就應用服務安全的防護機制來看,F5 Networks台灣區資深技術顧問陳廣融指出,既有資安領域的WAF、ADC、CDN、抗DDoS服務皆有可發揮之處。現階段F5除了持續發展自建部署實體設備、可掛載雲端平台的虛擬化版本,針對新興的容器環境則是由NGINX建立防護。
微服務架構更須增添API溝通防護
F5日前發布的NGINX Controller 3.0雲端原生應用交付解決方案,提供的WAF機制也是以應用為中心建立安全性,可提供的服務項目即已涵蓋WAAP範圍。陳廣融說明,「雲端應用服務的安全防護機制,除了WAAP市場定義的WAF雲端服務、API防護、惡意機器人緩解、抗DDoS,就連更進一步的DNS安全、加密傳輸、執行時應用自我保護(Runtime Application Self-Protection,RASP)等範疇,除了CDN以外,F5產品發展藍圖皆已具備。」
前述的防護機制中,API可說是企業最關注的議題。應用系統對外開放API介接,典型方式是採用JavaScript,瀏覽器渲染(Rendering)需求是由後端驅動網頁變更,現代則是更仰仗瀏覽器運行,前端發送請求撈取資料,在終端用戶渲染呈現。陳廣融以電商購物車為例進一步提到,當顧客點選商品後會發送出請求,往返溝通的是JSON格式資料,列出已經放入購物車內的產品清單,本地端採用JavaScript處理後呈現,資料本身與呈現模式分離。
應用服務包含整合來自第三方的資源,通常不是網頁或App,而是一段程式碼來詢問資料,如同去年(2019)金融業推行開放銀行(Open Banking),催生出麻布記帳(Moneybook)App廣受歡迎,其角色為第三方服務業者(Third-party Service Providers,TSP),藉由開放API介接,提供終端使用者彙整個人財務資料。
API的主要應用場景通常並非直接面向用戶,若僅是保護用戶端,不管是F5既有的Advanced WAF,或是新收購取得Shape Security提供自動化攻擊、殭屍網路、針對性詐欺等技術服務,即有能力介入執行保護措施。然而如今需要保護的環境,更多屬於API彼此之間的溝通行為,無法採用以往發送JavaScript等程式碼運行模式,尤其是微服務架構或部署在Kubernetes叢集環境,NGINX Controller即可有所發揮。
當用戶端發起存取請求時,除了傳輸加密保護以外,應用服務前方會經過自動攻擊防護與惡意機器人檢測、API用戶認證、內容檢查,確認後才會到應用服務,回應的資料同樣得經過XML或JSON內容檢查、敏感資料標注、流量控制等機制,如此方能保障API之間的溝通安全性。 儘管Gartner在2017年就已在研究報告中指出API防護的重要性,至今2020年來看,仍舊是需要被高度重視的安全性議題,主要因素在於採用數量大幅增長,卻有多數的溝通傳輸仍未設置加密、認證機制,足以顯見資安警覺心仍待加強。
新推NGINX Controller 協同平台
自從去年(2019)F5宣布收購開源陣營以網頁伺服器與負載平衡技術著稱的NGINX,不難發現F5正積極挺進雲端原生應用。最新的NGINX Controller 3.0雲端原生應用交付方案,提供多重雲端應用環境的自助服務平台,不論是DevOps、NetOps、SecOps團隊皆可藉此平台協同合作,達到提高生產力的目的。
陳廣融表示,NGINX Controller核心發展理念在於以應用為中心,可部署在多種雲端平台環境。當應用服務逐漸演進到分散式的微服務架構,運用Kubernetes執行調度控管已成顯學,F5發展的腳步也隨之跟進,如今發布NGINX Controller,可介接持續整合與持續發布(CI/CD)工具,例如Ansible、Datadog等,為開發者入口介面提供透過控制器發行的API文件檢視功能,而內建的認證管理器能夠安全地儲存SSL/TLS憑證,以便於與應用程式建立關聯性。
當應用服務演進到雲端原生時,NGINX Controller可扮演簡化並加速現代化應用部署的角色,有助於帶動營運業務增長。過去的應用交付機制與API管理方案的設計往往傾向於針對底層基礎設施而非應用程式本身,使得應用能見度不高,難以完整掌握運行效能,NGINX Controller 3.0的設計,可讓DevOps、NetOps、SecOps團隊成員根據任務功能,藉由自助服務管理與監控儀表板檢視應用運行狀態,同時也可透過工作流程機制,以增添跨功能團隊之間的協同合作效率。
NGINX Controller提供有用的分析與資訊,協助採納、保護、修復應用程式,進而促成商業成果,包括設定可用性與效能門檻。這些能力不僅可讓團隊根據現有條件以改善應用效能,同時也能將學習後運行的趨勢分析結合到開發週期,增添能見度將顯著縮短應用更新時間,以及提升對於威脅事件的掌握度。
收購Shape防堵惡意機器人詐欺
事實上,F5於年初時已對外宣布一系列新的多雲應用安全服務,其中收購取得的Shape Security技術相當關鍵,有助於建立雲端原生應用層級的安全性、存取權限的配置,以及基於人工智慧解析降低資安風險。
「傳統WAF為典型的被動防禦,基於特徵碼辨識惡意行為,阻絕已知的攻擊,例如最基本需有能力因應OWASP Top 10指出的資安風險。2017年OWASP推出新版之後,經過近幾年市場演進,OWASP當初明確指出的關鍵方向,已不足以涵蓋全部現代化企業所遭遇到的威脅,例如惡意機器人的詐欺攻擊行為,此即為F5併購Shape Security主要用意。」陳廣融說。
成立於2011年的Shape Security,主要著眼於運用雲端平台實作機器學習與人工智慧遏制自動化攻擊行為,杜絕遭到殭屍網路襲擊或爆發針對性欺詐事件。事實上,Shape Security已在全球超過2億個行動裝置上部署,包括美國前12大銀行中的8家,平均每天緩解超過10億次攻擊活動,同時保護1.5億次合法的人工執行登入行為。
為了避免被檢測或緩解措施攔阻,攻擊者勢必會持續不斷創新發展自動化的攻擊工具與手法,以更接近真人實際操作的行為來繞過,並且還可能會採用人工智慧輕鬆通過CAPTCHA這類型的圖靈測試。整合Shape Security人工智慧的能力後,F5完備了地端與雲端的可視性、威脅洞察能力,可促進實踐營運流程工作自動化。