多雲時代 論壇 DevOps Agile Container Kubernetes 資安所

多雲時代關鍵維運及資安策略論壇現場直擊

跨領域技術統整 共創可靠安全多雲應用

2019-08-12
儘管雲端運算應用發展至今已逾十年,直到近兩年本土企業在數位化轉型驅動下,陸續開始採納雲端平台部署新興應用服務,抑或是內部系統直接遷移上雲,多雲應用場景儼然成為現代IT必然的結構。對於一線IT人員來說,也是個不得不面對的課題。

 

過去十年來企業資料中心運用虛擬化技術,讓運算、儲存、網路資源發揮最大效益,並且減少耗電量與空間的成本支出。如今的轉型則是由應用開發者驅動,促使IT基礎架構必須較以往更敏捷的方式提供應用服務上線所需的相關服務,以跟進市場需求變化的腳步。於是企業IT開始實作容器(Container)環境來取代既有虛擬主機的部署,搭配應用開發從三層式架構演進到微服務,可依照不同目標市場選用部署應用的雲平台,達到預期營運效益。

作業系統內建容器離線仍可執行K8S

現代應用開發工作流程已從過去的瀑布式方法論演進到敏捷式(Agile),近來被熱烈探討的當屬DevOps方法。SUSE資深雲技術架構師蘇顯揚引述451 Research分析報告指出,容器技術的市場自2015年開始發展,穩步成長到2020年將成長達5倍,大約是27億美元的市場規模。過去運行在Hypervisor平台之上的應用服務,封裝於虛擬主機內部,有完整的作業系統環境與相關工具各自獨立運行,但是在容器環境,單一節點的作業系統核心則可分享給多個應用服務共用執行,通常只要三個節點,即可提供上百種不同功能的容器化應用服務運行。

網管人雜誌主辦的《多雲時代關鍵維運及資安策略論壇》,吸引IT從業人員熱烈參與。

「新版本15 SP1的SUSE Linux Enterprise Server(SLES)系統已內建支援容器與微服務,只是並非採用Docker引擎,整合的是CRI-O(Container Runtime Interface Orchestrator)開源專案,不僅較Docker運行環境的效能更高,而且具備Air-gap System,即使在離線狀態仍舊可操作Kubernetes。」蘇顯揚說。

至於針對開發者的應用需求,SUSE則是基於開源PaaS平台Cloud Foundry發展的SUSE Cloud Application Platform,結合SUSE CaaS Platform,可同時介接多個公有雲,例如AWS、Google、Azure等異質環境,建立多雲控管機制。

蘇顯揚進一步說明,市場上其他基於Cloud Foundry發展的PaaS平台,通常必須啟用大量虛擬主機的運算資源來支應,而SUSE則只要三台即可運行。開發者透過Stratos網頁操作介面,撰寫Java、.Net、Node.js、Go等程式語言,完成後呼叫K8S API,也就是SUSE CaaS,整體解決方案稱為SUSE Application Delivery Solutions,讓維運與開發者得以協同合作,增加企業敏捷性。

「對於不知該從何著手的企業,SUSE顧問團隊可協助運用方法論,著手把應用予以容器化,建構成現代化平台,藉此制定工作標準與自動化能力,讓應用交付快速跟進瞬息萬變的市場腳步,幫助企業贏得競爭力。」

為Ops與Dev搭建多雲工作平台

隨著採用雲端服務的企業數量逐年增長,既有內部部署的工作負載勢必逐年遞減,甚至是轉向新興的容器環境與微服務架構。Citrix台灣暨香港技術總監何浩祥亦指出,在微服務架構中,將產生龐大的東西向資料流,IT人員熟知的應用交付控制器(ADC),不僅提供南北向的流量負載控管與安全性機制,伴隨應用演進持續發展,如今的ADC技術亦可整合於容器環境以確保東西向流量安全性與用戶體驗。

報到人潮絡繹不絕。藉此盛會除了讓IT人員掌握最新市場脈動,亦得以彼此交流、共同學習。

DevOps模式最需要的就是開發維運雙方的密切合作,然而IT部門長期以來依據技術專長分工,彼此之間往往欠缺溝通。舉例而言,傳統應用負載優化處理機制是在連線請求發起時才執行,往往當前端操作介面App化上線之後,使用者在全球各地、透過當地電路存取應用服務,才會發現網路遞送延遲、傳輸頻寬耗用過大等問題,這是由於開發人員在開發階段,不太會考量日後上線時網路端可能面臨的狀況。有趣的是,過去ADC設備通常是IT維運團隊負責,一旦應用服務發生問題時卻必須由開發團隊來處理,可以說,向來唯有ADC處於持續需要雙方協同工作的位置,因此也最懂得如何促進DevOps合作效率。

「Citrix認為應用服務部署必須掌握三大重點,也就是保障用戶體驗、安全性、多重選擇性。」何浩祥強調。既有應用系統建立的南北向負載平衡機制,在微服務架構的東西向流量同樣須具備,並且建立自動化監控溝通狀態,根據預先定義觸發條件執行處置,以保障用戶體驗。

安全性方面,可定義使用者瀏覽網站的權限,若為機敏性較高的應用系統,Citrix Workspace解決方案會自動增添浮水印,萬一被惡意人士透過手機拍攝外流,即可藉此追查到罪魁禍首。至於網站經常遭遇的DDoS、DNS等攻擊,現有的網頁應用防火牆技術已可有效攔阻,更重要的是自動加密微服務之間的溝通,以確保不被竄改或攔截。

至於多重選擇性,重點在於Citrix ADC除了既有硬體式解決方案外,同時提供虛擬化、容器化版本。何浩祥指出,「今年(2019)5月Citrix進一步推出可部署於x86平台的BLX裸機套件,讓Linux系統核心架構的容器環境,亦可具備ADC的功能。授權模式採以資源池的方式計算,例如採購了50Gbps吞吐量,則無論地端或雲端的硬體、虛擬、容器環境皆可共享,因此在全球部署應用服務的企業便可依照工作時區來配置授權資源,將整體利用率極大化。」

基於聯邦學習共創資料模型

為了幫助正在積極轉型數位化的台灣企業確保安全性,資策會除了協助推動本土資安產業發展,內部亦有自主研發情資平台,讓產業得以及早建立防範。「主要是運用去中心化的概念,就如同區塊鏈架構運行模式,協同資安技術供應商共同創建雲端情資的交換機制。」資訊工業策進會資安科技研究所產品經理朱宇豐說。

資策會資安所產品經理朱宇豐指出,根據國際市場調查統計,資安新創公司數量逐年遞減,除了反映新創愈來愈難以獲得資金,亦表示投資者正在尋找能夠滿足企業日益複雜需求的解決方案,而非僅為單一功能技術。

就全球的資安產業來看,近年來出現的新創公司,最終大多被併購,截至2017年底,資安新創IPO的數量只剩下一家。朱宇豐進一步說明,根據國際市場調查統計,資安新創公司數量呈現逐年遞減的趨勢,除了反映新創愈來愈難以獲得資金,亦表示投資者正在尋找能夠滿足企業日益複雜需求的解決方案,而非僅為單一功能的技術。

回顧台灣過去資安產業,最知名的莫過於2013年被美商阿瑪證點(Proofpoint)併購的阿瑪科技,以及2014年被美商威瑞特(Verint)併購的艾斯酷博。兩家公司共同的特色都是白帽駭客所成立,並且在全球駭客大賽中得獎,因而被美商公司看中。近幾年較突出的則是由台灣駭客年會成員創立的戴夫寇爾(Devcore)與Team T5。

眾所皆知,台灣由於與中國大陸之間的政治因素,相當適合蒐集攻擊情資,可說是一種天然資源。若欲藉此壯大資安產業,朱宇豐認為,首先是必須扶持資安新創與主流產業共同發展,以免在孵化過程中就被併購;其次是全球資安市場正在快速成長,正可利用台灣優勢深化技術能量,推出台灣製造的資安解決方案;第三是發展軍民通用技術,因應政府5+2產業創新計畫,建立資安國防「軍轉民」與資安產業需求「民通軍」的良性循環,藉此在競爭激烈的國際市場中贏得競爭力。

惡意攻擊者在利益驅使下,往往會採以偽裝合法用戶的操作模式執行活動,以免被既有資安防護機制偵測與阻擋。為了提升偵測能力,許多資安解決方案開始應用人工智慧輔助判別高風險活動,基於規則化的威脅情資來實作,如此一來,獨立的資安管理中心勢必將開放合作模式,藉此取得不同機制所掌握到的情資。

技術垂直整合將成為資安產業生態致勝的關鍵。朱宇豐說明,台灣資安產業多數採用外商產品,現有的資安技術領域則往往各自為政,對此,資策會資安所研發的人機協作情資與偵防機制,目的即是為了整合;基於自主研發的智能驅動網路安全模型,針對外部情資可做到異質情資關聯融合、主動式發掘、攻擊工具預測,內部則是駭客入侵橫向移動偵測、動態部署誘捕、工控系統威脅分析。統整後的資料再透過API、SDK等方式介接,提供給企業或組織所建置的資安事件管理平台(SIEM)、入侵偵測系統等資安相關解決方案,為各領域正在積極發展的數位應用提升安全保護。

微服務架構與容器環境蔚為風潮,相關的演講主題亦受到學員青睞。

近期正在發展的項目是聯邦學習(Federated Learning)機制,著眼於許多企業或組織基於安全考量無法把內部的日誌檔案全數交由外部專家系統分析,僅能在不涉及隱私、個資等機敏資料範圍進行大數據分析,資料模型難以達到足夠精準。如此狀況下,可運用區塊鏈技術特性建立聯邦學習機制,去除資料必須統一匯集到大數據分析平台的作法,讓聯邦體系下的參與者得以共同訓練模型,幫助資料敏感度較高的金融、醫療等產業,得以藉此機制及早發現資安問題,防範最新攻擊手法的襲擊。

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!