Brocade台灣區總經理 蔡穎碩在舊式的 IP 網路環境,安全性的建置是透過部署在網路邊界的裝置為之。然而,到了雲端時代,由於資料中心和網路涵蓋以及網路存取越來越趨行動化,邊界概念因此消失。好消息是,新 IP 網路 (New IP)-亦即強調開放、自動化和軟體定義以提升敏捷性和降低成本的現代化網路方法-讓我們能夠部署強固而普遍涵蓋的網路安全性。
本文目錄
網路虛擬化改善安全性
部署例如虛擬化網路功能 (Virtualized Network Function; VNF) 等服務是一種簡單而有效的方法。一些服務,例如路由、負載平衡、應用遞送與安全性、 Web 和網路防火牆、以及 VPN 等,可以即時移動並且透過遠端管理,不需要實體上進行重新部署和投入人力資源,提供顯著的營運與投資節省。此種成本節省讓我們有彈性可以更適切的配置功能,並維護相同的效能。我們可以將安全性配置到需要的地方,或者採取全面性的安全配置。當某些服務不再需要時,也可以將它們移除。這讓我們能夠真正的客製化安全性,包括依照地理區域或位置、功能、群組、個人或應用程式而配置安全性。
這種嵌入式安全性讓企業能夠確保從運算設施到雲端、員工至應用程式資源的資料法規遵循,並且建立分層安全性,包括透過 IPsec 加密、遠端存取 VPN 、全狀態檢測防火牆 (stateful firewall) 、以及嵌入在虛擬路由器和虛擬應用遞送控制器的 Web 應用安全性。
SDN控制器維護安全性
你可以在一個基底網路 fabric 之上,建立簡化的平階 (flat) 式 VM-aware 網路拓樸,在設計上享有較高的安全性。利用流量技術和一個可程式 SDN 控制器,建立集中化的網路行為檢視功能,以便能夠立即針對網路基礎內的安全威脅採取行動,並且將政策即時推播 (push) 到網路。再者,進階的訊息功能讓網路內的每一個裝置都能自動產生狀態與條件資訊,並將其推播到一個集中化資訊庫以供進行即時分析-朝機器學習 (machine learning) 安全性邁進一步。
移動中的資料加密
網路持續面對攻擊威脅,建立在資料中心、區域網路和廣域網路裝置的原生資料加密能力可以為跨越鏈路的資料提供保護。此種保護措施可以在不衝擊效能或增加成本,而且也不會增加特殊裝置回程流量複雜性的情形下達成,尤其對於那些不受企業實體控制的網路鏈路而言特別重要,例如介於不同資料中心、不同設施、以及設施與雲端之間的鏈路。
建立應用程式與使用者感知能力以維護用戶端至應用程式安全性
關鍵商業應用程式的存取需要多階層的保護,透過 app 建立的商業與消費者互動關係越來越需要仰賴更安全的 Web 應用程式。企業需要部署具備整合式 Web 應用防火牆以處理 SSL-based 流量的應用遞送控制器 (application delivery controller),並且要能夠彈性的針對個別使用者或客戶群提供符合個別應用程式需求的獨特安全性。
安全是開放而非封閉的
舊 IP 網路的一些獨立式安全設備例如防火牆、 IPS/IDS 、 DPI 、分析工具、資料加密儲存 (encryption-at-rest) 和移動中的資料加密 (encryption-in-flight) 等,都是用於解決各自特定的安全挑戰。它們之間沒有資訊交換與協力,而且欠缺能夠運用所有資源之關鍵學習能力的安全服務抽象層。
New IP 藉由硬體與軟體的混合建置,提供一種透過 SDN 控制器以與任何裝置或感測器 (實體或虛擬) 互動和通訊的標準化方法。感測器的所有資料都可以匯集並提供給一個分析引擎,以進行視覺化、辨識和採取行動。任何裝置的行為都可以改變,因為你可以通訊、程式設定和寫入。這提供了從網路萃取資料的能力,並可將其當成一個系統進行解析,Brocade 稱此為開放安全架構 (The Open Brocade Security Framework)-一種在多重廠商生態系統之內的安全資料交換和允許與多種安全單元互動的 API,提供更廣大的安全資料收集、關聯與政策執行。
安全是以行為為基礎-而非只是身分識別管理
New IP 網路在安全政策的實施上能夠以「行為」作為基準,而非只是管理身分識別。此種以行為為基礎的安全性,讓系統能夠更深入掌握典型和非典型行為以及攻擊程序的前置步驟,因此非僅可以舒緩已發生的攻擊而且能夠預防潛在的攻擊。必須謹記於心的是,大多數攻擊都存在一個內部因素,因此不能單憑身分識別管理來偵測攻擊。我們需要有方法可以偵測內部攻擊,以保護系統避免遭受那些取得合法存取權之使用者的惡用。風險因素行為分析、異常活動指標、以及偏離脈絡行為的偵測等,都是維護安全的關鍵要素。
安全是自我學習-而非靜態保護
New IP 架構的安全系統是持續學習並且自我優化,相反的,傳統系統則是仰賴與一個定期更新的資料庫進行型態配對。在傳統系統下,如果攻擊行為沒有任何與之匹配的型態,安全系統就無法判斷其為一項威脅。 New IP 架構比較靈活而且可以自我改善。藉由將巨量資料與機器學習概念運用到網路行為,安全系統將可以從回應性變成主動保護,從敘述性轉變成預測性分析,最後從靜態保護變成自我學習或調適性網路。