弹性应用层防御 让数据不再外泄 智能应用 影音
Microchip
member

弹性应用层防御 让数据不再外泄

  • DIGITIMES企划

F5 Networks技术经理 纪文智
F5 Networks技术经理 纪文智

信息安全每天都会发生,只要有数据及服务器,就会发生攻击事件。F5 Networks技术经理纪文智指出,企业要让信息安全做得更好,一定要了解攻击行为的模式,如瘫痪服务或是窃取数据,两种攻击的方式其实不太一样,目标也不一样,企业的因应方式也不一样。

目前常见的网安攻击手法,首先是从网络方面的攻击,纪文智表示,这种攻击方式主要是设法取得存取权限,就像是要设法避开保全人员的身份查验动作进入大楼,目标是能否侵入;其次是针对应用层次的攻击,主要目的是进行数据窃取,遇到这类攻击,数据本身是否做好就相当重要;最后是DDoS,主要目的则是让网站服务停摆。

纪文智指出,这些攻击方式,其实都有迹可循,企业也可借此判断,应该采取的防护措施。DDoS会用各种不同的方式攻击,甚至可以进行第四、第五到第七层的攻击,只要有任何一种方式成功,就能达到有效瘫痪服务的目的。

面对DDoS的防御方式也有很多种,如将口令弄得很复杂,或是限制口令或IP尝试登录的次数,也可延长认证的缓冲时间。纪文智指出,这些方式主要是增加进入的难度,至少可以延迟黑客入侵的时间。

但由于DDoS是集合许多人或机器的力量进行攻击,没有明确的侵犯者,也比较难锁定防护。因此多数企业的网安防护,主要是针对网络及应用层面的威胁而设计。

事实上,大多数真正有威胁的攻击,其实是针对应用层次的攻击。纪文智表示,因为应用软件才是接近数据的大门,一旦数据被窃取,就可进行诈骗或财务转帐等动作,企业不可不慎。

纪文智指出,数据中心必备的安全机制,包括防火墙、网页应用程序防火墙(Web Application Firewall;WAF)及能够应付从第四到第七层DDoS攻击的机制。值得注意的是,数据中心的安全机制不只一种,彼此必须相互配合,像齿轮一样紧密互动,但同时又要有弹性,才能够在第一时间因应全新的攻击型态。

纪文智强调,不管数据放在哪里,永远都要注意安全议题,尤其是Full Proxy Security架构,因为强调的是使用者与数据中心之间的网安机制,凡是要接触后端应用层面的动作,都要经过Full Proxy Security,对于数据防护的掌控会更完整,但因为使用者所有的行为,都要透过Full Proxy Security,会比较耗费资源,数据中心的负担会比较重。

值得注意的是,传统的网络防火墙,不会针对不同的应用进行信息安全层级的加强,纪文智指出,应用防火墙应该要有学习的机制,那些行为可以被允许,那些行为要进行阻挡,都要能够弹性因应。

此外,Geolocation Enforcement的概念也非常重要,纪文智表示,针对不同的国家或地区,可以先行阻挡掉可能出现的攻击。每一个在网络上的装置都有IP,就像是身份证,而F5建立的IP信誉数据库,每5分钟会更新一次,如果有任何IP被黑客当作跳板,就可以找出来进行阻挡。

此外,F5解决方案因为可以看到使用者是谁,可以辅助IBM/Oracle的数据库防火墙,掌握那些使用者存取那些数据库。F5可以保护网络及应用层,配合IBM/Oracle在数据层的保护,可以组成最完整的网安机制。

因此,纪文智强调,企业如果要能弹性因应各种攻击,就必须要能掌握服务器回应的各种信息,如回应时间长短,才能侦测到DDoS的攻击。如果想要达到0-day attacks,就要能应付不可知的攻击,因为黑客的行为不断翻新,所以网安机制一定要有弹性。

想要建立一个很完整的数据中心防护机制,需要的机制非常多样,包括多重的防火墙、因应DDoS的攻击、建立WAF及应用防火墙等,纪文智指出,F5解决方案本身是一个智能伺服平台,可以判断威胁的类型,并采用最适合的方式因应,同时做到多重防御机制,做到真真切切的信息安全。