Palo Alto 雲端運算 NGFW 防火牆 資安 安全 威脅

運用次世代防火牆 因應雲端運算資安威脅

2013-10-31
由於惡意攻擊與虛擬化技術進化的速度幾乎同步,我們必須確保虛擬化資料中心內能落實現代資安管控措施,無論現有威脅為何,亦無論是否將邁向雲端,新一代防火牆(NGFW)解決方案都能運用眾多雲端運算技術的優點與特色為企業提供協助。
雲端運算涵蓋用途日益廣泛,包含應用程式、資料服務、虛擬化、軟體、平台等五花八門的服務。然而雲端並非所有企業資訊科技架構的理想國,企業追求更具效能、回應性以及取用便利性的資訊科技基礎架構時,反而必須長期投入並扎根各類專業技術,包括整合資料中心、區段分割、鞏固虛擬化基礎架構、安全執行資料中心應用程式等。

根據CNC Data及Synergy Research Group的研究顯示,2012年亞太企業投資雲端與資料中心基礎架構總額直逼百億美元,較2011年成長21%,雲端、行動與無線科技日趨普遍,對網路亦產生不同於以往的新威脅。

惡意攻擊最常鎖定 企業內部應用

在Palo Alto Networks亞太區應用程式使用現況與威脅報告(Asia-Pacific Application Usage and Threat Report)中亦指出,漏洞攻擊程式均鎖定高價值的企業應用程式,真正的資安威脅在於9大類熱門應用程式,占所有軟體攻擊事件的98%,其中7類為內部或基礎架構應用程式,如資料庫、Active Directory、RPC等。

分析應用程式與威脅模式後可以發現,社群網站、線上影音與檔案分享應用程式並非最主要的威脅管道,內部應用程式才是最常被惡意攻擊鎖定的目標。惡意攻擊者藉由自訂或加密應用程式掩蓋攻擊行為,幾乎所有惡意軟體紀錄(殭屍網路、駭客入侵軟體、監控軟體等)大都在四種應用程式內被發現,而且其中45%均偽裝成自訂或未知的UDP連線。

隨著網路威脅日漸加劇,台灣也成為惡意攻擊活動最頻繁的國家之一。根據雲端平台供應商Akamai針對2013年第一季的網路觀察報告顯示,亞太區如中國與印尼,是全球惡意攻擊流量最高的兩個國家,台灣則在177個網攻來源國家中排名第7。


▲98%的漏洞攻擊目標集中在9大類熱門應用;其中7類屬於高價值的企業內部或基礎架構應用程式,更是承受了所有攻擊行動的86%之多。

而報告中也發現,其所觀察到的154個獨立機構中,惡意攻擊有67%針對一般企業以及商貿業,這不僅呼應了Palo Alto Networks的研究結果,由於目前台灣民間企業對於資安威脅來源以及保護資訊的安全機制的認知尚未成熟,且企業高層缺乏針對惡意軟體快速辨識並排除威脅的意識,相關研究報更再次突顯出惡意攻擊對於台灣企業所帶來的強大威脅。

運用雲端運算能量 分析攻擊行為

由於威脅與惡意攻擊者的進化速度,與虛擬化技術與時俱進的速度幾乎同步,我們必須確保虛擬化資料中心內能落實現代資安管控措施,無論現有威脅為何,亦無論是否將邁向雲端,新一代防火牆(NGFW)解決方案都能運用眾多雲端運算技術的優點與特色為企業提供協助。

以Palo Alto Networks所推出的WildFire為例,不但運用了雲端運算優點,亦能優化並加速安全分析。其利用雲端運算力量分析不明檔案的惡意行為,做為因應現代惡意攻擊軟體的策略,透過雲端,只需短短幾分鐘即可分析數十萬件檔案,並藉由惡意程式平台去發掘攻擊者的企圖。

簡單來說,由於是在受到隔絕的「沙盒」內觀察惡意程式,不會影響企業網路,且效能遠超過傳統部署於企業內部的線上設備。

捨去複雜操作負擔 以簡潔有效取代

就因為雲端運算的能量強大,因此更不能小覷資安問題。現在資安已經變得更加靈活,不僅能回應應用程式開發者的動態使用狀態、密切關注周遭環境的變化,並能將管理簡化,而非使其更複雜。

使用者經常在尋找多個資安管理的安全策略時會犯下更多錯誤,因為使用者會持續不斷地更新資安應用程序,而沒有花時間專注於定義網路安全策略或是執行主動式的資安分析,導致操作負擔成為致命傷。

將管理過程簡化並不等於犧牲效益,資安解決方案仍然需應對新的威脅,假如一個方案需要使用者花上好幾天的時間來做配置,或是在修改資安政策時充滿不便與挫折,那麼它就不是一個有效的解決方案。

資安的角色關鍵在於將資安政策適切地與應用程式結合 。更重要的是,必須能確保開發人員在改寫應用程式時兼具速度、品質、一致性,且兼顧資安上的要點。若使用者的資安解決方案不具有這些特點,則他們就必須在應用程式開發人員找到避開資安檢查的管道前去評估替代方案。

動態及自動化特性 提供資安服務

雲端環境中的動態與自動化特質非常重要,才能讓應用程式在執行過程不致受資安軟體拖累。所以我們透過動態位址物件(PAN-OS 5.0新功能)及REST XML API來完成此目的。動態位址物件是一種新型態IP位址物件,可藉由XML API進行更新,當虛擬機器被新增、異動時可直接套用於資安政策中,而不需手動更改設定。

結合CA或VMware等公司推出的協作管理軟體API,以及Palo Alto Networks的XML API,可讓一般資安維運如建立新防火牆、執行初步配置、應用與維護共通資安政策等全面自動化,在瞬息萬變的大型動態資料中心裡,自動化運作不僅縮短防火牆應變時間,亦能減少因人為疏失造成的資安風險。

即便企業尚未準備邁向雲端,或還在起步階段,次世代防火牆均已具備各種所需功能,可隨時提供支援。

(本文作者現任Palo Alto Networks大中華區系統工程部總監)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!