弹性应用层防御 让数据不再外泄

F5 Networks技术经理 纪文智

信息安全每天都会发生，只要有数据及服务器，就会发生攻击事件。F5 Networks技术经理纪文智指出，企业要让信息安全做得更好，一定要了解攻击行为的模式，如瘫痪服务或是窃取数据，两种攻击的方式其实不太一样，目标也不一样，企业的因应方式也不一样。

目前常见的网安攻击手法，首先是从网络方面的攻击，纪文智表示，这种攻击方式主要是设法取得存取权限，就像是要设法避开保全人员的身份查验动作进入大楼，目标是能否侵入；其次是针对应用层次的攻击，主要目的是进行数据窃取，遇到这类攻击，数据本身是否做好就相当重要；最后是DDoS，主要目的则是让网站服务停摆。

纪文智指出，这些攻击方式，其实都有迹可循，企业也可借此判断，应该采取的防护措施。DDoS会用各种不同的方式攻击，甚至可以进行第四、第五到第七层的攻击，只要有任何一种方式成功，就能达到有效瘫痪服务的目的。

面对DDoS的防御方式也有很多种，如将口令弄得很复杂，或是限制口令或IP尝试登录的次数，也可延长认证的缓冲时间。纪文智指出，这些方式主要是增加进入的难度，至少可以延迟黑客入侵的时间。

但由于DDoS是集合许多人或机器的力量进行攻击，没有明确的侵犯者，也比较难锁定防护。因此多数企业的网安防护，主要是针对网络及应用层面的威胁而设计。

事实上，大多数真正有威胁的攻击，其实是针对应用层次的攻击。纪文智表示，因为应用软件才是接近数据的大门，一旦数据被窃取，就可进行诈骗或财务转帐等动作，企业不可不慎。

纪文智指出，数据中心必备的安全机制，包括防火墙、网页应用程序防火墙(Web Application Firewall；WAF)及能够应付从第四到第七层DDoS攻击的机制。值得注意的是，数据中心的安全机制不只一种，彼此必须相互配合，像齿轮一样紧密互动，但同时又要有弹性，才能够在第一时间因应全新的攻击型态。

纪文智强调，不管数据放在哪里，永远都要注意安全议题，尤其是Full Proxy Security架构，因为强调的是使用者与数据中心之间的网安机制，凡是要接触后端应用层面的动作，都要经过Full Proxy Security，对于数据防护的掌控会更完整，但因为使用者所有的行为，都要透过Full Proxy Security，会比较耗费资源，数据中心的负担会比较重。

值得注意的是，传统的网络防火墙，不会针对不同的应用进行信息安全层级的加强，纪文智指出，应用防火墙应该要有学习的机制，那些行为可以被允许，那些行为要进行阻挡，都要能够弹性因应。

此外，Geolocation Enforcement的概念也非常重要，纪文智表示，针对不同的国家或地区，可以先行阻挡掉可能出现的攻击。每一个在网络上的装置都有IP，就像是身份证，而F5建立的IP信誉数据库，每5分钟会更新一次，如果有任何IP被黑客当作跳板，就可以找出来进行阻挡。

此外，F5解决方案因为可以看到使用者是谁，可以辅助IBM/Oracle的数据库防火墙，掌握那些使用者存取那些数据库。F5可以保护网络及应用层，配合IBM/Oracle在数据层的保护，可以组成最完整的网安机制。

因此，纪文智强调，企业如果要能弹性因应各种攻击，就必须要能掌握服务器回应的各种信息，如回应时间长短，才能侦测到DDoS的攻击。如果想要达到0-day attacks，就要能应付不可知的攻击，因为黑客的行为不断翻新，所以网安机制一定要有弹性。

想要建立一个很完整的数据中心防护机制，需要的机制非常多样，包括多重的防火墙、因应DDoS的攻击、建立WAF及应用防火墙等，纪文智指出，F5解决方案本身是一个智能伺服平台，可以判断威胁的类型，并采用最适合的方式因应，同时做到多重防御机制，做到真真切切的信息安全。