F5多雲研討會:多雲環境時代來臨 企業如何確保應用效能與可靠性?

F5 Networks於2018年6月1日舉辦多雲研討會,探討如何在多雲環境中,部署一致性的安全政策,協助企業解決快速進化的安全威脅,確保企業數位轉型的成功。

F5 Networks「2018應用交付現狀報告」中發現,有87%的企業客戶使用一個以上的雲端服務,為企業網路環境正式帶來多雲時代的挑戰。大多企業採用了11到20個應用服務,它們分佈在五個不同的類別中:可用性、性能、安全性、身份和行動性。這表示您將接收到分散在多雲環境供應商中的多種服務,卻無法有效管理它們,不一致的安全策略更產生合規性的風險,多重雲端架構給IT技能差距帶來更大壓力。

因此F5 Networks於2018年6月1日舉辦多雲研討會,探討如何在多雲環境中,部署一致性的安全政策,協助企業解決快速進化的安全威脅,確保企業數位轉型的成功。

多雲環境成主流 全代理技術解決四大挑戰

今天建構私有雲整合公有雲端服務的多雲部署,已經逐漸成為企業IT常態。然而多雲環境卻也為企業帶來四大挑戰。

F5 台灣區資深技術顧問陳廣融指出,在許多行業中,企業自建私有雲,然而再從外部公有雲業者採購一家、甚至多家雲端服務的情形是現今企業相當普遍的營運模式。在容器(container)、虛擬化及Kubernetes技術支援下,雲端服務已經無所不在。然而這也對IT管理形成更大挑戰;首先,在應用服務遞送到使用者裝置,中間歷經不同網路型態、不同協定、以及不同應用,複雜的環境容易造成流量延遲,此外容器應用的運用,等同在雲中建立起為數龐大的小雲,而公有雲不論是Amazon Web Service、Microsoft Azure或Google Cloud Platform,所有第三方架構都有各自的網路環境,這些都增添IT營運管理的複雜性。

許多部署多雲端環境的企業面臨四大挑戰。包括DevOps部署不夠頻繁、跳過安全、維運規模過大、以及微服務與容器新式技術帶來的新問題。

首先,在數位轉型的趨勢中,公司要求應用開發快速更新換代,一天甚至要好幾個iteration,然而,在共享(shared Approach)模式下,企業動輒部署了上百或上百個App,經常有應用部署、升級、更新等經常與基礎架構產生衝突的情況而延宕了應用更新時程。報告顯示43%的企業IT更新不夠頻繁。

多雲共享基礎架構,是應用的部署及安全管理、維運的一大難題

而在上層的要求下,開發部門為了滿足交付期限,開發過程往往犧牲了安全。根據研究,企業平均有30%的Web App遭到攻擊,62%的漏洞曾被駭客開採,但發現速度卻太慢;漏洞從發佈到修補平均空窗期長達100到120天。多雲環境中邊界逐漸消失、攻擊面擴大。這些都說明了敏捷開發也帶來新的企業安全風險。

F5 BIG-IP能對多雲環境設備以自動化編排將政策及更新統一部署到設備上,達成安全及維運的一致性

F5 Networks應用交付控制器(Application Delivery Controller, ADC)產品BIG-IP Cloud Edition可在任何環境為每一個應用程式(per-App)部署關鍵應用服務,在開發到上線的每一步驟,都能實施以政策為基礎的自動化服務,讓應用程式所有者(owner)能夠在一個敏捷的架構內和基礎架構與安全部門協同合作,確保所有應用程式的效能、可用性和安全。

其次,隨著邁向多雲化環境,層層網路設備形成三明治式的IT架構,IT部門管理的設備愈來愈多。在這種環境下,已交付、部署的App若需確保安全及營運效能有賴自動化工具的導入。F5 BIG-IP自動化編排功能可以針對從路由器、應用防火牆、網路防火牆、負載平衡及快取(cache)設備設定範本(template)、腳本、和政策,並從中央儲存庫統一部署到終端裝置,達成一致化部署的目的,大幅提升管理效率。

最後,微服務(micro-service)及容器應用也帶來新的挑戰,因為它在原有的南北向流量外,衍生出東西向流量管理需求。F5應用服務代理(Application Services Proxy)在不影響生產環境及跨雲程式碼的情況下提供無探針的可視化(visibility)管理,或可結合ELK日誌分析平台,在單一介面上提供全面性的視角,還可以結合機器學習演算法針對大宗、長期的API調用邏輯進行大數據分析、建立邏輯拓樸,以偵測是否有異常流量活動及威脅,進而發出警告。

運用F5 Big-IP全代理解決方案以一致性的應用交付、安全與維運策略、及東西向可視化管理來管理多雲環境的複雜性和風險,使多雲的潛能獲得完全釋放。

F5應用交付管理解決方案建立靈活、安全、高擴充性的多雲營運架構

現今各國企業相繼擁抱雲端作為營運的基礎架構。澳洲、新加坡等觀念較前進的國家,金融業將IT系統搬上雲端相當普及,而形成混合雲的營運環境。而以製造業為主,或是IT觀念保守的國家如印度,也慢慢接受將部份系統搬到公有雲上。

F5 亞太區解決方案架構師張益杭指出,混合雲的部署顯示企業尋求數位轉型的決心,不過他也提醒多雲環境帶來的挑戰。根據估計,到2021年新式應用服務將以19%的年成長,每家企業平均有200個應用程式。而為了滿足新式應用開發及快速上線的需求,以澳洲企業而言,有高達60%成立了DevOps團隊,40%的IT應用支出和DevOps有關。但是安全威脅隨之而來;Web應用攻擊已成為最主要的資料竊取管道,但只有36%的企業採購Web防火牆建構應用防護。

F5 亞太區解決方案架構師張益杭

但是對應用開發團隊而言,、滿足快速上線的目標才是第一要務,安全並不是他們關心的議題。缺乏自助服務(self-service)機制阻礙應用上線的敏捷性,也使得比例高達65%的DevOps部門寧願繞過傳統IT安全政策,將業務和其他系統置於危險之中。因此一個能提供快速可視化的自助服務平台,將有助於NetOps(網路營運)部門和應用開發部門順暢協同。

過去即使有強大的NetOps團隊可專注管理基礎架構的高可用性、穩定性及安全,但是一台F5 BIP-IP平台動輒管理上百個應用程式,分析起來也不是簡單任務。F5 BIP-IP Cloud Edition正式為解決這個問題而生。它整合了BIG IQ 6與per-app ,可在多種情境中提高應用交付控管(Application Delivery Control, ADC)能力。

首先,它可在任何環境為每一個應用程式客製化VE(Virtual Edition)部署以提供可視化(visibility)能力,了解每稱為個別應用程式(per-app)的管理模式。好處是能適應並滿足每個應用服務單獨部署的效能需求、一旦有錯誤則可故障隔離以减少對業務影響、並透過自動化調配提高生產力,還提供簡單易用的報表及清楚的網路拓墣圖,協助網管部門深入了解App運作狀況、關鍵指標和警告事件。

可視化個別應用(per-app)分析視圖,讓企業快速了解應用程式運行狀況、關鍵指標和異常事件

其次是確保應用的安全性。因為工作性質的差異,應用開發部門並不重視軟體漏洞或瑕疵(bug)的存在,根據IBM一項研究,44%的開發人員知道出版到生產環境的程式碼是有漏洞的,但卻沒有採取任何作為。但是為每個應用程式部署專用防火牆成本過高,並不實際。此外,網管團隊其實也不了解安全類的設備。最好的方法是有專門的安全部門來制訂並部署安全政策。對於不熟悉的負責團隊,BIP IP Cloud Edition可提供經安全驗證的範本(template)及組態的選擇。他們可以複製範本輕易部署到網路設備上,也可以客製化後再部署。

44%的開發人員知道出版到生產環境的程式碼是有漏洞的,但卻沒有採取任何作為

此外,Cloud Edition提供圖形使用者介面的自助服務平台,讓應用開發部門即使不具網管專業也能快速部署。最後,它還能為突發的流量需求快速擴充,可根據閥值,例如CPU使用率到達88%,或是流量傳輸率來到1Gbps時自動擴充,等峰值流量消退自動關閉多餘的執行個體(instance)。現有6.0版本下,BIG-IP Cloud Edition已支援AWS與VMWare,6.1版將加入Microsoft Azure的支援,之後將再擴及Google Cloud Platform及其他公有雲平台。

利用F5 BIP-IP Cloud Edition的自動化應用交付解決方案,將可確保多雲營運架構應用開發敏捷性及安全、高可擴充性。

因應新型態資安威脅 WAF也需要進階

網路威脅日愈翻新,舊式網頁應用防火牆(Web Application Firewall, WAF)已不敷需求,F5認為API安全­-新一代WAF才能滿足現代企業安全防護需求。

現今網路威脅結構已經和過去大不同相同。像是Web漏洞、網頁機器人、Java Script Web注入攻擊或是應用層分散式阻斷攻擊(DDos)等都是新興威脅。Web應用安全已然變成資料外洩最主要管道。2017年底,美國第三大消費者信用調查業者Equifax未能及早修補網頁伺服器元件Apache Struts 2的一個漏洞,導致21萬筆用戶個資及信用卡資料外洩。

F5 Networks台灣分公司資深技術顧問許力仁

此外,行動、雲端應用的普及促成了API經濟的興起,然而API防護並未獲得與Web應用同樣的重視,也讓API成為新的駭客攻擊目標。OWASP(The Open Web Application Security Project ,開放網路應用程式安全專案)去年公佈十大網路資安風險(OWASP Top 10)中,新上榜名單都和API有關。

F5 Networks台灣分公司資深技術顧問許力仁指出,7、8年前問世的WAF是採被動防禦思維設計,要遭到攻擊才會啟動偵測,然而現今攻擊法愈來愈高明,像是DDoS可以分散在龐大機器人以迴避偵測,或是隱藏在SSL加密流量中進入網路。舊式WAF已經無法滿足防禦需求;新的WAF必須要能化被動防禦為主動出擊。

拜API經濟興起之賜,OWAPS 2017年十大威脅名單新進榜者有2項和API有關,也是新式WAF的課題。

有鑒於此,F5 Advanced WAF,API安全-新一代WAF(Advanced Web Application Firewall)應運而生。首先,機器人發動的惡意攻擊流量可以繞過傳統黑、白名單過濾,但是F5 Advanced WAF,具備特徵碼、採集瀏覽器及用戶端程式指紋辨識、發送CAPTCHA,及針對連線、呼叫行為及流量邏輯分析,來判別是否為機器人的呼叫流量。此外也運用機器學習發展出行為分析能力,自動學習以判讀阻斷攻擊(DoS)流量,防止Layer 4到Layer 7層的DDoS攻擊、機器人搶標、破解用戶密碼、或是大量垃圾留言等。

過去駭客以暴力破解密碼作法效率低落,於是轉向暗網購買帳密資訊,利用機器人進行帳號破解攻擊。針對此類威脅,F5 Advanced WAF可以做到帳號層級的偵測,協助網管或資安部門人員更快掌握受害者清單。利用DataSafe技術,能夠做到應用程式層級的欄位加密,企業即可在不需修改網站應用程式情況下,提供Ajax全程加密、動態加密網頁內容、HTML欄位內容混淆,藉此保護敏感資料,像是用戶在瀏覽器輸入的密碼,防止帳號密碼被鍵盤側錄或中間人攻擊讀取網頁內容。

F5 進階網頁應用防火牆,提供全方位的應用層安全防護

F5 Advanced WAF內建黑白名單技術、機器人防禦、應用層DDoS防護、API攻擊、SSL解密過濾及負載平衡功能,可防禦各類型網路威脅。Advanced WAF還內建地理資訊資料庫,並提供IP聲譽、裝置指紋及帳號外洩資料庫額外選購,提升企業對攻擊情報掌握能力。許力仁指出,藉此F5 API安全-新一代WAF才能在現今新式資安威脅環境主動出擊,提供企業最完整的防護。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416