為了因應企業用戶對於虛擬化伺服器的安全需求,Fortinet亦將旗下UTM相關解決方案,諸如FortiGate、FortiWeb、FortiManager等產品,皆可透過OVF檔案格式匯入興建虛擬主機方式提供服務。由於並非整合VMsafe來執行,相較之下也不受Hypervisor平台限制,像是VMware、Hyper-V、Xen等,皆可支援應用。
就虛擬化安全防護的趨勢發展來看,Fortinet台灣區技術總監劉乙指出,SDN(Software-Defined Networking)可說是下一步的主要方向。「FortiGate將成為SDN當中的組成元件之一。也就是FortiGate會變成Openflow的Controller,結合既有的資安解決方案,讓連線需求流入的第一時間,就可在交換器上執行認證與授權管理,並透過Policy來確保連線安全。」
實作方式雖然是以Openflow標準協定為主,但由於該協定主要在定義交換器與路由器規範,資安方面則只針對防火牆的Policy,並無明確規範IPS、應用程式管控、防毒等其他資安方面的應用。 因此Fortinet還會搭配較多人應用的XML API,來補強SDN的防禦機制。
 |
| ▲Fortinet台灣區技術總監劉乙觀察,雖然虛擬化開始被大規模採用,多數企業用戶會在虛擬系統中建置資安機制,但外部仍需要有實體資安設備作為第一道防線。 |
「Fortinet對於FortiGate UTM的定義,不只是閘道端的資安設備,同時也是企業內部無線與有線網路的資安控管系統。基於此平台搭配可支援Openflow的交換器,即可依據標準規範格式來管理連接埠,以及配置資安政策;亦可經由XML API介接,接受像是HP、IBM等Controller所發送的指令,以指揮FortiGate來執行實體隔離、防毒偵測與過濾等動作。」劉乙說。
此外,不管是實體還是虛擬環境,皆需防範網頁應用程式成為駭客攻擊標的。現代化網頁應用程式為了增添互動性,會設計跟用戶端之間的交談機制,因此就需要有可以「看得懂」應用層傳輸對話的機制,來避免惡意程式藉此滲入。「利用FortiWeb監控並阻擋可疑的應用程式交談行為,用戶可經由定期產出的報表發現是否存在漏洞,這方面反而是建置虛擬化環境時企業較關注的」。
對於UTM這類集多功能整合於單一設備的方案而言,難免需要運用較多運算資源來協助封包解析與比對等動作。劉乙說明Fortinet的作業系統採用的是Intel處理器,內建搭配的ASIC晶片,則是用來執行特殊目的的動作,例如封包比對等。就如同現在3D影像繪圖架構,會由專屬的GPU(Graphic Processing Unit)來處理影像繪圖相關指令集,但是不代表不再需要CPU。因此會設計如此架構,是因為Intel處理器本身並不擅長處理網路底層封包,才讓網路封包流進入時,先由ASIC進行第一道過濾處理,讓元件執行各自擅長的部份,才能擁有高效能表現。