當802.11ac Wave 2成為正式標準之後,相關硬體已陸續納入支援,Fortinet技術顧問張益盛引述國際調查機構預測報告指出,到2019年時,802.11ac Wave 2的普及率將高達九成以上,筆電也將不再提供有線傳輸介面,全數終端設備皆以無線網路為主。
面對無線網路接取數量日漸龐大,企業端環境已無法避免面對有線與無線網路整合控管的議題。為降低存取層環境的資安風險與維運複雜度,Fortinet基於內網隔離安全策略發展提出安全存取架構(Secure Access Architecture),其中包含基礎架構、整合式、雲端三種不同產品線。張益盛說明,2015年Fortinet收購取得的Meru Networks,即被歸類於基礎架構。
其實Fortinet本來就已具備FortiAP產品線,搭配FortiSwitch交換器,並統合至FortiManager單一平台控管。如今再併購Meru,看重的即是其運用行動通訊技術架構實作於無線網路環境的Virtual Cell技術。
|
▲Fortinet技術顧問張益盛提醒,行動裝置驅動的新興應用模式所帶來的資安風險,無法單純只仰賴技術工具解決,必須經過持續不斷地資安教育訓練,才能達到實質效果。 |
他進一步說明,當行動裝置開啟Wi-Fi功能時,通常會主動接取訊號最強的無線基地台,一旦連線位置剛好介於兩個基地台之間,就會導致訊號飄移,影響連線穩定性。尤其是行動裝置與無線基地台之間通常為加密傳輸,在資料遞送過程中必須執行加解密,難免需要耗費運算時間。但是無線訊號每切換到另一個基地台皆要重新執行加解密,萬一發生訊號飄移狀況,往往會導致行動裝置不斷地切換基地台,主要即是因為連線動作是由終端設備決定,並非無線基地台主動接取。
而Meru的設計架構,則是統一交由無線控制器指揮與調配終端裝置的連線傳輸,也就是Virtual Cell的概念。當行動裝置連線時,只會掃描發現一個SSID名稱,事實上,該SSID是由多個基地台所組成,皆廣播(Broadcast)為同一個ESSID與MAC位址,意味著一個ESSID是由許多BSSID所組成,但前端裝置永遠只會偵測到一個SSID。如此一來,才得以建立單一通道,取代以往在高密度佈建基地台時,訊號必須縮減以免發生干擾的配置模式,因此導入建置Meru,大多為醫院、教育等高密度佈建需求的單位。
至於行動裝置興起後帶來的資安風險,對此Fortinet提出內網隔離(ISFW)因應策略,張益盛指出,畢竟終端接取網路的速度持續攀升,若任何一個端點中毒,擴散速度恐將隨著網路頻寬提升而加大感染範圍,況且極有可能在使用者不知情的狀況下將惡意程式帶入內部網路,採取內網隔離不僅可及時發現,同時也降低受影響的範圍。