不僅國際公有雲服務供應商的Google Cloud資料中心落腳彰化與台南、微軟在2020年宣布在桃園建置的Azure雲端資料中心將於今年(2022)下半年完工,日前Amazon Web Services(AWS)亦宣布將在台灣設立全新本地區域(Local Zone),以提供內容交付網路(CDN)服務的Amazon CloudFront、連結AWS區域(Region)與私人網路的AWS Direct Connect,以及延伸AWS基礎設施、API與工具到企業應用的全託管式AWS Outposts,藉此讓擴增實境(AR)與虛擬實境(VR)、邊緣端機器學習推論等新科技應用發揮效益。
雲端優先策略 推升WAAP需求上揚
從三大公有雲服務供應商積極地在台灣投入資源興建服務據點,反映出企業從自行建置維運的應用系統演進到混合/多雲環境,已成為大勢所趨。根據IDC(國際數據資訊)最新全球公有雲服務市場追蹤半年度報告(Worldwide Semiannual Public Cloud Services Tracker),2021年台灣公有雲整體市場規模成長至12.17億美元,年成長率為33.6%。進一步細看應用模式佔比,依序是IaaS(基礎架構即服務)佔39.8%、PaaS(平台即服務)為7.9%、SaaS(軟體即服務)為52.3%。IDC亦預期COVID-19疫情加速台灣企業推動轉型計畫,2022年台灣公有雲市場將持續成長至16.35億美元,年增率達34.3%。
有了雲端技術的支援,傳統三層式架構(前端網頁層、商業邏輯層、資料庫層)應用系統逐漸演進成微服務(Microservice)軟體架構,運行在由Kubernetes執行部署、擴充、管理的容器叢集環境,基本排程單元為Pod,可在相同叢集內配置唯一IP位址,彼此透過API進行溝通交換資料。部署時可依照業務邏輯組成特定的堆疊(Stack),選擇保留在地端或遷移至雲端。
但無論應用程式的開發部署如何演變,管控及安全機制都不可或缺。例如網頁應用程式防火牆(WAF)可阻擋由外而內的攻擊,防禦涵蓋OWASP(Open Web Application Security Project)組織定義的十大資安威脅類型,堪稱傳統地端資料中心必備的安全管控方案。F5、Imperva、Radware等皆為WAF領域知名的技術供應商。
隨著雲端化成為企業數位轉型過程中優先選項,原本集中於企業內網的工作負載運行環境變得分散,相關安全控管機制也隨之演進。因應混合/多雲應用增長,WAF產品逐步擴展成為WAAP(Web Application and API Protection)雲端服務方案,除了既有WAF技術,更納入DDoS緩解、機器人(Bot)管理、API防護等機制,讓各式數位應用場景得以確保安全性與用戶體驗。
提高程式溝通能見度掌控風險
面對雲端化的浪潮,應用系統跨不同環境部署的最大挑戰莫過於可視性,須具備後才能有效地釐清風險環節並增添保護措施。F5台灣總經理張紘綱引述「2022應用策略現狀調查報告」指出,亞太區受訪者有70%表示自家內部工作負載分散多個雲端環境,遭遇的挑戰分別是應用程式執行狀況缺乏可視性(45%)、安全策略不一致(44%),以及須依據業務調整遷移到公有雲或回到資料中心(41%)。
他進一步說明,現代企業端應用常在資料中心、異質雲平台、邊緣環境部署數百個應用程式,平均引進超過20種不同的應用安全與交付技術,如此複雜的場域亟需工具輔助才可掌控風險,即時回應充斥在網際網路的各種滲透手法,讓正常營運免受干擾。其中較特別的是,超過八成的受訪者更傾向採用邊緣運算,追問原因有31%認為可就近即時洞察有助於提高營運效率的作為,25%則著重於應用交付效能持續改善用戶體驗。至於新技術的應用,台灣受訪者則是對IT與OT融合(81%)、零信任(65%)、威脅情報整合(60%)最感興趣。
歷經多年的數位化轉型正在各產業發酵,若要以敏捷方法開發應用服務,核心思維在於符合業務目標、改善使用者體驗,因此必須能夠快速、彈性地整合與發布來贏得市場競爭力,但是卻往往欠缺跟得上腳步的安全控管機制。對此,市場上的WAAP方案不僅能控管OWASP十大網頁應用資安風險,更重要的是可持續監看應用服務運用API溝通狀態,並基於威脅情報偵測異常行為模式,避免機器人濫用而導致機敏資料遭竊取。Radware亞太區雲端架構師詹凱富亦指出,多數企業內部缺乏資安專才,即使導入部署解決方案也難以發揮效益,因此若採WAAP方案代管模式正可補強技能與人才缺口,維運由廠商的技術團隊負責,並透過自動學習演算模型調配偵測與回應處理。
整合開源反向代理技術增進防護力
隨著微服務架構成為現代企業開發的主流,API產生的網路流量勢必有增無減,Imperva亞太暨日本區資深技術總監周達偉觀察,雖然企業常借助API Gateway負責驗證、授權、轉發等管控,然而API Gateway並未具備完善的安全防護機制。為了確切地估算API風險成本,Imperva與美商Marsh McLennan網路風險分析中心合作執行調查,研究報告指出2020年全球金融服務業的API使用量估計增長了125%,醫療保健行業的流量則是激增了400%以上。因API風險控管不當釀成的損失,單純就美國當地來看,估計為12至230億美元。
因應混合/多雲應用增長,網頁應用程式防火牆(WAF)演進為WAAP(Web Application and API Protection)雲端服務方案,除了既有WAF技術,更納入DDoS緩解、機器人(Bot)管理、API防護機制,讓各式數位應用場景得以確保安全性與用戶體驗。(資料來源:F5)
「亞太區包含台灣在內的雲端發展速度較歐美地區腳步慢,或可借鏡歐美國家的經驗,藉由資安專業領域發展的技術,以免重蹈覆轍。」周達偉說。
另一方面,他也觀察到亞太區特有的現象,也就是企業正把部署在公有雲平台的應用服務遷移回到自家資料中心,主要原因即在於公有雲整體費用比預期更高,其次是因企業不希望喪失對資料及系統的掌控權。對於缺乏專屬IT人力配置的企業,公有雲服務的彈性部署與擴充、營運業務得以快速上線等特性,可說是最佳首選。但是自家擁有IT團隊、規模較大的企業,目前則主要皆採混合雲模式,例如金融、保險等關鍵營運系統,仍傾向維持既有封閉、可掌握的運行環境。
針對機敏性較高的API溝通活動,甚至有企業只允許在實體隔離網路(Air-gap Network)環境被執行,此時雲端平台提供的安全機制根本無從掌握網路流量、進行管控。即便是實體隔離網路應用場景仍須建立API保護措施,Kubernetes容器叢集可整合既有WAF支援的Ingress、NGINX、Envoy等開源技術,保障API整合運行安全。