隨著虛擬化、行動化等應用環境的變化,企業IT基礎架構中的組成要素之一:防火牆,為了因應外在環境越來越多的資安威脅型態,如今除了包含以往普遍納入運作於Layer3、Layer4的功能特性,例如NAT(Network Address Translation)、VPN(Virtual Private Network)、封包過濾、傳輸協定檢測等,還持續加入更多防禦機制。
像是已延伸到防毒、垃圾郵件過濾、網站過濾,甚至是IPS(Intrusion Prevention System)等機制,也就是新型UTM(Unified Threat Management),或改頭換面稱為NGFW(Next Generation Firewall,次世代防火牆)的解決方案。
所謂NGFW,主要是控管機制可擴及到Layer7應用層,畢竟單一應用中像是網頁可以做的事情較以往更多,例如社交網站也可即時通訊、玩遊戲等,因此是否具備應用識別能力會是首要條件,如此才能進一步加以控管;其次是傳統網路以IP/MAC管控,現在則必須是以人為中心,使用的電腦、開啟的應用程式、做了什麼事等資訊,全部可被整合到個別使用者身分。
跳脫防火牆傳統思維自主研發
Palo Alto技術經理曾國偉說明,會有NGFW這個說法,第一次出現是在Gartner報告中首先提出。而當時Palo Alto產品會引起Gartner關注,跟既有廠商有較大的差異,是在於Palo Alto從作業系統開始就重新設計、自主研發,且功能面不是基於狀態檢測(Stateful Inspection)發展,而是著重在應用程式(App-ID)、使用者(User-ID)、內容(Content-ID)三種識別技術。特別是企業應用程式的控管,不只可以看到網路傳輸行為,還可以進一步辨識該行為存取哪些網路應用服務,像是Dropbox、YouTube、P2P等,主要是透過拆解封包取得標頭(Header)與封包內容(Payload)來辨識。
然而要達到控管的目的,不只是要具備辨識,還要搭配制定執行政策(Policy)才能夠減少IT管理者的負擔。曾國偉提到,但Palo Alto並不是以IP位址為控管標的,而是改以使用者識別,透過企業內既有的Active Directory、LDAP、Novell eDirectory,或是Terminal Services(Citrix、Microsoft)環境,來取得帳號資料。
他以Active Directory環境為例說明,Palo Alto會藉由內建的Event Log Monitoring等機制,將IP與使用者帳號做Mapping,跳脫以往所熟知網路設備大多以IP位址為核心的管理思維,直接以「人」為核心作管控。如此一來,使用者不論從哪一台電腦登入,皆是套用該使用者的權限,才能簡化控管上的麻煩。
當資安設備開始變得多功能之後,如何維持運作效能與可用性之間的平衡,往往會是一項挑戰。對此,Palo Alto技術經理藍博彥表示,Palo Alto的硬體設計是單通道平行處理架構(Single Pass Parallel Processing Architecture),一旦封包拆解程序啟動,所有控管政策一次套用執行,像是網路層的控管、應用程式的辨識與解析、特徵碼檢測、內容監看、等機制,皆只需要拆解一次封包即可執行完畢,無需逐次拆解過濾重組效能當然快得多。
從應用層辨識到設備端認證
Fortinet台灣區技術顧問劉乙不諱言,NGFW一詞的確是Palo Alto首先提出,可是更早之前,Fortinet就已定義次世代防火牆,只是後來IDC發表一篇專文稱Fortinet為UTM,才會在市場中有這些定義與區隔。
「Fortinet更強調的是科技應用。我們的新一代產品年底前就會亮相,不只可辨識出近二千種應用程式行為,還可辨識各式各樣的行動設備。」劉乙強調,BYOD已是企業環境不得不面對的趨勢,就連許多相當保守的公務單位,以往為了避免遇到資安方面的問題,一律不提供無線網路連線,如今也受到各式行動設備影響,體認到其方便性可提昇工作效率,而開始規畫無線網路及其安全控管機制。他指出,防火牆最大的作用就是管理網路傳輸規則,結合政策控管,這部分多數防火牆都已具備,然而究竟哪些設備屬於公司、哪些又是員工自己的,以往並沒有包含辨識這類設備的機制,更遑論控管。
許多政策措施都必須仰賴資安閘道的功能配合才能實現,劉乙強調,這就是Fortinet的創新目標所在,例如讓平板電腦只能讀不能寫,安全度自然提高;存取時,不只有使用者名稱與帳號登入的管控,FortiGate還會加入自主研發的軟體式身分驗證憑證(Token),只要上Google Play或App Store,下載APP即可使用。
底層整合解除效能侷限
在台灣經營十多年的Check Point,向來是以防火牆著稱。Check Point台灣技術顧問吳炳東亦不諱言,直到Palo Alto進入市場,的確為該領域注入再進步發展的動能,包含Check Point從軟體式解決方案到軟體刀鋒架構(Software Blade Architecture)的最新版本R75.40與GAiA整合安全作業系統,不難發現,Check Point的確在持續創新。
除了在安全性方面的整合外,對於次世代防火牆而言,面對虛擬化環境所需的改變,更會是未來的重點。吳炳東解釋Check Point對此的改變,除了既有可結合Hypervisor作管控的Virtual Edition版本,日前更發佈Virtual Systems,著眼於多用戶共享(Multi-Tenancy)、統一管理介面、擴充性(Scalability)等方面。其具備的VSLS(Virtual System Load Sharing)技術,打破以往實體防火牆不敷使用時只能更新更高階機種硬體的限制,VSLS具備橫向擴充能力,最多可支援到八台。
加強虛擬化環境安全
同樣在台灣市場超過十年的WatchGuard,看中台灣許多企業已導入虛擬化應用,新推出的XTMv,除了既有結合眾伙伴之力所整合的安全功能,此新版更是為VMware環境所打造。
WatchGuard台灣業務工程師林子涵表示,伺服器虛擬化後,多用戶共享環境的安全性會是重點,「一般常見實體主機外部的安全性保護,稱為虛擬化安全;安全虛擬化則是應把安全機制直接建立在實體主機上,才可確實達到保護虛擬主機租用者的資料隱私性。而XTMv本身就是一個Guest OS,可運作在VMware的Virtual Switch之前做安全防護。」
安全領域近年來持續朝向整合式發展,這也符合台灣中小企業對資安設備的期待,不同應用環境所需著重的安全防護皆不一樣,只要啟用設備功能,即可滿足實務需求,因此也造就NGFW、UTM、NGIPS等資安設備,彼此市場區隔越來越小的現象。