10GbE時代來臨 高速網路下的安全挑戰

10GbE技術代表的是網路的頻寬和可用性皆大步邁向另一個里程碑，從網路的核心到邊緣端可以更有效率地、持續不間斷地以超高速傳輸更大容量的影音資料、商業應用等，對於常須提供應用程式服務、網路骨幹和檔案存取的資料中心來說是相當理想的傳輸規格，而且至目前為止，10GbE算得上是成長最迅速的乙太網路規格。

速度競賽面臨的安管問題

雖然10GbE對於一般較大的企業機構而言，可以容許線上執行更多的應用程式和傳輸更大量的數據資料，但是在升級的過程仍然免不了有許多安全上的挑戰。例如在轉換到10GbE的過程裡，如何讓適用於過去網路等級的IPS（入侵防禦系統）或其他安全設備，都能順利適應更快的10 Gigabit等級的網路環境。

近年來IPS持續不斷改進，滿足科技演變的需求。現在它已經成為資安解決方案裡面的重要項目，在企業核心網路上扮演著相當吃重的防衛角色。而10GbE和IPv6逐漸邁向主流，也意謂著接下來IPS將會有一番更大幅度的成長與改進，以跟上網路基礎架構的變化。

對目前許多企業網路環境而言，要在在1Gbps或2Gbps的網路上執行深層的封包檢測而不會出現延遲、封包遺失的問題，其實已經是不小的挑戰。迎接10GbE網路時代的門檻並不低，IPS設備供應商必須提供足以滿足企業網路等級和營運商等級的IPS平台，甚至開始研發足以滿足次世代網路的安全設備。而在次世代網路裡，所有設備都必須支援IPv6（Internet Protocol version 6），以128位元位址取代IPv4的32位元位址。

IPS設備要挑戰10GbE傳輸技術，需要的條件是什麼？首先，IPS本身當然必須支援10GbE的傳輸規格，支援10GbE與10GbE「以上」是完全不同的等級，後者代表的是IPS已經可以輕易應付10GbE網路流量。然而在過渡時期裡，一味採用高規格傳輸容量的IPS對於尚未升級或正在升級的企業網路環境來說似乎起不了太大的作用，目前多數企業在轉換到10GbE過程裡都會採用混合式的傳輸規格，其中包含了高速乙太網路（100M）、Gigabit等級及10GbE等級的規格。設備供應商能同時提供支援10/100/1000和10GbE介面的產品是最理想的狀況。

再來，也是最重要的，那就是部署在網路核心的IPS方案必須是「網路等級」的設備（這點和交換器、路由器一樣），都符合高效能、高可用性和安全性的要求。有廠商認為，這些要求對PC-based的IPS而言是相當大的挑戰，因為PC-based 架構的IPS並非採用高效能、特製功能的ASIC運算晶片，要同時顧及安全性和效能兩方面似乎令人懷疑。

效能優先？或安全優先

或許現在PC-based的IPS已經發展到具有非常強大的運算效能，但是資安設備的監控若要即時而且有效，必須具有比該網段更高傳輸容量才能順利執行，某些業者指出，就算放上應用加速器，PC-based的入侵防禦設備在10Gbp速度之下想要完全拆解封包與偵測流量就容易顯得力不從心，封包遺失、傳輸延遲以及其他安全問題很快就浮現。

在今日變化多端的網路威脅環境之下，萬一出現封包遺失、延遲、安全問題，IT人員就是自找麻煩，讓自己步入水深火熱的地步，例如正常的網路流量阻塞，公司關鍵的商業應用程式慢如牛步，全公司上上下下都在等待解藥，卻又同時批評IT部門的不是等等。這時候，IT主管一定要深思，過去總是想在傳輸效能和資訊安全之間做個抉擇的觀念，似乎大錯特錯—因為兩者都必須兼顧，沒有任何一方真的可以犧牲。

當前市場上有很多IPS廠商都面臨這樣的瓶頸，以往他們在生產研發過程也只能照顧好其中一個環節，現在已經有部份IPS供應商開始陷入苦思：或許接下來要考慮捨棄PC-based架構的IPS，而改用特製的運算設備了。畢竟應用加速設備會造成用戶在使用的過程必須犧牲效能和安全其中之一，唯有那些採用特製化運算架構的供應商能確實做到兩者兼顧。簡言之，觀察未來的情形，只有真正網路等級的IPS可以做到關鍵應用的安全管控，以符合IPv6架構下的次世代網路。

至於網路流量日益增加的企業接下來應該怎麼做？或許在煩惱如何評估IPS或其他資安設備的時候，尋求第三方驗證單位協助認證是一個不錯的辦法，像是獨立測試認證組織NSS就針對效能和防護性設立了專屬的驗證標章。一般而言，有認證過的設備代表業者的投入，也比較具備永續經營的觀念，對消費者而言等於是一種承諾和保障。

以後，在10GbE的網路環境底下，IPS兼顧效能和安全將會被視為理所當然的事情，大型企業在檢測網路安全性時會先評估供應商是否能夠提供網路等級的平台，也會開始尋找能夠順利、快速整合到既有安全風險管控系統的簡單、高效能的安全設備。未來，單一功能型的安全產品將會被易於管理的、即時防護、整合式、高投資報酬率的設備取代。