彈性應用層防禦 讓資料不再外洩 智慧應用 影音
EVmember
ADI

彈性應用層防禦 讓資料不再外洩

  • DIGITIMES企劃

F5 Networks技術經理 紀文智
F5 Networks技術經理 紀文智

資訊安全每天都會發生,只要有資料及伺服器,就會發生攻擊事件。F5 Networks技術經理紀文智指出,企業要讓資訊安全做得更好,一定要了解攻擊行為的模式,如癱瘓服務或是竊取資料,兩種攻擊的方式其實不太一樣,目標也不一樣,企業的因應方式也不一樣。

目前常見的資安攻擊手法,首先是從網路方面的攻擊,紀文智表示,這種攻擊方式主要是設法取得存取權限,就像是要設法避開保全人員的身分查驗動作進入大樓,目標是能否侵入;其次是針對應用層次的攻擊,主要目的是進行資料竊取,遇到這類攻擊,資料本身是否做好就相當重要;最後是DDoS,主要目的則是讓網站服務停擺。

紀文智指出,這些攻擊方式,其實都有跡可循,企業也可藉此判斷,應該採取的防護措施。DDoS會用各種不同的方式攻擊,甚至可以進行第四、第五到第七層的攻擊,只要有任何一種方式成功,就能達到有效癱瘓服務的目的。

面對DDoS的防禦方式也有很多種,如將密碼弄得很複雜,或是限制密碼或IP嘗試登錄的次數,也可延長認證的緩衝時間。紀文智指出,這些方式主要是增加進入的難度,至少可以延遲駭客入侵的時間。

但由於DDoS是集合許多人或機器的力量進行攻擊,沒有明確的侵犯者,也比較難鎖定防護。因此多數企業的資安防護,主要是針對網路及應用層面的威脅而設計。

事實上,大多數真正有威脅的攻擊,其實是針對應用層次的攻擊。紀文智表示,因為應用軟體才是接近資料的大門,一旦資料被竊取,就可進行詐騙或財務轉帳等動作,企業不可不慎。

紀文智指出,資料中心必備的安全機制,包括防火牆、網頁應用程式防火牆(Web Application Firewall;WAF)及能夠應付從第四到第七層DDoS攻擊的機制。值得注意的是,資料中心的安全機制不只一種,彼此必須相互配合,像齒輪一樣緊密互動,但同時又要有彈性,才能夠在第一時間因應全新的攻擊型態。

紀文智強調,不管資料放在哪裡,永遠都要注意安全議題,尤其是Full Proxy Security架構,因為強調的是使用者與資料中心之間的資安機制,凡是要接觸後端應用層面的動作,都要經過Full Proxy Security,對於資料防護的掌控會更完整,但因為使用者所有的行為,都要透過Full Proxy Security,會比較耗費資源,資料中心的負擔會比較重。

值得注意的是,傳統的網路防火牆,不會針對不同的應用進行資訊安全層級的加強,紀文智指出,應用防火牆應該要有學習的機制,那些行為可以被允許,那些行為要進行阻擋,都要能夠彈性因應。

此外,Geolocation Enforcement的概念也非常重要,紀文智表示,針對不同的國家或地區,可以先行阻擋掉可能出現的攻擊。每一個在網路上的裝置都有IP,就像是身分證,而F5建立的IP信譽資料庫,每5分鐘會更新一次,如果有任何IP被駭客當作跳板,就可以找出來進行阻擋。

此外,F5解決方案因為可以看到使用者是誰,可以輔助IBM/Oracle的資料庫防火牆,掌握那些使用者存取那些資料庫。F5可以保護網路及應用層,配合IBM/Oracle在資料層的保護,可以組成最完整的資安機制。

因此,紀文智強調,企業如果要能彈性因應各種攻擊,就必須要能掌握伺服器回應的各種訊息,如回應時間長短,才能偵測到DDoS的攻擊。如果想要達到0-day attacks,就要能應付不可知的攻擊,因為駭客的行為不斷翻新,所以資安機制一定要有彈性。

想要建立一個很完整的資料中心防護機制,需要的機制非常多樣,包括多重的防火牆、因應DDoS的攻擊、建立WAF及應用防火牆等,紀文智指出,F5解決方案本身是一個智慧型伺服平台,可以判斷威脅的類型,並採用最適合的方式因應,同時做到多重防禦機制,做到真真切切的資訊安全。