IBM Security Virtual Server Protection Intrusion Prevention System Unified Threat Management Full Virtualization Virtual Machine Virtualization HP TippingPo Hypervisor Fortinet vSwitch 伺服器虛擬化 入侵防護系統 虛擬主機 VLAN 趨勢科技 防火牆 IPS UTM IBM HP 資安

資安設備切入SDN體系 增添先進虛擬防禦機能

2013-07-10
為了因應企業用戶對於虛擬化伺服器的安全需求,Fortinet亦將旗下UTM相關解決方案,諸如FortiGate、FortiWeb、FortiManager等產品,皆可透過OVF檔案格式匯入興建虛擬主機方式提供服務。由於並非整合VMsafe來執行,相較之下也不受Hypervisor平台限制,像是VMware、Hyper-V、Xen等,皆可支援應用。
就虛擬化安全防護的趨勢發展來看,Fortinet台灣區技術總監劉乙指出,SDN(Software-Defined Networking)可說是下一步的主要方向。「FortiGate將成為SDN當中的組成元件之一。也就是FortiGate會變成Openflow的Controller,結合既有的資安解決方案,讓連線需求流入的第一時間,就可在交換器上執行認證與授權管理,並透過Policy來確保連線安全。」

實作方式雖然是以Openflow標準協定為主,但由於該協定主要在定義交換器與路由器規範,資安方面則只針對防火牆的Policy,並無明確規範IPS、應用程式管控、防毒等其他資安方面的應用。 因此Fortinet還會搭配較多人應用的XML API,來補強SDN的防禦機制。

▲Fortinet台灣區技術總監劉乙觀察,雖然虛擬化開始被大規模採用,多數企業用戶會在虛擬系統中建置資安機制,但外部仍需要有實體資安設備作為第一道防線。
「Fortinet對於FortiGate UTM的定義,不只是閘道端的資安設備,同時也是企業內部無線與有線網路的資安控管系統。基於此平台搭配可支援Openflow的交換器,即可依據標準規範格式來管理連接埠,以及配置資安政策;亦可經由XML API介接,接受像是HP、IBM等Controller所發送的指令,以指揮FortiGate來執行實體隔離、防毒偵測與過濾等動作。」劉乙說。

此外,不管是實體還是虛擬環境,皆需防範網頁應用程式成為駭客攻擊標的。現代化網頁應用程式為了增添互動性,會設計跟用戶端之間的交談機制,因此就需要有可以「看得懂」應用層傳輸對話的機制,來避免惡意程式藉此滲入。「利用FortiWeb監控並阻擋可疑的應用程式交談行為,用戶可經由定期產出的報表發現是否存在漏洞,這方面反而是建置虛擬化環境時企業較關注的」。

對於UTM這類集多功能整合於單一設備的方案而言,難免需要運用較多運算資源來協助封包解析與比對等動作。劉乙說明Fortinet的作業系統採用的是Intel處理器,內建搭配的ASIC晶片,則是用來執行特殊目的的動作,例如封包比對等。就如同現在3D影像繪圖架構,會由專屬的GPU(Graphic Processing Unit)來處理影像繪圖相關指令集,但是不代表不再需要CPU。因此會設計如此架構,是因為Intel處理器本身並不擅長處理網路底層封包,才讓網路封包流進入時,先由ASIC進行第一道過濾處理,讓元件執行各自擅長的部份,才能擁有高效能表現。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!