吳明宜F5 Networks「2018 應用交付現狀報告」中發現,有 87% 的企業客戶使用一個以上的雲端服務,為企業網路環境正式帶來多雲時代的挑戰。大多企業採用了 11 到 20 個應用服務,它們分佈在五個不同的類別中:可用性、性能、安全性、身份和行動性。這表示您將接收到分散在多雲環境供應商中的多種服務,卻無法有效管理它們,不一致的安全策略更產生合規性的風險,多重雲端架構給 IT 技能差距帶來更大壓力。
因此 F5 Networks 於 2018 年 6 月 1 日舉辦多雲研討會,探討如何在多雲環境中,部署一致性的安全政策,協助企業解決快速進化的安全威脅,確保企業數位轉型的成功。
本文目錄
多雲環境成主流 全代理技術解決四大挑戰
今天建構私有雲整合公有雲端服務的多雲部署,已經逐漸成為企業 IT 常態。然而多雲環境卻也為企業帶來四大挑戰。
F5 台灣區資深技術顧問陳廣融指出,在許多行業中,企業自建私有雲,然而再從外部公有雲業者採購一家、甚至多家雲端服務的情形是現今企業相當普遍的營運模式。在容器 (container) 、虛擬化及 Kubernetes 技術支援下,雲端服務已經無所不在。然而這也對 IT 管理形成更大挑戰;首先,在應用服務遞送到使用者裝置,中間歷經不同網路型態、不同協定、以及不同應用,複雜的環境容易造成流量延遲,此外容器應用的運用,等同在雲中建立起為數龐大的小雲,而公有雲不論是 Amazon Web Service 、 Microsoft Azure 或 Google Cloud Platform,所有第三方架構都有各自的網路環境,這些都增添 IT 營運管理的複雜性。
許多部署多雲端環境的企業面臨四大挑戰。包括 DevOps 部署不夠頻繁、跳過安全、維運規模過大、以及微服務與容器新式技術帶來的新問題。
首先,在數位轉型的趨勢中,公司要求應用開發快速更新換代,一天甚至要好幾個 iteration,然而,在共享 (shared Approach) 模式下,企業動輒部署了上百或上百個 App,經常有應用部署、升級、更新等經常與基礎架構產生衝突的情況而延宕了應用更新時程。報告顯示 43% 的企業 IT 更新不夠頻繁。
而在上層的要求下,開發部門為了滿足交付期限,開發過程往往犧牲了安全。根據研究,企業平均有 30% 的 Web App 遭到攻擊,62% 的漏洞曾被駭客開採,但發現速度卻太慢;漏洞從發佈到修補平均空窗期長達 100 到 120 天。多雲環境中邊界逐漸消失、攻擊面擴大。這些都說明了敏捷開發也帶來新的企業安全風險。
F5 Networks 應用交付控制器 (Application Delivery Controller, ADC) 產品 BIG-IP Cloud Edition 可在任何環境為每一個應用程式 (per-App) 部署關鍵應用服務,在開發到上線的每一步驟,都能實施以政策為基礎的自動化服務,讓應用程式所有者 (owner) 能夠在一個敏捷的架構內和基礎架構與安全部門協同合作,確保所有應用程式的效能、可用性和安全。
其次,隨著邁向多雲化環境,層層網路設備形成三明治式的 IT 架構,IT 部門管理的設備愈來愈多。在這種環境下,已交付、部署的 App 若需確保安全及營運效能有賴自動化工具的導入。 F5 BIG-IP 自動化編排功能可以針對從路由器、應用防火牆、網路防火牆、負載平衡及快取 (cache) 設備設定範本 (template) 、腳本、和政策,並從中央儲存庫統一部署到終端裝置,達成一致化部署的目的,大幅提升管理效率。
最後,微服務 (micro-service) 及容器應用也帶來新的挑戰,因為它在原有的南北向流量外,衍生出東西向流量管理需求。 F5 應用服務代理 (Application Services Proxy) 在不影響生產環境及跨雲程式碼的情況下提供無探針的可視化 (visibility) 管理,或可結合 ELK 日誌分析平台,在單一介面上提供全面性的視角,還可以結合機器學習演算法針對大宗、長期的 API 調用邏輯進行大數據分析、建立邏輯拓樸,以偵測是否有異常流量活動及威脅,進而發出警告。
運用 F5 Big-IP 全代理解決方案以一致性的應用交付、安全與維運策略、及東西向可視化管理來管理多雲環境的複雜性和風險,使多雲的潛能獲得完全釋放。
F5 應用交付管理解決方案建立靈活、安全、高擴充性的多雲營運架構
現今各國企業相繼擁抱雲端作為營運的基礎架構。澳洲、新加坡等觀念較前進的國家,金融業將 IT 系統搬上雲端相當普及,而形成混合雲的營運環境。而以製造業為主,或是 IT 觀念保守的國家如印度,也慢慢接受將部份系統搬到公有雲上。
F5 亞太區解決方案架構師張益杭指出,混合雲的部署顯示企業尋求數位轉型的決心,不過他也提醒多雲環境帶來的挑戰。根據估計,到 2021 年新式應用服務將以 19% 的年成長,每家企業平均有 200 個應用程式。而為了滿足新式應用開發及快速上線的需求,以澳洲企業而言,有高達 60% 成立了 DevOps 團隊,40% 的 IT 應用支出和 DevOps 有關。但是安全威脅隨之而來;Web 應用攻擊已成為最主要的資料竊取管道,但只有 36% 的企業採購 Web 防火牆建構應用防護。
但是對應用開發團隊而言,、滿足快速上線的目標才是第一要務,安全並不是他們關心的議題。缺乏自助服務 (self-service) 機制阻礙應用上線的敏捷性,也使得比例高達 65% 的 DevOps 部門寧願繞過傳統 IT 安全政策,將業務和其他系統置於危險之中。因此一個能提供快速可視化的自助服務平台,將有助於 NetOps(網路營運)部門和應用開發部門順暢協同。
過去即使有強大的 NetOps 團隊可專注管理基礎架構的高可用性、穩定性及安全,但是一台 F5 BIP-IP 平台動輒管理上百個應用程式,分析起來也不是簡單任務。 F5 BIP-IP Cloud Edition 正式為解決這個問題而生。它整合了 BIG IQ 6 與 per-app ,可在多種情境中提高應用交付控管 (Application Delivery Control, ADC) 能力。
首先,它可在任何環境為每一個應用程式客製化 VE(Virtual Edition) 部署以提供可視化 (visibility) 能力,了解每稱為個別應用程式 (per-app) 的管理模式。好處是能適應並滿足每個應用服務單獨部署的效能需求、一旦有錯誤則可故障隔離以减少對業務影響、並透過自動化調配提高生產力,還提供簡單易用的報表及清楚的網路拓墣圖,協助網管部門深入了解 App 運作狀況、關鍵指標和警告事件。
其次是確保應用的安全性。因為工作性質的差異,應用開發部門並不重視軟體漏洞或瑕疵 (bug) 的存在,根據 IBM 一項研究,44% 的開發人員知道出版到生產環境的程式碼是有漏洞的,但卻沒有採取任何作為。但是為每個應用程式部署專用防火牆成本過高,並不實際。此外,網管團隊其實也不了解安全類的設備。最好的方法是有專門的安全部門來制訂並部署安全政策。對於不熟悉的負責團隊,BIP IP Cloud Edition 可提供經安全驗證的範本 (template) 及組態的選擇。他們可以複製範本輕易部署到網路設備上,也可以客製化後再部署。
此外,Cloud Edition 提供圖形使用者介面的自助服務平台,讓應用開發部門即使不具網管專業也能快速部署。最後,它還能為突發的流量需求快速擴充,可根據閥值,例如 CPU 使用率到達 88%,或是流量傳輸率來到 1Gbps 時自動擴充,等峰值流量消退自動關閉多餘的執行個體 (instance) 。現有 6.0 版本下,BIG-IP Cloud Edition 已支援 AWS 與 VMWare,6.1 版將加入 Microsoft Azure 的支援,之後將再擴及 Google Cloud Platform 及其他公有雲平台。
利用 F5 BIP-IP Cloud Edition 的自動化應用交付解決方案,將可確保多雲營運架構應用開發敏捷性及安全、高可擴充性。
因應新型態資安威脅 WAF 也需要進階
網路威脅日愈翻新,舊式網頁應用防火牆 (Web Application Firewall, WAF) 已不敷需求,F5 認為 API 安全-新一代 WAF 才能滿足現代企業安全防護需求。
現今網路威脅結構已經和過去大不同相同。像是 Web 漏洞、網頁機器人、 Java Script Web 注入攻擊或是應用層分散式阻斷攻擊 (DDos) 等都是新興威脅。 Web 應用安全已然變成資料外洩最主要管道。 2017 年底,美國第三大消費者信用調查業者 Equifax 未能及早修補網頁伺服器元件 Apache Struts 2 的一個漏洞,導致 21 萬筆用戶個資及信用卡資料外洩。
此外,行動、雲端應用的普及促成了 API 經濟的興起,然而 API 防護並未獲得與 Web 應用同樣的重視,也讓 API 成為新的駭客攻擊目標。 OWASP(The Open Web Application Security Project ,開放網路應用程式安全專案) 去年公佈十大網路資安風險 (OWASP Top 10) 中,新上榜名單都和 API 有關。
F5 Networks 台灣分公司資深技術顧問許力仁指出,7 、 8 年前問世的 WAF 是採被動防禦思維設計,要遭到攻擊才會啟動偵測,然而現今攻擊法愈來愈高明,像是 DDoS 可以分散在龐大機器人以迴避偵測,或是隱藏在 SSL 加密流量中進入網路。舊式 WAF 已經無法滿足防禦需求;新的 WAF 必須要能化被動防禦為主動出擊。
有鑒於此,F5 Advanced WAF,API 安全-新一代 WAF(Advanced Web Application Firewall) 應運而生。首先,機器人發動的惡意攻擊流量可以繞過傳統黑、白名單過濾,但是 F5 Advanced WAF,具備特徵碼、採集瀏覽器及用戶端程式指紋辨識、發送 CAPTCHA,及針對連線、呼叫行為及流量邏輯分析,來判別是否為機器人的呼叫流量。此外也運用機器學習發展出行為分析能力,自動學習以判讀阻斷攻擊 (DoS) 流量,防止 Layer 4 到 Layer 7 層的 DDoS 攻擊、機器人搶標、破解用戶密碼、或是大量垃圾留言等。
過去駭客以暴力破解密碼作法效率低落,於是轉向暗網購買帳密資訊,利用機器人進行帳號破解攻擊。針對此類威脅,F5 Advanced WAF 可以做到帳號層級的偵測,協助網管或資安部門人員更快掌握受害者清單。利用 DataSafe 技術,能夠做到應用程式層級的欄位加密,企業即可在不需修改網站應用程式情況下,提供 Ajax 全程加密、動態加密網頁內容、 HTML 欄位內容混淆,藉此保護敏感資料,像是用戶在瀏覽器輸入的密碼,防止帳號密碼被鍵盤側錄或中間人攻擊讀取網頁內容。
F5 Advanced WAF 內建黑白名單技術、機器人防禦、應用層 DDoS 防護、 API 攻擊、 SSL 解密過濾及負載平衡功能,可防禦各類型網路威脅。 Advanced WAF 還內建地理資訊資料庫,並提供 IP 聲譽、裝置指紋及帳號外洩資料庫額外選購,提升企業對攻擊情報掌握能力。許力仁指出,藉此 F5 API 安全-新一代 WAF 才能在現今新式資安威脅環境主動出擊,提供企業最完整的防護。