高效防禦混合雲攻擊 自動便捷雲端服務
企業要能夠提供雲端服務,並非只是讓伺服器連上網際網路即可,依德科技資深網路資安技術顧問張偉翰指出,雲端服務模式的基本特徵,企業首先要能做到按需自助服務(On-demand self-service),客戶需要多少資源,企業就要有辦法很快速地提供,因此要提供非常廣泛的網路存取能力,透過資源池(Resource pooling),快速彈性的提供各種可以計量的服務。
因此,不管是哪一種雲端服務,張偉翰認為,企業都會碰到客戶要多少就要給多少資源的壓力,因此多半會需要一個很大的資源池,而且因為提供服務的伺服器,可能根本就不在當地,因此不但需要備援機制,而且這些資源的提供,都是透過Web及DNS來達成,網際網路上的各種運作,自然也都會碰到安全問題。
目前網路產業的主要挑戰,張偉翰認為,包括如何保持應用程式的正常運行時間和可用性;IPv4用盡的時候,該如何面對,以及如何與整合到IPv6;如何減輕複雜的網路攻擊,更是重點,因為網路攻擊可能會讓網路服務崩潰;網路架構必須要有能力感知到各種應用的狀況,才能提供完整的服務,而應用的規模與安全服務等級更要達到100Gbps。
張偉翰認為,其中最主要的挑戰,就在於企業在提供雲端服務時,都會牽涉到網路第七層的應用,以前可能只需要讓網路穩定,現在的網路架構卻必須能夠察覺應用的狀況,因為企業如果要透過網路提供付費服務,就不能讓網路服務中斷,效能及穩定度就變得非常重要,硬體平台也因此受到很多的限制,為了讓服務不中斷,硬體非常重要,如提供多核心平行運算,承受攻擊的能力也會變得更強。
張偉翰以A10 Application Security Gateways為例指出,可以讓企業利用這個平台,提供雲端服務出口,以及企業內部網路的資源相互轉換,如IPv4轉換到IPv6的解決方案,同時也能提供DDoS網路攻擊的防護。而為了能讓應用資料中心能夠快速穩定的提供服務,A10還提供伺服器平衡負載等功能,或是透過硬體進行非常有效率的解密動作,進而達成7x24不中斷的網路服務。
要達成前述目標,硬體自然就非常重要。張偉翰指出,A10的核心架構具有多核心處理能力,透過進化創新的ACOS架構,允許多個處理器可以同時處理L4/7流量 ,並透過先進的超級計算技術,帶來真正的並行處理能力。
張偉翰以Box.net為例指出,Box利用A10的L7 Content SLB,可以識別是手機使用者還是電腦使用者需要資訊,再送出特定的資訊,如手機版或電腦版的頁面,使用者不需要自行選擇,另外一個則是RAM Cache的加速,透過將靜態網頁放在RAM Cache裡面的方式,可以讓使用者的需求不會直接送到伺服器,藉此來改善伺服器群容量的效率,也可降低頻寬需求,進而改善應用反應時間。
而在SSL Intercept方面,在監看SSL的過程中,會做一些與資訊安全有關的防護,張偉翰指出,在用戶與伺服器中間流通的應用都會加密,並沒有什麼解決方案可供觀看,而透過A10可以做到前後夾擊,讓第三方資訊安全設備可以進行檢測,再恢復加密,同時還可以做平衡負載。
張偉翰表示,A10具有威脅防護系統,可以進行即時阻擋。但由於入侵方式非常多種,企業可能會安裝許多入侵防護設備,如封包分析、App智慧偵測,A10可以透過API的方式,去化解攻擊的流量。
而在另一個aCloud IaaS的服務提供案例中,A10則是為多用戶託管服務,提供負載均衡解決方案,透過「隨收隨付隨發展」的模式,提供服務,並透過流量管理,應用加速和服務器卸載,提高服務效能。
張偉翰指出,雲端服務必須要有彈性,如果沒有自動,光靠手動很難做到有彈性,但透過負載平衡功能,可以在伺服器為了節省資源關閉之前,先行要求不要再送流量過來,就不會造成提供給用戶的服務突然中斷的現象。
由於DNS對於雲端服務的提供非常重要,許多攻擊其實都會攻擊DNS,導致雲端服務必須中斷,。A10可以提供DNS安全防護功能,除了透過負載平衡,僅合法的DNS流量通過外,如果遇到惡意請求,A10可以刪除請求,或是將請求轉發到特定的伺服器,進而做好防護動作。
因此,為了讓企業掌握DNS,張偉翰指出,企業可以利用Infoblox之類的產品來管理,如果受到攻擊或設備故障,管理員可以將任何備選機升級為主用機,並自動完成同步工作。成員設備可繼續維持現有服務,等到連接恢復後,再進行資料同步,而任何單獨的設備出現故障時,在放入新的設備後,新設備也會立即繼承前一台設備的所有配置屬性,甚至可以企業在服務不停頓的環境下更新系統。