面對近年來市場結構轉變,驅使各行業的企業IT陸續制定轉型策略,以軟體定義的方式落實集中控管與安全性配置,為應用服務打造更加彈性、敏捷的運行環境,讓企業營運得以在數位化時代下贏得競爭優勢。
大量運用虛擬化、雲端平台技術手段來達到中央控管目標,可說是軟體定義IT應用架構中重要環節。Juniper Networks台灣區資深技術總監游源濱觀察,隨著應用系統架構逐步演進到雲端化,甚至是容器化,以加速回應瞬息萬變市場需求的能力,同時也帶來前所未見的資安風險,以往建構的區域聯防已不再適用,必須重新檢視工作流程中的潛在弱點,以及制定可觸發執行的控管策略,才能降低非典型攻擊帶來的危害。
常見的區域聯防做法不外乎可同時控管終端與閘道端,介接雲端平台以餵入大數據分析後的情資,達到區域聯防的目的,問題是必須採用單一廠商提供的解決方案,否則無法實作跨技術平台整合,如此一來,又會遭遇到企業不樂見被綁定的狀況。因此退而求其次,按照不同應用場景制定防護政策,最終卻喪失端到端的可視化能力,難以在第一時間察覺到弱點,讓外部攻擊威脅有機可趁。
Juniper基於開放理念打造的軟體定義網路安全(Software-Defined Secure Network,SDSN)架構,即可解決現代IT應用環境建構區域聯防所遭遇的異質平台整合障礙,以Centralized Policy中央控管平台蒐集多樣化資料,先掌握端到端的完整行為模式,藉由Juniper Sky ATP雲端服務解析未知型檔案,同時餵入第三方單位取得的即時威脅情資,輔助解析提升偵測力。一旦辨識發現中繼站、GeoIP等惡意流量,立即透過Juniper Security Director Policy Enforcer依據直覺式(User Intent-based)控管政策模型觸發反制行動。
Policy Enforcer設計的動態反制技術,在Juniper SDSN架構中扮演關鍵性角色,可說是雲端時代下的區域聯防實踐者。游源濱說明,畢竟企業IT是由不同領域的技術廠商所建構,即使偵測機制發現惡意活動也難以連動執行攔阻,即便是透過整合運行,通常僅著重在閘道端的防堵,無法延伸到內部交換器。
Juniper研發設計的Policy Enforcer不僅可在偵測到惡意行為當下立即觸發Juniper EX與QFX系列交換器、MX系列路由器、SRX系列次世代防火牆強制實施控管政策;同時交換器還可透過IEEE 802.1X標準協定,連動無線網路、端點安全防護、網路存取安全系統、DDoS防護、CASB等第三方廠商的技術平台,透過Policy Enforcer統一以直覺式控管政策模型,基於屬性(MetaData)值觸發執行隔離等方式來遏制惡意行徑。
此外,目前正積極擴展Juniper SDSN整合Contrail Controller與vRouter所建構的多雲平台控管能力,監看雲端原生應用的容器環境工作負載,同時在微分段(Micro-Segmentation)架構中套用Policy Enforcer的控管政策與措施,讓雲端與地端的工作負載,自動建立相同安全等級的保護,藉此有效地降低各種創新營運業務潛在風險性。
 |
| Juniper基於開放理念打造的軟體定義網路安全(Software-Defined Secure Network,SDSN)架構,由圖上方的Sky ATP提供即時的分析及威脅資訊給核心的Policy Enforcer中控台,中控台可自動通知右方Juniper EX/QFX交換器隔離用戶及SRX防火牆黑名單阻斷對外通訊,中控台也可透過標準協定及API整合左方的他牌交換器及防火牆進行用戶的隔離與阻斷,中控台同時可整合下方公私有雲的雲端安全,確保地端與雲端的工作負載,皆得以在相同的安全控管政策下運行。 |