目前市面上的整合型資安設備幾乎都已經解決效能低落的問題,內建的基本防護功能也一應俱全,對網管人員而言,UTM帶來了一台機器抵多台管理的方便性,但是奕瑞科技總經理張義淵指出,資訊安全設備在企業內部網路使用者的管理機制上,也面臨一定的挑戰。
 |
| ▲奕瑞科技總經理張義淵表示,以身分認證為基礎的UTM,將資安管控對象直指一切資安問題的根源所在—「人」,防護能力向上延伸到「第八層」,將是未來UTM的重要趨勢。 |
由於DHCP動態分配內部IP位址,IP-based的防火牆難以尋找內部使用者的位址,也無法辨別從企業內部外洩資料的使用者,或是難以管制內部員工使用網路進行與工作內容無關的活動;這些都是以往UTM無法管制的範圍,企業現在流行建置Wi-Fi以及動態DHCP,每一台終端電腦不再能用IP位址來區別,對於MIS來說,就是資安管理上的一大麻煩。
身分認證 資安管理基礎
奕瑞科技與Cyberoam的開發工程師,經過測試調整後,正式將全新的Cyberoam UTM推向台灣市場,主要強調在網路Layer 1∼7的概念之外,提出號稱「Layer 8」的Identity-based Firewall身分認證基礎防火牆的新概念。
「在資訊安全環境中,所有一切問題的製造開端都是在『人』,網路環境不安全的原因,就是因為很難去確認誰做了什麼事。」張義淵說,Cyberoam UTM身分認證的概念是為了達到管理的目的,將封包傳遞除了標註IP位址之外,也將使用者同時標記,不管是正常的封包傳遞或有害的攻擊,都可以辨識。張義淵表示,Cyberoam將所有的資安防護規則,都套用使用者帳號來管理,同時也可以使用過去定義IP或MAC位址的方式管理。
在帳號管理之外,還可以根據不同的通訊協定定義不同規則;例如控管P2P軟體,或是照網頁分類來定義流量頻寬。例如使用者在上班時間瀏覽YouTube,為了保證上班時間網路頻寬流量順暢,可開放YouTube頻寬限制在1M,就不至於影響公司重要應用的頻寬流量。張義淵說,「網頁瀏覽政策制定太嚴格,使用者會反彈,MIS人員和公司管理階層要能夠協調,進行彈性的頻寬管理。」因此,也可以依據使用者身份的不同或關鍵企業應用,定義專屬頻寬;例如根據位階、部門、職能特定傳輸需求、ERP系統等,給予不同的頻寬大小,將頻寬管理設備的功能完整納入UTM中,讓企業MIS人員減少一樣設備負擔,多一樣網路管理利器。
帳號整合 管理方便
Cyberoam將防火牆、VPN、防毒、防垃圾郵件、IDP、網站過濾、頻寬管理以及線路頻寬整合容錯機制,全部套用身分認證為基礎的政策,不管是哪一種功能,都可以依據身分認證定義不同規則,讓資安管理變得正確有效。張義淵表示,例如企業員工使用MSN聊天,以往UTM設備只能做到全部阻擋,或是根據IP位址來定義使用者使用權限;現在以身分認證的方式,就能夠依不同的群組或使用者來定義使用權限,沒有權限的使用者,就算換到不同的電腦登入,還是無法繞過原有的資安管理政策。
企業可以將帳號管理伺服器和UTM整合,張義淵表示,「企業原有AD伺服器管理企業使用者帳號,再結合Cyberoam身分認證機制,就可以連同網路環境一起管理。」
他指出,Cyberoam整合帳號的機制,支援目前企業使用的所有主流平台,除了Windows AD(Active Directory)之外,還可結合DC(Domain Controller)、LDAP Server、RADIUS Server、Norvell Directory Service,以Single Sign-on的方式方便使用者登入,簡化MIS管理內部使用者帳號資料。
此外,Cyberoam設備中也內建了帳號管理功能,所以如果企業環境簡單,但是還是想管理使用者,可以直接使用Cyberoam內建的功能;也可以用試算表輸入使用者名單,再匯入設備中定義政策。
VPN認證
在資安界赫赫有名的獨立測試機構-美國西岸實驗室(Westcoast Labs)針對UTM設備設立了認證機制,必須通過防毒、防垃圾郵件、防間諜程式、URL過濾、防火牆、VPN以及IDP的認證才能獲得,目前全球只有兩家廠商通過認證,Cyberoam正是其中之一。
此外,Cyberoam也通過多項VPN互通認證,VPN通道技術跟所有業界標準相容。張義淵表示,「很多企業有建置點對點VPN連線的需求,但是兩個分支據點,使用了不同廠牌的防火牆設備,如果建立通道時,必須要能夠相容才能建立;目前也有許多大型企業,在總部架設一台大型防火牆,其餘分點各建置一台Cyberoam UTM,運用其VPN功能串聯,達到分點企業傳輸的目的。」
奕瑞科技最為人所知的就是代理卡巴斯基防毒軟體,現在同樣代理內建卡巴斯基防毒引擎的Cyberoam UTM。Cyberoam UTM產品線,從單核心運算的15i以及25i,到多核心CPU運算的50ia、100ia、200i、300i、500i、1000i以及1500i,提供不同企業規模大小適合的UTM產品,從20人公司到4千多人的大企業都提供產品選擇。Cyberoam將UTM內建的部份機制,跟其他專精的廠商合作,除了防毒功能跟卡巴斯基合作之外,VPN功能跟Thegreenbox合作,垃圾郵件過濾則跟Commtouch合作,並且提供企業客戶不同價格的授權,可依據需求選購。
 |
| ▲圖為Cyberoam CR50ia UTM,能夠應付同時間220,000個Sessions傳輸,以及提供125Mbps的UTM吞吐量,適合中小型企業使用。 |