因應企業陸續將前端應用服務遷移到外部公有雲平台,A10近年來亦相繼發布針對Amazon、Microsoft Azure雲端平台的支援,讓客戶在公有雲環境同樣可選用ADC服務。在本地端建置方面,從日前推出的全新產品線A10 Thunder Convergent防火牆(CFW)不難發現,鞏固應用服務安全性已成為主要發展方向。
A10 Networks台灣區資深技術總監簡偉傑說明,現階段觀察到企業邁向雲端運算的方式,較多是將部分非關鍵系統轉移到外部公有雲,或是把過去主機代管的應用改建於公有雲平台,主要著眼點為節省建置與維運成本,但核心系統與營運資料仍維持在內部機房。在混合雲環境下,應用加速的方式變化不大,仍基於SLB或GSLB來協助。
針對外部雲端環境的資料最終仍需同步回到內部的需求,A10在去年推出ACOS 4.0版本之後,即已支援Overlay網路架構,可透過VXLAN、NVGRE通訊協定介接至企業自建的資料中心,讓兩端成為相同的VLAN。「但是就國內提供IaaS服務的電信商來看,常見的作法是雲端與企業端資料中心中間透過IPSec VPN傳輸,當然A10提供的實作方式亦是如此。畢竟要在安全性前提下達到混合應用,建立加密傳輸管道已是基本要項,IPSec VPN即是最快的方式。」簡偉傑說。
|
▲A10 Networks台灣區資深技術總監簡偉傑認為,在雲端運算模式成為主流後,傳統設備廠商勢必會朝向軟體與硬體脫勾的方向發展。就A10本身來看,稱之為「ACOS Averywhere」,讓自家系統可建置於更多硬體平台上。 |
至於傳遞的內容,在法規規範以及HTTP 2.0(HTTP/2)標準化後,為確保安全性,在應用服務與終端用戶之間建立SSL加解密機制已是重要的課題。因此A10在日前全新推出的CFW產品線中,即內建SSL Insight功能,藉此達到SSL/TLS加密傳輸內容的可視化,並且具備URL過濾、威脅情報處理能力。
畢竟現代的滲透攻擊手法中,駭客也會利用SSL加密傳輸惡意程式或盜取機敏資料,來迴避資安機制的檢測,因此透過SSLi產品解析由外而內的連線存取需求,可執行一次性解密後提供IPS、防火牆等資安設備進行偵測與分析,確認內容安全性後再加密地送至目的位址。
「其實加密演算法,不論是SSL或IPSec,通常是相似的運算技術,只是兩者採取各自的通訊協定。因此在Thunder系統中專門用來加解密的晶片,可同時提供IPSec VPN與SSL加解密使用,效能方面比較有保障。當然,若是架構在虛擬平台之上,不論是公有雲或私有雲,就得仰賴CPU來執行。」
而A10旗下全產品線均可透過Harmony平台達到整合,以aGalaxy中央管理系統整合統一納管ADC、CGN、TPS、CFW,同時亦開放第三方產品加入整合。