高效防御混合云攻击 自动便捷云端服务

依德科技股份有限公司 资深网络网安技术顾问 张伟翰

企业要能够提供云端服务，并非只是让服务器连上网际网络即可，依德科技资深网络网安技术顾问张伟翰指出，云端服务模式的基本特徵，企业首先要能做到按需自助服务(On-demand self-service)，客户需要多少资源，企业就要有办法很快速地提供，因此要提供非常广泛的网络存取能力，透过资源池(Resource pooling)，快速弹性的提供各种可以计量的服务。

因此，不管是哪一种云端服务，张伟翰认为，企业都会碰到客户要多少就要给多少资源的压力，因此多半会需要一个很大的资源池，而且因为提供服务的服务器，可能根本就不在当地，因此不但需要备援机制，而且这些资源的提供，都是透过Web及DNS来达成，网际网络上的各种运作，自然也都会碰到安全问题。

目前网络产业的主要挑战，张伟翰认为，包括如何保持应用程序的正常运行时间和可用性；IPv4用尽的时候，该如何面对，以及如何与整合到IPv6；如何减轻复杂的网络攻击，更是重点，因为网络攻击可能会让网络服务崩溃；网络架构必须要有能力感知到各种应用的状况，才能提供完整的服务，而应用的规模与安全服务等级更要达到100Gbps。

张伟翰认为，其中最主要的挑战，就在于企业在提供云端服务时，都会牵涉到网络第七层的应用，以前可能只需要让网络稳定，现在的网络架构却必须能够察觉应用的状况，因为企业如果要透过网络提供付费服务，就不能让网络服务中断，效能及稳定度就变得非常重要，硬件平台也因此受到很多的限制，为了让服务不中断，硬件非常重要，如提供多核心平行运算，承受攻击的能力也会变得更强。

张伟翰以A10 Application Security Gateways为例指出，可以让企业利用这个平台，提供云端服务出口，以及企业内部网络的资源相互转换，如IPv4转换到IPv6的解决方案，同时也能提供DDoS网络攻击的防护。而为了能让应用数据中心能够快速稳定的提供服务，A10还提供服务器平衡负载等功能，或是透过硬件进行非常有效率的解密动作，进而达成7x24不中断的网络服务。

要达成前述目标，硬件自然就非常重要。张伟翰指出，A10的核心架构具有多核心处理能力，透过进化创新的ACOS架构，允许多个处理器可以同时处理L4/7流量 ，并透过先进的超级计算技术，带来真正的并行处理能力。

张伟翰以Box.net为例指出，Box利用A10的L7 Content SLB，可以识别是手机使用者还是电脑使用者需要信息，再送出特定的信息，如手机版或电脑版的页面，使用者不需要自行选择，另外一个则是RAM Cache的加速，透过将静态网页放在RAM Cache里面的方式，可以让使用者的需求不会直接送到服务器，借此来改善服务器群容量的效率，也可降低带宽需求，进而改善应用反应时间。

而在SSL Intercept方面，在监看SSL的过程中，会做一些与信息安全有关的防护，张伟翰指出，在用户与服务器中间流通的应用都会加密，并没有什麽解决方案可供观看，而透过A10可以做到前后夹击，让第三方信息安全设备可以进行检测，再恢复加密，同时还可以做平衡负载。

张伟翰表示，A10具有威胁防护系统，可以进行实时阻挡。但由于入侵方式非常多种，企业可能会安装许多入侵防护设备，如封包分析、App智能侦测，A10可以透过API的方式，去化解攻击的流量。

而在另一个aCloud IaaS的服务提供案例中，A10则是为多用户托管服务，提供负载均衡解决方案，透过「随收随付随发展」的模式，提供服务，并透过流量管理，应用加速和服务器卸载，提高服务效能。

张伟翰指出，云端服务必须要有弹性，如果没有自动，光靠手动很难做到有弹性，但透过负载平衡功能，可以在服务器为了节省资源关闭之前，先行要求不要再送流量过来，就不会造成提供给用户的服务突然中断的现象。

由于DNS对于云端服务的提供非常重要，许多攻击其实都会攻击DNS，导致云端服务必须中断，。A10可以提供DNS安全防护功能，除了透过负载平衡，仅合法的DNS流量通过外，如果遇到恶意请求，A10可以删除请求，或是将请求转发到特定的服务器，进而做好防护动作。

因此，为了让企业掌握DNS，张伟翰指出，企业可以利用Infoblox之类的产品来管理，如果受到攻击或设备故障，管理员可以将任何备选机升级为主用机，并自动完成同步工作。成员设备可继续维持现有服务，等到连接恢复后，再进行数据同步，而任何单独的设备出现故障时，在放入新的设备后，新设备也会立即继承前一台设备的所有配置属性，甚至可以企业在服务不停顿的环境下更新系统。