保個人資產變得格外重要。

F5 Networks安全架構師Shahnawaz Backer

F5 Networks安全架構師Shahnawaz Backer指出,網路威脅之所以防不勝防,主要因素在於網路設備應用透通性低;無法看透由外進入的應用加密流量內容,也無法了解應用情境及使用者行為。此外,安全產品相互整合度不足,而企業高度異質環境,涵括公有、私有或混合雲端,導致安全政策難以貫徹執行而形成防護此的漏洞,給了惡意程式及攻擊者可乘之機。

他表示,隨著網路攻擊手法愈來愈進步,防火牆、入侵偵測等網路層防護已經不足。如今資安防護談到「邊界」(perimeter),所指概念恐怕不再是防火牆,而是一個又一個的應用,應該從應用層著手,建構以應用為中心(application-centric)的資安策略。

F5 Network認為應用為中心的防護必須滿足可視性(visibility)、行為(behavior & context)與情境及控管(control)三大基礎要素。可視性意指突破SSL加密監看內容、以及強化基礎架構層察覺應用處理內容的敏銳度。Shahnawaz Backer並指出,安全策略不能只著眼單一應用,而必須擴大到應用的情境或上下文(context),例如DDoS的防禦策略,除了應用外企業還必須考慮應用處理資料的風險、使用者行為,及雲端與周遭的關係,這就是第二個要素–行為與情境的內涵。最後,所謂控管則是在企業掌握了應用內容、使用者行為、情境等資料後,用以建立完善資安政策。

因應大部分的網站和應用程式流量採用的SSL加解密,F5 Networks推出新一代的Herculon安全方案。F5 Networks的Herculon SSL Orchestrator,專門負責SSL相關的工作,再送至F5檢測設備,即用來填補應用資料加密所產生的能見度空隙。它採用專用的SSL/TLS硬體,提供領先的加解密能力、情境感知動態服務鏈以及原生整合性。它採用深層防衛策略,以強化偵測、安全維護與協調。而F5 Big-IQ集中化多雲端環境間網頁應用防火牆的安全規則,運用iRules制訂彈性的管理規則,同時整合F5及合作夥伴的威脅情報,確保網路安全的縱深防禦。

F5以應用為中心的資安解決方案即具備可視性、行為與情境及控管三大要求,整合威脅情報服務,協助企業建立「應用之所在,安全隨之」(security follow the application),也就是不論網路或資料儲存架構型態,都能提供使用者到雲端應用之間端到端(end to end)的全程保護,確保資料的機密性、完整性及可用性。

資安軍備賽時代 魔高一尺 道要高一丈

網路犯罪手法日新月異,而與資安防禦成了一種技術和軍備的競賽。唯有比犯罪者更高明,才能確保資訊環境的長治久安。

近年網路攻擊愈來愈複雜,愈來愈不容易發現。首先,隨著隱私需求、PCI DSS等法規要求,Web應用程式的採用、Google、蘋果等大廠支持,以及金鑰管理服務Let’s Encrypt讓存取愈來愈方便,推升SSL/TLS加密的興起。根據市場研究機構Gartner的統計,SSL加密流量佔Web整體流量的15%-25%,這個比例在金融服務業更高達40%,同時以每年10%到20%的速度增加。為了防範此類攻擊,市場上的安全產品紛紛增加SSL加解密能力,卻帶來效能下降的副作用,幅度可能高達80%。這使得網路安全設備無從掃瞄流量,而使惡意程式在加密掩護下潛進公司網路。

此外,新式惡意程式大行其道。隨著Web應用普及,瀏覽器及App攻擊如Java Script Web注入攻擊行為愈來愈多樣化,它們篡改瀏覽器開啟的網站內容、引導到假網站、鍵盤側錄使用者名稱及密碼、允許攻擊者遠端操控、結合手機惡意程式破解密碼驗證程序、甚至發動DDoS攻擊等。例如木馬程式TrickBot就在今年5月發動兩波攻擊,透過垃圾電子郵件感染歐洲、澳洲、紐西蘭及加拿大等20多國銀行電腦,並將重要資訊透過加密通訊傳到外部C&C伺服器。

F5 Networks台灣區資深技術顧問許力仁

另外許多企業自建私有雲、介接公有雲,更多是兩者兼具成為混合雲架構。許多企業導入雲端,理由在於營運一致性、簡化管理、可擴充性、控管、自動化效率等,但是完全沒有考量到安全性,這也將令企業面臨管理挑戰,並使雲端環境的效益打折扣。

F5 Networks台灣區資深技術顧問許力仁指出,因應攻擊程式更高明、SSL/TLS加密威脅、異質雲端複雜性,因此F5認為完善的安全防護應滿足可視性(visibility)、行為(behavior & context)與情境及控管(control)三大基礎要素。可視性是指突破SSL加密監看內容、以及強化基礎架構層察覺App處理內容的敏銳度。App 安全策略必須擴大到App的情境或上下文(context),例如DDoS的防禦策略,除了App外企業還必須考慮App處理資料的風險、使用者行為,及雲端與周遭的關係。所謂控管則是在企業掌握了應用內容、使用者行為、情境等資料後,用以建立資安政策。

圖 7:F5 SSL Orchestrator能集中處理SSL流量加解密,又確保流量最佳化。

F5以擁有全代理(full proxy)技術AFM(BIG-IP Advanced Firewall Manager)為基礎開發的全新防火牆產品S/Gi Firewall,除了擁有傳統的防火牆功能之外,還能夠深入檢測各種通訊協定內容,不但能夠提供異常偵測、DDoS防禦、SSL檢測、IP地理定位及加密防護,也能夠依據企業的需求,彈性調整或切割防禦區域,確保更大的防護效果。

圖 8:F5全代理架構為公有、私有及混合雲端環境提供安全的應用程式存取管道,以及完善的應用程式防護。

F5 S/Gi Firewall而言,每秒同時連線數高達5.76億,資料吞吐效能也有640Gbps,足以應付各種規模服務供應商或電信業,也提供虛擬化的功能,可適用於實體網路或虛擬環境。利用F5 Networks的全代理架構,可提供安全的應用程式存取,保護來自任何設備,使用者在任何時間的存取請求,並結合應用程式防火牆、IP聲譽資料、SSL封包檢查、DNS防護及DDoS防護方案等,不論應用程式在哪都能獲得防護。

資安防護與網路攻擊有如軍備競賽。唯有比駭客跑得更快、做得更完備,才能提供使用者到雲端App之間端到端(end to end)的全程保護,確保資料的機密性、完整性及可用性。

FireEye:加密流量的APT攻擊與防護

企業網路的安全性升高,駭客攻擊的技術也跟著趕了上來。近年企業紛紛藉由加密網頁流量強化安全性的同時,也需注意要如何因應在加密流量掩護下入侵的APT攻擊。

FireEye台灣區首席技術顧問蕭松灜指出,企業建構混合雲環境成為趨勢,許多公司為確保安全,同時在Google、微軟等瀏覽器業者要求下,紛紛導入網頁SSL加密。他引述該公司某家客戶的統計,HTTPS流量佔了所有該公司辦公室連網作業(包括收發電子郵件或存取公司雲端文件)流量的21%,甚至另一家客戶已經達到60%或65%之譜。同時間也有惡意程式,包括勒索軟體或downloader隨著這些電子郵件或文件進入員工電腦,或從員工電腦對外散佈。此外還有惡意程式是藉由洋蔥網路(Tor)傳播,傳統網路層安全產品無法偵測,也讓這類威脅成為企業安全的一大隱憂。

FireEye台灣區首席技術顧問蕭松灜

而FireEye正是解決SSL網頁加密帶來的威脅。首先,在MVX檢測系統下,FireEye針對進入的加密流量會先後進行靜態與動態分析,攔截惡意程式。其中動態分析將未知的可疑程式下載到沙箱中模擬執行,分析其行為,像是連結的C&C程式、下載了什麼downloader等。而在檢測過程判斷為惡意程式即將之攔截、隔離並對終端用戶發出告警。最後在鑑識取證中,將惡意程式行為錄製下來,最後FireEye將分析結果,包括攻擊手法、攻擊程式特徵等回饋到沙箱,FireEye深度檢測(DPI)設備15分鐘後即可獲取及升級防護資訊。

FireEye特別之處在於即使惡意URL藏匿在PDF或Word檔中,也能將之抽離出來在沙箱中模擬。FireEye動態威脅情報服務則透過雲端持續更新惡意威脅防護能力,並支援Chrome、IE、Firefox各式主流瀏覽器、Adobe Acrobat、Flash、Java等環境。

圖 9:FireEye MVX檢測體系結合靜態、動態分析及鑑識取證,可突破加密保護檢測到惡意程式。

FireEye的端點安全方案HX來自收購Mandiant的Redline技術,具備事件調查能力,一旦確認入侵徵兆,就會立即通知、傳送一份完整報告,向管理員說明威脅的背景資訊,包括攻擊者、目標、時間及手段,例如登入了哪台機器、下了哪些指令、改了哪個registry或產生什麼檔案等,並提供有效的應變措施。必要時建議立即隔離系統,阻止攻擊者在企業中橫向移動。

FireEye全球第4大的情報團隊平日即跟蹤、研究各大駭客組織的行為及手法,因此在遇到疑似駭客攻擊時,FireEye還能告訴你可能是哪個駭客組織所為。相較一般情報服務,它不只發出警告,客戶還能在它的攻擊手法資料庫搜尋,以便在緊急回應獲得可立即上手的因應措施。

圖 10:結合FireEye的網路、閘道、應用層及端點安全方案與F5 SSL加解密能力,更能防堵惡意程式在企業網路進出。

結合EX、NX、FX及HX,FireEye將網路端偵測能力擴充到端點。整個系統彼此聯動,沙箱過濾封鎖惡意程式後、發出告警,並依分析結果建立IOC(Indicators of Compromise)迅速部署到FireEye前端設備,並可和市面上主要廠商的SIEM產品無縫接軌。而結合F5的SSL解密功能則可使加密流量更難逃安全檢測法眼。

VMware提供資料中心靈活而細部化的安全防護

由於網路犯罪手法日愈刁鑽,傳統防火牆已不足以把威脅阻擋在外,軟體導向式的安全防護則可符合資安防護更加細緻化、更無所不在的需求。

VMware台灣分公司資深技術顧問饒康立首先說明企業主流的網路環境架構。現今企業因應業務需求、IT建置及維運成本,往往為私有雲、公有雲及混合雲兼具的環境,同時要求服務跨資料中心及跨雲的運作。這也這是虛擬化需求的源起,將運算、儲存、網路及安全應用全部集中成為資源池成為軟體定義資料中心(software-defined data center),配合虛擬化技術如VMware vSphere,提供資源的彈性部署及集中監控、配置。資料中心的功能,不論是VM、路由器、交換器都能透過API呼叫,再也不需填需求單要求IT部門協助配置,達成IT自動化及敏捷開發的目的。

VMware台灣分公司資深技術顧問饒康立

VMware NSX則延續VMWare虛擬化的願景,扮演網路與安全虛擬化的平台。它用封裝機制在企業現有實體網路上建立跨區域、跨雲端的邏輯網路,藉由雲端平台呼叫實現、部署軟體式防火牆、路由器、交換器、閘道器功能,提供第4層的安全防護,並且可中央化進行負載平衡設定,快速回應業務部門需求。更好的是,整個安全強化的過程中都不需添購硬體設備,也不需變動現有網路架構。

另一方面NSX提供微分段(micro-segmentation)技術,比傳統網路層提供更細膩的防護。饒康立解釋,傳統硬體式防火牆的防護只能將惡意程式阻擋在防火牆外,一旦流量進入防火牆內,在各系統內就如入無人之境。VMware NSX最大特色是可為每台VM 主機前面配置防火牆、交換器及路由器、負載平衡器及VPN服務,進而達成零信任(zero-trust)等級防護,即每一台VM都受到保護,對每個封包都進行檢查,直接流量進入VM前進行最詳細、嚴密的安全控制。即使實體防護安全措施失靈,惡意程式攻入資料中心,同一個網段內的VM也不用擔心會互相感染,VMWare稱之為東西向的安全防護。

圖 11:NSX的微分段技術在資料中心中每一台VM前建立防護機機,提供詳細、嚴密的安全控制。

第二特色是,微分段藉由將業務和資訊系統,利用自動化安全群組建立關聯,與網路完全脫鈎。IT可針對不同用戶情境,劃分以VM性質、系統、區域或業務部門(銷售、財務)、應用系統(如ERP)、任務特性(如開發、專案)為單位的安全群組,以安全群組作為流量的來源/目的地,根據業務邏輯設定對應的安全防護政策,不再侷限於傳統網路邊界。這種以業務為基礎的安全架構,可在像是業務變更、IP位址異動、或是特殊時候(如報稅時)迅速變更安全政策,卻不需變更防火牆安全政策,使安全管理更為彈性。

VMWare NSX第三特色是,它的微分段技術是一個平台,可以搭配不同資安廠商的產品,以形成完整的防護解決方案。NSX是在網路第4層提供VM東西向安全防護,但它作為一個安全平台,可以搭配第三方廠商安全產品,包括F5 Networks的入侵偵測(IPS)、次世代火牆、網頁控管,或是其他防毒、系統防護廠商提供的南北向安全防護。

除了NSX,VMWare的vRealize Network Insight(vRNI)整合vCenter可以視覺化顯示各機器間的點對點網路流向,像是實體及邏輯網路、防火牆,以及站點之間的錯誤狀態,或是各業務間的相依性,因此不論是IT系統異動、擴充或是平時維護,都能提供事前分析及規劃依據。

圖12:視覺化顯示業務機器間的網路流,提供異動、管理或維護的依據

整合F5與Palo Alto提供新型態攻擊的防禦與阻斷

隨著勒索軟體及木馬程式愈來愈普遍,企業必須更重視應用層防護的建構,以阻絕新型態的安全威脅。

道高一尺,魔高一丈。今天網路威脅防不勝防,企業IT碰到最大的困難之一是惡意程式藏在加密流量中,由終端或外部進入企業內網。防治關鍵就是突破SSL流量加密檢視傳輸內容。這就是F5和Palo Alto的整合效益。Palo Alto(PA)安全解決方案顧問林家笙解釋,兩者結合的效益在於使用者端SSL流量中傳輸可被快速檢查與過濾,由F5設備承載SSL加解密流量,再由PA 次世代防火牆設備進行L7應用程式的辨識與內容檢測。

Palo Alto Networks技術顧問林家笙

另一個挑戰是應用管理可視度相當低。今日企業內的應用變得更加複雜,例如有微軟Active Directory(AD)及SharePoint、SAP或Oracle等,使用多個傳輸埠(ports)、多種個通訊協定(如TCP、UDP)來傳輸流量。現今傳輸埠序號已不代表特別App,例如多個應用因加密理由都使用Port 443,特定IP agent也不等同使用者,而應用程式和通訊協定之間也沒有絕對關聯。她指出企業內部應用程式數量及複雜性之高,已經成了惡意程式流竄的溫床,可以說沒有企業內部流量是絕對乾淨的。

Palo Alto提供資料中心內網路第7層的檢視,可協助辨識流量中的使用者及內容,例如是使用AD的是誰?誰在用RDP、Telnet?是否為有權限的用戶正在傳送Microsoft Word或Excel?透過對流量的積極管控,達到應用可視性。PA提供涵括應用程式控管、網頁過濾、間諜程式與病毒防護、入侵防禦、檔案管理與APT防護等全方位安全,不論是社交工程、後門程式、下載惡意程式、擴散及竊取,或是軌跡消弭,都能滴水不漏加以攔阻在企業網路之外。

圖 13:Palo Alto完整的應用內容辨識防護方案,確保了終端、網路到雲端的應用層安全性。

F5確保了伺服器機群(server farm)的管控;F5 iRules進行流量加解密,分流、權重及服務層級的保證。更好的是,除了市面上的應用系統外,PA也支援企業自行開發的應用,甚至在不同的網路型態,不論是第2、第3層網路,個人區域網路(PAN)、無線網路、IPSec VPN、虛擬網路、或MPLS,PA都能制訂流量內容的監控,透過中央控管平台統一派送政策,也可配合不同業務單位營運需求配置不同容量。

圖 14:F5提供流量的分流、SSL加解密及效能保證,而Palo Alto則提供應用程式和內容的辨識,確保流量進出企業的安全性。

現今大型企業包括花旗銀行、紐約票交所、摩根史坦利等面對勒索軟體、木馬程式、病毒等惡意程式竊取機密甚至竄改資料,都極度重視第7層的資安控管。儘管網路環境各異,PA和F5的結合可因應企業不同環境,提供最完善的應用層防護。

F5完整方案防護多種雲端環境:案例分享

在Anticipate 2017 Taiwan研討會上,F5 Networks除了產品介紹及威脅演進的解析外,也由台灣分公司資深技術總監莊龍源分享了三個全球企業客戶的實作案例和成效。

第一個案例是混合雲安全。這家客戶是日本家電及汽車製造商,近年因應物聯網風潮而開發了連網家電、連網裝置及連網汽車,同時在Microsoft Azure建置雲端支援用以派送服務,包括功能更新、安全修補程式到終端(家電及汽車)。針對雲端安全,客戶首要要求是支援產品高速增長及快速上市,同時因為是漸進式投資,故希望能隨需求彈性擴充,而且不同雲具備一致的安全政策,才能將雲端安全複製到不同雲。此外,客戶也希望能阻擋L7層HTTP volume-metric與App層攻擊及偵測殭屍網路,並發展自動化開發與作業環境。

這家客戶採用F5的Big-IP ASM、Big-IP VE、及BigIQ,以及安全管理軟體BigIQ混合雲安全政策,並整合第三方DAST解決方案,結果讓企業客戶可以將App快速從Azure Security Center部署到雲端,Big-IQ集中化多雲端環境間網頁應用防火牆的安全規則,運用iRules制訂彈性的管理規則,同時整合F5威脅情報,確保網路安全的縱深防禦。

第二案例則是澳洲紐西蘭地區第三大銀行,全球擁有1,700多家銀行、4.2萬名員工,服務遍及澳、紐、英、美等國120萬客戶。這家客戶創下營收高成長,但瀏覽器及網路出現漏洞遭Trickbot、Zeus、SpyEye等惡意程式發動中間人(MITM)及瀏覽器中間人(MITB)攻擊。此外,還有用戶帳密遭到駭客竊取濫用,致使銀行蒙受詐騙損失,過程中雖然客戶早建置SSL及網路閘道器,但未能發生作用。因此這家銀行客戶決定導入F5的詐欺防護架構(Customer Fraud Protection Architecture)。

圖 15:銀行業客戶使用F5反詐欺防護架構確保對外與對內流量不受惡意程式及帳密盜竊之害。

在這項架構下,這家客戶採用ADC App應用交付方案,加入AXN模組提供第7層防護,並啟動全代理模式,而且在過程中,用戶應用系統不需變更。不論是網頁、網頁應用或其他資訊都經過加密後交付給使用者。而對於來自用戶端的流量,客戶的商業引擎即檢查是否包含惡意程式或是否經盜用的存取。如果判定為惡意行為,就可決定通報管理平台或是封鎖帳號等措施。此外銀行客戶也可以將異常訊息送到F5的安全管理中心(SOC)。客戶並享有專屬介面由F5提供專業管理、即時報表及支援服務。

第三個案例則是全球最大遊戲及博奕平台。半數營收來自用戶網頁的交易,流量管理負擔極重。例如,這家客戶IT管理人員面臨流量在一天之內從零飆到10G,挑戰之大可想而知。這家博奕平台在網路設計上將流量分成3部份:與顧客下單交易有關經過SSL加密的流量,僅佔5%。另有5%流量為SSL加密網頁流量,其餘90%則是未加密流量。只有和交易有關的5%流量是進入客戶自有資料中心,其他部份中,絕大多數流量由F5 提供快取服務。近日Google Chrome及Apple Safari近日要求所有網頁都必須加密,否則會被標示為不安全,也就是說,這90%的巨大流量都從無加密立刻增加加密需求,雖然只有1分鐘加密,也需要極大處理效能。幸好有F5解決方案,Big IP平台提供流量導流,由F5網頁應用加速(Web Application Acceleration)負責快取及流量清洗服務,過濾掉企圖入侵內網的惡意程式,以ADL為客戶流量解決加密,並由iRules提供SSL加密流量的控管。

圖 16:F5負責全球最大遊戲及博奕網站95%的流量快取與SSL加解密。

最後一個案例為日本的製造業專業服務商Yokogawa。該公司透過雲端提供客戶「生命週期效能管理服務」。為確保資訊安全,這家客戶希望前端以專用授權機器存取雲端,而非只是雙因素認證。採用F5 BIG-IP 存取政策管理結合CyberX機器憑證管理服務,Rest API及OCSP介面可整合前端裝置,即可在機器存取時檢測是否具有有效憑證。F5 BIG-IP具備Google Cloud、AWS及Microsoft Azure三大公有雲的支援,因而能為客戶提供全球App跨雲存取政策的集中控管,提供絕對存取安全性。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416