F5 Anticipate Taiwan 2017：應用成為新邊界 企業數位轉型是危機也是轉機

雲端應用的興起，愈來愈多企業架構私有雲環境、將應用導向公有雲，或是建立兩者兼具的混合雲，以及架構更複雜的多雲環境。這迫使企業必須重新設計業務流程、改革 IT 基礎架構或是強化人員訓練，以便強化自己在現今市場上的競爭力和影響力。根據一項針對財星五百大企業進行的調查，有 1/5 的企業已經將半數以上的應用部署在雲端上，只有 15% 還沒有部署雲端應用的計畫。

F5 Networks 亞太區業務資深副總裁 Adam Judd 指出，這些企業可能還不了解「不轉型」的危機，因為他們的客戶已經率先擁抱雲端。例如他們以 WhatsApp 彼此保持聯繫，用 Uber 網路叫車，不再以電話「打滴」。而在中國，顧客匯款給朋友或上街購買全部都用 WeChat 而不經過銀行或信用卡。

雲端應用蓬勃發展，Gartner 估計全球雲端市場產值到 2020 年將成長到 3,833 億美元。今年全球連網裝置也已超過 84 億。然而數位轉型的企業碰到的另一項挑戰來自暗黑界；網路攻擊輕則引發網站掛掉，重則導致營運中斷、財務損失、重要客戶資料或商業機密被竊。2016 年 DNS 代管服務供應商 Dyn 遭遇到史上最大的 1.2 Tbps 分散式阻斷攻擊 (DDoS) 流量而癱瘓。Judd 並指出，網路攝影機經常被當作發動 DDoS 攻擊的跳板，或是殭屍網路，而亞太區國家在其中則是「名列前茅」的受害者。

在數位轉型浪潮中，雲端應用成為企業營運的最前端。以 F5 一家分行遍佈亞太區各地的銀行客戶為例，光是一個應用市集，就提供 3000 到 5000 個 App。今天企業資安預算分配來看，仍然視防火牆為雲端週邊 (perimeter)。事實上，現今 App 已經成了新「週邊」，而一個完善的資安防護策略也應該循著這新思維而建構。

F5 台灣分公司總經理張紘綱則說明，F5 從早年的網頁防火牆 (WAF) 開始，已經發展出應用為中心 (Application-centric) 的完整安全解決方案，在防火牆、資料外洩防護 (DLP)、防毒、入侵偵測／入侵防護及進階精準攻擊 (APT) 防護之外，提供多樣化資安解決方案，確保使用者安全存取 App，建立管理的透通性，以及提供應用的安全性，實現端對端的防護。

物聯網時代 建立端到端的應用中心資安策略

萬物聯網及雲端解決方案的出現，促成了企業向雲端轉型的大勢。然而新一波威脅也相應而來，企業是否做好了準備？

企業與消費者加速擁抱雲端，根據 Gartner 統計，全球雲端市場產值去年為400億美元，預計到 2025年將成長 5倍突破 2100億美元。如今每個企業或多或少都有雲端建置規劃。依據一項針對財星五百大 (Fortune 500) 企業的一項調查，有超過 70% 的企業認為未來 2 到 5 年內雲端對公司將有策略重要性，而未來 12 個月內有採購雲端解決方案的企業更高達 73%，不論是私有或公有雲。另外，根據調查，企業內部 50% 以上應用搬移到雲端上的企業比例高達 1/5，只有 15% 的企業完全不仰賴雲端應用。

伴之而來的問題是物聯網及相關。研究估計 2017 年全球連上私有、公有雲或是網際網路的裝置已超過 80 億，但這也讓物聯網及企業成了駭客眼中的肥羊。今年初美國一所大學也遭到 DDoS 攻擊，發現連路燈及自動販賣機也可拿來當攻擊跳板。2016 年知名 DNS 代管業者 Dyn，承受了高達 1.2Tbps 的 DDoS 流量最後癱瘓。2016 年美國一家珠寶商遭到 2.5 萬台網路監視器組成殭屍網路發動分散式阻斷服務 (DDoS) 攻擊，結果居然最大宗攻擊流量來自中國及台灣的產品，這也顯示台灣企業可能隨時成為駭客全球肆虐下的工具或攻擊受害者。

F5 相信，現今的應用 (Application) 已經是通往企業資料寶庫的閘道。然而物聯網的興起以及雲端應用的普及使得網路攻擊面 (attack surface) 變得更廣，擴及公有雲、私有雲、雲端互連 (interconnect) 區域、容器環境等，任一環節都可能成為駭客入侵管道。因此 F5 台灣分公司系統工程部總監莊龍源指出，現在光是防火牆等網路層防護已經不足，為了確保資料的長治久安，建構資安策略最有效率的方法是從應用層著手，形成以應用為中心 (Application-centric) 的安全。

F5 的應用中心安全必須包括三項基礎要素：可視性 (visibility)、行為與情境 (behavior & context)、控管 (control)。可視性包括是否能突破加密監看內容、以及基礎架構層是否夠敏銳，可察覺 App 處理的內容，這又和第二項要素有關：行為與情境。行為與情境意謂著安全策略不能只著眼單一 App，而是必須擴大到 App 的情境或上下文 (context)，例如 DDoS 的防禦策略，除了 App 外還必須考慮 App 處理資料的風險、使用者行為，及雲端的來龍去脈。控管就是在你掌握了如此多資料後要如何建立資安策略。此時，一個透通及全面的控管平台則可幫助你從網頁、路由器、防火牆、DNS、到 App 各環節建立一致性的安全防護，防止百密一疏，被攻擊者乘虛而入，同時還能將此策略應用到多雲環境。

F5 以應用為中心的資安解決方案，正滿足了可視性、行為與情境及控管三大要求，並整合合作夥伴提供的威脅情報服務，建立「應用之所在，安全隨之」(security follow the application)，也就是不論網路或資料儲存架構型態，都能提供終端裝置 App 連到雲端之間端到端 (end to end) 的全程保護。

企業數位轉型 資安思維不可少

在萬物聯網的時代，為企業經營帶來安全挑戰，因此一個追求位轉型的企業必須將資訊安全納入考量。

英國標準協會 (BSI) 台灣分公司蒲樹盛首先勾勒近百年來科技普及的速度。飛機自發明到普羅大眾都有機會搭乘花了 68 年，電話則需要 50 年，電視和電腦在人類社會普及各花了 22 和 14 年。但是這些都是過去式了，現代科技從誕生到大多數人都會使用，這種偉大成就只要幾年就夠；iPod 只要 3 年、臉書 (Facebook) 更只要短短 2 年。

他舉例，今天將近 10 億的人以 Facebook Messenger、WhatsApp 或 Line 聯繫私事或公事，在中國，不論你是匯款給朋友、到菜市場買菜、甚至捐錢給路邊的街友，都可以用支付寶把錢即時轉到對方帳戶！談到企業的日常流程，以前許多要用車票存根黏貼請款單申請差旅費的企業，現在都轉用 Conquer，然後財務部門可以統一審核全球分公司請款作業，並集中分析所有公務花費。另一方面，現今從汽車、電視、冰箱到工廠生產設備，也就是說在 Facebook、Amazon、Apple、Netflix、Microsoft、Google 及 Tesla 主宰現代網路經濟，所有企業也都必須因應消費者行為所趨、而展開數位轉型的歷程。

然而在此同時，企業也將必須正視數位轉型中如影隨形的資安挑戰。除了 Line 帳號詐騙、誤觸假造按讚遭植入木馬程式等對消費者的資安威脅外，企業也難逃駭客的覬覦。例如，今年初台灣 6 家券商遭到駭客發動分散式阻斷服務 (Distributed Denial of Service, DDoS) 以勒索數十萬台幣，不從者則可能面臨更大規模攻擊。而且，發動 DDoS 已經不再是電腦天才的專利了，現在網路上攻擊工具唾手可及，甚至還有「外包服務」，「客戶」只要付了錢，就可以預訂精準的攻擊時間、以及攻擊對象，令企業資安陰影雪上加霜。根據世界經濟論壇 (World Economic Forum) 已經將網路攻擊、資料詐欺或竊取，以及關鍵基礎架構潰散列為《全球風險報告》的三大風險來源。

隨著企業資安威脅日愈氾濫，歐美國家也亟思將之法制化。例如美國紐約州制訂紐約金融服務部網路安全法規 (New York Department of Financial Services Cyber Security Regulations)，要求銀行、保險公司等金融機構必須設立資訊安全長 (CISO)，必須要有明確及完整的網路安全防範方案，同時這些機構的資安單位必須證明具有防範及回應網路入侵的能力。新法預定在 2018 年 2 月上路。

此外，歐洲有「歐盟資料保護規範」(General Data Protection Regulation，GDPR)。於 2016 年 4 月核准生效，規定歐盟公民擁有「被遺忘權」，即有資料不被搜尋的權利；資料可在不同服務間移動的「資料可攜權」；以及有權反對資料被他人處理的「反對權」。違反者將依據情節，可由歐盟或成員國資料保護主責機關，處以其所屬企業公司年營業額最高 4%，或是 2,000 萬歐元的行政罰鍰。

或許你以為歐盟法令和台灣無關，事實上，GDPR 適用對象將涵蓋提供產品或服務給歐盟成員國居民、或於歐盟境內從事系統性監控等涉及敏感個人資料蒐集活動之境外公司企業。也就是說，只要客戶中有一位歐盟公民就需合規，因此 GDPR 一旦施行，全世界都受到影響。

因應嚴苛的資安挑戰，企業必須掌握 4P 要項：Product、Partnership、People、Process。即在合作夥伴支持下，透過導入適合的安全產品、同時從制度著手，建立適當的人事管理與流程，例如 IOS 27001、ISO 27018、ISO 22301 或 IOS 27034，防堵有心或無意的機密外洩或網路入侵。

突破攻擊者偽裝  資料防護滴水不漏

現在網路威脅變化多端、充滿偽裝，防不勝防。你小心翼翼不隨意下載來路不明的影片檔改看串流，結果仍不小心點選釣魚郵件進入假冒網頁，使攻擊程式下載到電腦中。

今年初一款 MacOS 的惡意軟體 Mac Downloader 運用瀏覽器攻擊框架－BeEF，冒充過包括美國空軍及牙科網站，誘騙不知情的用戶連進網站下載到 Mac 電腦。此外，還有勒索軟體虎視耽耽，藉由社交工程及漏洞攻擊蔓延，加密綁架使用者重要檔案以向用戶強索贖金。今年 5 月的 WannaCry 就席捲超過百個國家及 40 萬台電腦。面對變化多端的網路威脅，如何確保個人資產變得格外重要。

F5 Networks 安全架構師 Shahnawaz Backer 指出，網路威脅之所以防不勝防，主要因素在於網路設備應用透通性低；無法看透由外進入的應用加密流量內容，也無法了解應用情境及使用者行為。此外，安全產品相互整合度不足，而企業高度異質環境，涵括公有、私有或混合雲端，導致安全政策難以貫徹執行而形成防護此的漏洞，給了惡意程式及攻擊者可乘之機。

他表示，隨著網路攻擊手法愈來愈進步，防火牆、入侵偵測等網路層防護已經不足。如今資安防護談到「邊界」(perimeter)，所指概念恐怕不再是防火牆，而是一個又一個的應用，應該從應用層著手，建構以應用為中心 (application-centric) 的資安策略。

F5 Network 認為應用為中心的防護必須滿足可視性 (visibility)、行為 (behavior & context) 與情境及控管 (control) 三大基礎要素。可視性意指突破 SSL 加密監看內容、以及強化基礎架構層察覺應用處理內容的敏銳度。Shahnawaz Backer 並指出，安全策略不能只著眼單一應用，而必須擴大到應用的情境或上下文 (context)，例如 DDoS 的防禦策略，除了應用外企業還必須考慮應用處理資料的風險、使用者行為，及雲端與周遭的關係，這就是第二個要素– 行為與情境的內涵。最後，所謂控管則是在企業掌握了應用內容、使用者行為、情境等資料後，用以建立完善資安政策。

因應大部分的網站和應用程式流量採用的 SSL 加解密，F5 Networks 推出新一代的 Herculon 安全方案。F5 Networks 的 Herculon SSL Orchestrator，專門負責 SSL 相關的工作，再送至 F5 檢測設備，即用來填補應用資料加密所產生的能見度空隙。它採用專用的 SSL/TLS 硬體，提供領先的加解密能力、情境感知動態服務鏈以及原生整合性。它採用深層防衛策略，以強化偵測、安全維護與協調。而 F5 Big-IQ 集中化多雲端環境間網頁應用防火牆的安全規則，運用 iRules 制訂彈性的管理規則，同時整合 F5 及合作夥伴的威脅情報，確保網路安全的縱深防禦。

F5 以應用為中心的資安解決方案即具備可視性、行為與情境及控管三大要求，整合威脅情報服務，協助企業建立「應用之所在，安全隨之」(security follow the application)，也就是不論網路或資料儲存架構型態，都能提供使用者到雲端應用之間端到端 (end to end) 的全程保護，確保資料的機密性、完整性及可用性。

資安軍備賽時代　魔高一尺　道要高一丈

網路犯罪手法日新月異，而與資安防禦成了一種技術和軍備的競賽。唯有比犯罪者更高明，才能確保資訊環境的長治久安。

近年網路攻擊愈來愈複雜，愈來愈不容易發現。首先，隨著隱私需求、PCI DSS 等法規要求，Web 應用程式的採用、Google、蘋果等大廠支持，以及金鑰管理服務 Let’s Encrypt 讓存取愈來愈方便，推升 SSL/TLS 加密的興起。根據市場研究機構 Gartner 的統計，SSL 加密流量佔 Web 整體流量的 15%-25%，這個比例在金融服務業更高達 40%，同時以每年 10% 到 20% 的速度增加。為了防範此類攻擊，市場上的安全產品紛紛增加 SSL 加解密能力，卻帶來效能下降的副作用，幅度可能高達 80%。這使得網路安全設備無從掃瞄流量，而使惡意程式在加密掩護下潛進公司網路。

此外，新式惡意程式大行其道。隨著 Web 應用普及，瀏覽器及 App 攻擊如 Java Script Web 注入攻擊行為愈來愈多樣化，它們篡改瀏覽器開啟的網站內容、引導到假網站、鍵盤側錄使用者名稱及密碼、允許攻擊者遠端操控、結合手機惡意程式破解密碼驗證程序、甚至發動 DDoS 攻擊等。例如木馬程式 TrickBot 就在今年 5 月發動兩波攻擊，透過垃圾電子郵件感染歐洲、澳洲、紐西蘭及加拿大等 20 多國銀行電腦，並將重要資訊透過加密通訊傳到外部 C&C 伺服器。

另外許多企業自建私有雲、介接公有雲，更多是兩者兼具成為混合雲架構。許多企業導入雲端，理由在於營運一致性、簡化管理、可擴充性、控管、自動化效率等，但是完全沒有考量到安全性，這也將令企業面臨管理挑戰，並使雲端環境的效益打折扣。

F5 Networks 台灣區資深技術顧問許力仁指出，因應攻擊程式更高明、SSL/TLS 加密威脅、異質雲端複雜性，因此 F5 認為完善的安全防護應滿足可視性 (visibility)、行為 (behavior & context) 與情境及控管 (control) 三大基礎要素。可視性是指突破 SSL 加密監看內容、以及強化基礎架構層察覺 App 處理內容的敏銳度。App 安全策略必須擴大到 App 的情境或上下文 (context)，例如 DDoS 的防禦策略，除了 App 外企業還必須考慮 App 處理資料的風險、使用者行為，及雲端與周遭的關係。所謂控管則是在企業掌握了應用內容、使用者行為、情境等資料後，用以建立資安政策。

F5 以擁有全代理 (full proxy) 技術 AFM(BIG-IP Advanced Firewall Manager) 為基礎開發的全新防火牆產品 S/Gi Firewall，除了擁有傳統的防火牆功能之外，還能夠深入檢測各種通訊協定內容，不但能夠提供異常偵測、DDoS 防禦、SSL 檢測、IP 地理定位及加密防護，也能夠依據企業的需求，彈性調整或切割防禦區域，確保更大的防護效果。

F5 S/Gi Firewall 而言，每秒同時連線數高達 5.76 億，資料吞吐效能也有 640Gbps，足以應付各種規模服務供應商或電信業，也提供虛擬化的功能，可適用於實體網路或虛擬環境。利用 F5 Networks 的全代理架構，可提供安全的應用程式存取，保護來自任何設備，使用者在任何時間的存取請求，並結合應用程式防火牆、IP 聲譽資料、SSL 封包檢查、DNS 防護及 DDoS 防護方案等，不論應用程式在哪都能獲得防護。

資安防護與網路攻擊有如軍備競賽。唯有比駭客跑得更快、做得更完備，才能提供使用者到雲端 App 之間端到端 (end to end) 的全程保護，確保資料的機密性、完整性及可用性。

FireEye：加密流量的 APT 攻擊與防護

企業網路的安全性升高，駭客攻擊的技術也跟著趕了上來。近年企業紛紛藉由加密網頁流量強化安全性的同時，也需注意要如何因應在加密流量掩護下入侵的 APT 攻擊。

FireEye 台灣區首席技術顧問蕭松灜指出，企業建構混合雲環境成為趨勢，許多公司為確保安全，同時在 Google、微軟等瀏覽器業者要求下，紛紛導入網頁 SSL 加密。他引述該公司某家客戶的統計，HTTPS 流量佔了所有該公司辦公室連網作業（包括收發電子郵件或存取公司雲端文件）流量的 21%，甚至另一家客戶已經達到 60% 或 65% 之譜。同時間也有惡意程式，包括勒索軟體或 downloader 隨著這些電子郵件或文件進入員工電腦，或從員工電腦對外散佈。此外還有惡意程式是藉由洋蔥網路 (Tor) 傳播，傳統網路層安全產品無法偵測，也讓這類威脅成為企業安全的一大隱憂。

而 FireEye 正是解決 SSL 網頁加密帶來的威脅。首先，在 MVX 檢測系統下，FireEye 針對進入的加密流量會先後進行靜態與動態分析，攔截惡意程式。其中動態分析將未知的可疑程式下載到沙箱中模擬執行，分析其行為，像是連結的 C&C 程式、下載了什麼 downloader 等。而在檢測過程判斷為惡意程式即將之攔截、隔離並對終端用戶發出告警。最後在鑑識取證中，將惡意程式行為錄製下來，最後 FireEye 將分析結果，包括攻擊手法、攻擊程式特徵等回饋到沙箱，FireEye 深度檢測 (DPI) 設備 15 分鐘後即可獲取及升級防護資訊。

FireEye 特別之處在於即使惡意 URL 藏匿在 PDF 或 Word 檔中，也能將之抽離出來在沙箱中模擬。FireEye 動態威脅情報服務則透過雲端持續更新惡意威脅防護能力，並支援 Chrome、IE、Firefox 各式主流瀏覽器、Adobe Acrobat、Flash、Java 等環境。

FireEye 的端點安全方案 HX 來自收購 Mandiant 的 Redline 技術，具備事件調查能力，一旦確認入侵徵兆，就會立即通知、傳送一份完整報告，向管理員說明威脅的背景資訊，包括攻擊者、目標、時間及手段，例如登入了哪台機器、下了哪些指令、改了哪個 registry 或產生什麼檔案等，並提供有效的應變措施。必要時建議立即隔離系統，阻止攻擊者在企業中橫向移動。

FireEye 全球第 4 大的情報團隊平日即跟蹤、研究各大駭客組織的行為及手法，因此在遇到疑似駭客攻擊時，FireEye 還能告訴你可能是哪個駭客組織所為。相較一般情報服務，它不只發出警告，客戶還能在它的攻擊手法資料庫搜尋，以便在緊急回應獲得可立即上手的因應措施。

結合 EX、NX、FX 及 HX，FireEye 將網路端偵測能力擴充到端點。整個系統彼此聯動，沙箱過濾封鎖惡意程式後、發出告警，並依分析結果建立 IOC(Indicators of Compromise) 迅速部署到 FireEye 前端設備，並可和市面上主要廠商的 SIEM 產品無縫接軌。而結合 F5 的 SSL 解密功能則可使加密流量更難逃安全檢測法眼。

VMware 提供資料中心靈活而細部化的安全防護

由於網路犯罪手法日愈刁鑽，傳統防火牆已不足以把威脅阻擋在外，軟體導向式的安全防護則可符合資安防護更加細緻化、更無所不在的需求。

VMware 台灣分公司資深技術顧問饒康立首先說明企業主流的網路環境架構。現今企業因應業務需求、IT 建置及維運成本，往往為私有雲、公有雲及混合雲兼具的環境，同時要求服務跨資料中心及跨雲的運作。這也這是虛擬化需求的源起，將運算、儲存、網路及安全應用全部集中成為資源池成為軟體定義資料中心 (software-defined data center)，配合虛擬化技術如 VMware vSphere，提供資源的彈性部署及集中監控、配置。資料中心的功能，不論是 VM、路由器、交換器都能透過 API 呼叫，再也不需填需求單要求 IT 部門協助配置，達成 IT 自動化及敏捷開發的目的。

VMware NSX 則延續 VMWare 虛擬化的願景，扮演網路與安全虛擬化的平台。它用封裝機制在企業現有實體網路上建立跨區域、跨雲端的邏輯網路，藉由雲端平台呼叫實現、部署軟體式防火牆、路由器、交換器、閘道器功能，提供第 4 層的安全防護，並且可中央化進行負載平衡設定，快速回應業務部門需求。更好的是，整個安全強化的過程中都不需添購硬體設備，也不需變動現有網路架構。

另一方面 NSX 提供微分段 (micro-segmentation) 技術，比傳統網路層提供更細膩的防護。饒康立解釋，傳統硬體式防火牆的防護只能將惡意程式阻擋在防火牆外，一旦流量進入防火牆內，在各系統內就如入無人之境。VMware NSX 最大特色是可為每台 VM 主機前面配置防火牆、交換器及路由器、負載平衡器及 VPN 服務，進而達成零信任 (zero-trust) 等級防護，即每一台 VM 都受到保護，對每個封包都進行檢查，直接流量進入 VM 前進行最詳細、嚴密的安全控制。即使實體防護安全措施失靈，惡意程式攻入資料中心，同一個網段內的 VM 也不用擔心會互相感染，VMWare 稱之為東西向的安全防護。

第二特色是，微分段藉由將業務和資訊系統，利用自動化安全群組建立關聯，與網路完全脫鈎。IT 可針對不同用戶情境，劃分以 VM 性質、系統、區域或業務部門（銷售、財務）、應用系統（如 ERP）、任務特性（如開發、專案）為單位的安全群組，以安全群組作為流量的來源／目的地，根據業務邏輯設定對應的安全防護政策，不再侷限於傳統網路邊界。這種以業務為基礎的安全架構，可在像是業務變更、IP 位址異動、或是特殊時候 (如報稅時) 迅速變更安全政策，卻不需變更防火牆安全政策，使安全管理更為彈性。

VMWare NSX 第三特色是，它的微分段技術是一個平台，可以搭配不同資安廠商的產品，以形成完整的防護解決方案。NSX 是在網路第 4 層提供 VM 東西向安全防護，但它作為一個安全平台，可以搭配第三方廠商安全產品，包括 F5 Networks 的入侵偵測 (IPS)、次世代火牆、網頁控管，或是其他防毒、系統防護廠商提供的南北向安全防護。

除了 NSX，VMWare 的 vRealize Network Insight(vRNI) 整合 vCenter 可以視覺化顯示各機器間的點對點網路流向，像是實體及邏輯網路、防火牆，以及站點之間的錯誤狀態，或是各業務間的相依性，因此不論是 IT 系統異動、擴充或是平時維護，都能提供事前分析及規劃依據。

整合 F5 與 Palo Alto 提供新型態攻擊的防禦與阻斷

隨著勒索軟體及木馬程式愈來愈普遍，企業必須更重視應用層防護的建構，以阻絕新型態的安全威脅。

道高一尺，魔高一丈。今天網路威脅防不勝防，企業 IT 碰到最大的困難之一是惡意程式藏在加密流量中，由終端或外部進入企業內網。防治關鍵就是突破 SSL 流量加密檢視傳輸內容。這就是 F5 和 Palo Alto 的整合效益。Palo Alto(PA) 安全解決方案顧問林家笙解釋，兩者結合的效益在於使用者端 SSL 流量中傳輸可被快速檢查與過濾，由 F5 設備承載 SSL 加解密流量，再由 PA 次世代防火牆設備進行 L7 應用程式的辨識與內容檢測。

另一個挑戰是應用管理可視度相當低。今日企業內的應用變得更加複雜，例如有微軟 Active Directory(AD) 及 SharePoint、SAP 或 Oracle 等，使用多個傳輸埠 (ports)、多種個通訊協定（如 TCP、UDP）來傳輸流量。現今傳輸埠序號已不代表特別 App，例如多個應用因加密理由都使用 Port 443，特定 IP agent 也不等同使用者，而應用程式和通訊協定之間也沒有絕對關聯。她指出企業內部應用程式數量及複雜性之高，已經成了惡意程式流竄的溫床，可以說沒有企業內部流量是絕對乾淨的。

Palo Alto 提供資料中心內網路第 7 層的檢視，可協助辨識流量中的使用者及內容，例如是使用 AD 的是誰？誰在用 RDP、Telnet？是否為有權限的用戶正在傳送 Microsoft Word 或 Excel？透過對流量的積極管控，達到應用可視性。PA 提供涵括應用程式控管、網頁過濾、間諜程式與病毒防護、入侵防禦、檔案管理與 APT 防護等全方位安全，不論是社交工程、後門程式、下載惡意程式、擴散及竊取，或是軌跡消弭，都能滴水不漏加以攔阻在企業網路之外。

F5 確保了伺服器機群 (server farm) 的管控；F5 iRules 進行流量加解密，分流、權重及服務層級的保證。更好的是，除了市面上的應用系統外，PA 也支援企業自行開發的應用，甚至在不同的網路型態，不論是第 2、第 3 層網路，個人區域網路 (PAN)、無線網路、IPSec VPN、虛擬網路、或 MPLS，PA 都能制訂流量內容的監控，透過中央控管平台統一派送政策，也可配合不同業務單位營運需求配置不同容量。

現今大型企業包括花旗銀行、紐約票交所、摩根史坦利等面對勒索軟體、木馬程式、病毒等惡意程式竊取機密甚至竄改資料，都極度重視第 7 層的資安控管。儘管網路環境各異，PA 和 F5 的結合可因應企業不同環境，提供最完善的應用層防護。

F5 完整方案防護多種雲端環境：案例分享

在 Anticipate 2017 Taiwan 研討會上，F5 Networks 除了產品介紹及威脅演進的解析外，也由台灣分公司資深技術總監莊龍源分享了三個全球企業客戶的實作案例和成效。

第一個案例是混合雲安全。這家客戶是日本家電及汽車製造商，近年因應物聯網風潮而開發了連網家電、連網裝置及連網汽車，同時在 Microsoft Azure 建置雲端支援用以派送服務，包括功能更新、安全修補程式到終端（家電及汽車）。針對雲端安全，客戶首要要求是支援產品高速增長及快速上市，同時因為是漸進式投資，故希望能隨需求彈性擴充，而且不同雲具備一致的安全政策，才能將雲端安全複製到不同雲。此外，客戶也希望能阻擋 L7 層 HTTP volume-metric 與 App 層攻擊及偵測殭屍網路，並發展自動化開發與作業環境。

這家客戶採用 F5 的 Big-IP ASM、Big-IP VE、及 BigIQ，以及安全管理軟體 BigIQ 混合雲安全政策，並整合第三方 DAST 解決方案，結果讓企業客戶可以將 App 快速從 Azure Security Center 部署到雲端，Big-IQ 集中化多雲端環境間網頁應用防火牆的安全規則，運用 iRules 制訂彈性的管理規則，同時整合 F5 威脅情報，確保網路安全的縱深防禦。

第二案例則是澳洲紐西蘭地區第三大銀行，全球擁有 1,700 多家銀行、4.2 萬名員工，服務遍及澳、紐、英、美等國 120 萬客戶。這家客戶創下營收高成長，但瀏覽器及網路出現漏洞遭 Trickbot、Zeus、SpyEye 等惡意程式發動中間人 (MITM) 及瀏覽器中間人 (MITB) 攻擊。此外，還有用戶帳密遭到駭客竊取濫用，致使銀行蒙受詐騙損失，過程中雖然客戶早建置 SSL 及網路閘道器，但未能發生作用。因此這家銀行客戶決定導入 F5 的詐欺防護架構 (Customer Fraud Protection Architecture)。

在這項架構下，這家客戶採用 ADC App 應用交付方案，加入 AXN 模組提供第 7 層防護，並啟動全代理模式，而且在過程中，用戶應用系統不需變更。不論是網頁、網頁應用或其他資訊都經過加密後交付給使用者。而對於來自用戶端的流量，客戶的商業引擎即檢查是否包含惡意程式或是否經盜用的存取。如果判定為惡意行為，就可決定通報管理平台或是封鎖帳號等措施。此外銀行客戶也可以將異常訊息送到 F5 的安全管理中心 (SOC)。客戶並享有專屬介面由 F5 提供專業管理、即時報表及支援服務。

第三個案例則是全球最大遊戲及博奕平台。半數營收來自用戶網頁的交易，流量管理負擔極重。例如，這家客戶 IT 管理人員面臨流量在一天之內從零飆到 10G，挑戰之大可想而知。這家博奕平台在網路設計上將流量分成 3 部份：與顧客下單交易有關經過 SSL 加密的流量，僅佔 5%。另有 5% 流量為 SSL 加密網頁流量，其餘 90% 則是未加密流量。只有和交易有關的 5% 流量是進入客戶自有資料中心，其他部份中，絕大多數流量由 F5 提供快取服務。近日 Google Chrome 及 Apple Safari 近日要求所有網頁都必須加密，否則會被標示為不安全，也就是說，這 90% 的巨大流量都從無加密立刻增加加密需求，雖然只有 1 分鐘加密，也需要極大處理效能。幸好有 F5 解決方案，Big IP 平台提供流量導流，由 F5 網頁應用加速 (Web Application Acceleration) 負責快取及流量清洗服務，過濾掉企圖入侵內網的惡意程式，以 ADL 為客戶流量解決加密，並由 iRules 提供 SSL 加密流量的控管。

最後一個案例為日本的製造業專業服務商 Yokogawa。該公司透過雲端提供客戶「生命週期效能管理服務」。為確保資訊安全，這家客戶希望前端以專用授權機器存取雲端，而非只是雙因素認證。採用 F5 BIG-IP 存取政策管理結合 CyberX 機器憑證管理服務，Rest API 及 OCSP 介面可整合前端裝置，即可在機器存取時檢測是否具有有效憑證。F5 BIG-IP 具備 Google Cloud、AWS 及 Microsoft Azure 三大公有雲的支援，因而能為客戶提供全球 App 跨雲存取政策的集中控管，提供絕對存取安全性。