不怕 SSL 流量藏病毒 A10 全新 Thunder 防火牆徹底融合企業安全設備
據報導指出,2017 年全球網際網路所有流量全都會受到 SSL 加密保護,由於企業既有傳統防火牆並沒有能力檢視 SSL 加密內容,勢必會成為企業資安防護上的一大盲點。對此,A10 推出全新 Thunder 系列融合式防火牆 (Convergent Firewall, CFW) ,除具備內對外及外對內 SSL 流量之完備安全防護能力外,同時也能讓企業既有資方案發揮安全檢測及過濾的作用,確保既有資安投資不浪費。
本文目錄
SWG、DC/Gi 防火牆、DDoS 防護與 IPSec VPN 大融合
打從 2009 年 A10 推出全球第一款基於共享記憶體架構與多核心 64 位元應用網路平台作業系統以來,該公司便以創新網路應用與資訊安全領導方案商之姿不斷地推陳出新,2009 年該公司推出深受台灣企業及電信業青睞的 DNS 應用防火牆;2011 年為解決電信業 IP 不夠用問題而推出的 CGNAT 與 IPv6 移轉方案;2013 年推出最大傳輸速率可達 155Gbps 的地表最強 1U DDoS 緩解設備。
同時為了提升企業 SSL 封包內容檢查的能力,該公司並於 2013 年推出 SSL Insight(SSLi) 內容檢查解決方案,讓企業既有的防火牆及入侵防禦系統等安全設備仍能繼續發揮防護的作用。2014 年初,該公司在所推出的 ACOS 4.0 核心作業系統中,賦予全新可程式化架構,不但所有網安功能及應用皆可透過 API 進行控制,並使 A10 全系列產品更符合應用遞送網路 (ADN) 環境的需求,進而讓不同網安平台能與 A10 產品相互整合在一起。
A10 台灣區技術經理簡偉傑表示,接下來 2016 年 Q1 A10 的重頭戲莫過於隨著 ACOS 4.1 版的測試完畢而推出的全新 Thunder CFW。值得一提的是,CFW 一口氣囊括了四大高效、多功能的整合元件,除了支援高效能站點到站 (元件外,尚包括整合高效能網頁過濾 (URL Fltering)、SSLi 內容檢查與顯示代理 (Explicit Proxy) 等功能的安全網頁閘道器 (Secure Web Gateway, SWG);專為電信業者打造,並整合高效能狀態檢測防火牆 (Stateful Firewall)、電信級 NAT(CGNAT)、DDoS 防護及 Gi/SGi 介面防護等功能的 Gi/SGi 防火牆;融合高效能 L4 狀態檢測防火牆、L7 應用層閘道器 (ALG)、DDoS 防護及應用遞送控制器 (ADC) 等功能的資料中心防火牆。
簡偉傑進一步指出,使用者只需佈建一台 A10 Thunder CFW 設備便能同時享有上述四大元件帶來的多種網路與安全功能,企業可因此具備強大的 SSL 能見度,讓既有資安產品的投資及安全效益最大化,同時掌握先進政策執行能力、保護並優化資料中心伺服器,並能在大規模的網路環境和雲端環境提供安全無虞的資料加密通道。
融合式防火牆成為降低使用空間與發揮成本效益的最佳選擇
當前以防火牆為主的資訊安全方案莫不以高可視性與控制、增加更多安全功能及高效能等三個面向演進,隨著行動通訊的崛起、基於隱私權的 SSL 加密需求、全新漏洞的層出不窮,以及雲端化的需求等資安市場新驅動力的帶動下,未來高效能將成為防火牆的基本訴求,轉而會強調雲端化的能力。同時,在安全功能上除了會持續強化外,同時會將更有效率的使用列為首要的發展目標之一。
防火牆發展至今,莫不訴諸最大傳輸速率以展現高效能,但為了因應雲端化需求,未來防火牆將會全面加強靈活性、彈性外型尺寸與 100% 可程式化的能力。至於安全功能方面,現有資料中心/電信級防火牆,會從原由防火牆/VPN 及 DDoS 保護等主要功能,進一步擁抱電信級 NAT 及 ADC 控制器等功能。此外,當前企業用戶的安全考量也會在既有防火牆/VPN、DDoS 保護、IPS、APT、URL 過濾及資料過濾的既有基礎下,將 SSL 可見度及代理 (Proxy) 功能納入。
A10 全新推出的 Thunder CFW 即為能滿足未來企業、資料中心及電信級資訊安全需求的次世代資安解決方案。簡偉傑強調指出,CFW 與 A10 其他全新版本的網安產品線,例如 ADC、電信級 NAT,以及專門提供 DDoS 保護機制的威脅防護系統 (TPS),全都架構在單一的 ACOS 4.1 系統平台與強大多功能的 A10 Harmony 整合架構上,同時所有功能,舉凡 CFW、ADC、電信級 NAT 及 DDoS 保護,甚至 CFW 之下的 SWG、資料中心防火牆、Gi/SGi 防火牆及 IPSec VPN 等功能皆可透過統籌的 aGalaxy 中央管理系統,提供兼具方便與管理效益的集中控管機制。
「CFW 的資料中心及 Gi/SGi 防火牆,具備整合 150Gbps 優越性能在一台只有 1RU 大小設備上,可以有效避免網路層 DDoS 攻擊的威脅,」簡偉傑進一步指出:「A10 最大強項即在於能將防火牆、負載平衡及電信級 NAT 功能整合在 1RU 大小設備中,因而能有效降低資料中心的使用空間。」
不僅如此,CFW 內建的 SWG 機制能發揮挖掘隱藏威脅並提高生產力的效率,除了具備攔截惡意軟體、垃圾郵件、間諜軟體、廣告軟體、網路釣魚網站的能力及 URL 過濾功能外,並能有效提升 ICAP 性能。更重要的是,該 SWG 支援 SSL 加密內容的完整可視性能力,讓企業既有資安設備都能繼續發揮偵測並發掘問題的作用。
當務之急! 打破 SSL 加密流量淪為資安防護盲點
根據調查指出,為了防止資料外洩,SSL 加密已然成為今後趨勢,2015 年 SSL 加密將佔所有網際網路流量的 35%,到了 2016 年比重將突破 67%,進入 2017 之後,網際網路上再也沒有未經 SSL 加密保護的流量。雖然 SSL 加密機制的初衷是為了防止企業與個人資料遭到攔截,但不免也會淪為駭客及網路犯罪者們「暗渡陳倉」的工具,尤其企業既有的許多像是防火牆及 IPS 等資安設備,根本沒有能力檢視 SSL 加密內容,致使 SSL 加密反而成為資安防護上的一大盲點。
對此,A10 CFW 內建 SSLi 內容檢查解決方案,提供最廣泛的 SSL 支援與完整 SSL 流量可見性,A10 台灣區總監張元正表示:「在企業既有資安設備的前後安置 A10 CFW,如此一來,所有網路封包便能先經由 CFW SSLi 進行解密,然後再由 CFW SWG 及企業防火牆、IPS 等既有資安設備做多層次的掃描過濾,最後再由 CFW 加密傳送出去。」
張元正進一步指出,儘管市面上也不乏一些支援額外加裝 SSL 加密機制的資安防護方案,然而該方案一旦啟動 SSL 加密後,整體效能會有急速下降的狀況,反而會對整體安全防護能力造成不利影響。反觀 A10 CFW SSLi 能提供 10 倍快的效能表現,讓企業防護效能不打折,同時也可確保過去既有的資安投資能持續發揮效益而不致有浪費的情況。
當前不乏許多企業的資安防護仍停留在純粹防外的思維上,事實上當前許多資料外洩的威脅不莫來自內賊或 APT、後門程式的回傳之舉。對此,A10 CFW 提供了完備的內對外與外到內的資安防護,因而能在符合金融客戶對於端到端加密防護等法規遵循要求的同時,也能有效杜絕惡意 SSL 流量的攻擊。
「當前市面上其他家標榜多功能的資安解決方案,每啟動一項功能就需額外的授權費。A10 CFW 會預設內建所有功能,企業用戶可以自行決定要啟動哪些功能。換言之,企業完全不用擔心功能面的問題,只需依照自身需求及預算,選擇適合吞吐量大小的產品即可,」簡偉傑總結表示:「藉由單一的 ACOS 作業平台,能持續不斷地在其上添加全新網安模組,因而能確實滿足企業今後因應瞬息萬變的資安趨勢與需求。」