安全閘道器已隨著網路環境與資安威脅不斷改變而趨於多功能發展,尤其近幾年來市場強調可控管到應用層封包與更精細的控管能力,在在都是希望能提供企業更高資安防禦能力、管理效能以及更簡化的管理需求,然而面對網路應用與安全問題越來越複雜的趨勢,新一代安全閘道器到底應該具備哪些功能與優勢,才能符合企業需求?此次我們將探訪各家安全閘道器設備廠商,一探新一代安全閘道器的趨勢發展與市場現況,以提供企業採購評估考量。
隨著網路安全威脅變化越來越快速多元,複合式攻擊屢見不鮮,再加上企業應用也朝向更多服務型態發展,傳統防火牆或整合型威脅設備(UTM)已越來越難有效阻擋變化多端的網路攻擊。
於是,新一代多功能安全閘道器便開始佔據主流市場版圖,像是強化前一代UTM設備或研發新世代防火牆(NGFW)等等,廠商們無不卯足了勁破除舊有設備的功能規格與效能上的不足或缺陷,添加更多功能以因應企業新的應用需求。到底新一代多功能安全閘道器的全貌長得如何,先從硬體設計談起。
硬體架構各有千秋效能與彈性盼兩全
仔細觀察各家多功能安全閘道器的硬體架構設計,目前主要可區分為PC-Based的CPU架構、FPGA架構以及特殊應用ASIC晶片等三種設計,而這三種硬體設計各有其天生的侷限與優勢,也成為廠商們行銷設備時的訴求主力之一。
以CPU架構來說,以UTM廠商採用較多,透過不斷推陳出新的多核心處理晶片來破除UTM以往因多功能而導致效能差的瓶頸,Fortinet台灣區技術顧問劉乙即表示,善用多核心CPU不僅能夠提升運算處理能力,也能讓核心各自獨立處理安全檢測功能,以提高UTM安全檢測的效率。此外,採用PC-Based架構還有一項好處,在於其能夠提供防火牆政策設定與修改的彈性,如果是ASIC或FPGA晶片,寫入速度相對較慢,較缺乏調整部署政策彈性。
當然,採用FPGA架構的廠商反駁此一論點。Palo Alto台灣香港總經理張元正表示,透過硬體特殊設計,即使採用FPGA架構寫入安全政策,以3到5條安全政策為例,儲存寫入的時間不會超過2秒。而既然FPGA沒有先天上的寫入瓶頸,卻有著優於PC-Based的硬體處理效能與高穩定性,也就成為了採用FPGA架構的廠商們所強調的優勢之一。最重要的是,FPGA是實際平行運算架構,可真正實現安全閘道器的多功能同步執行。
而除了上述兩者架構之外,具備開發晶片能力的廠商,還能自行開發特殊應用ASIC晶片作為設備核心。Juniper先進科技部資深技術經理林佶駿表示,自行設計的ASIC晶片可提供的硬體處理效能,至少是同體積同質性產品的十倍。不過ASIC晶片的修改彈性又比FPGA來得更小一些,成本與開發改版速度也相較於FPGA來得劣勢。因此,在這方面,廠商便藉由設備韌體(如提供應用程式套件、自撰腳本功能與安全事件調整)提高使用彈性,以彌補ASIC晶片先天侷限。
除了設備本身處理核心的架構不同之外,為了滿足多功能安全閘道器的封包處理速度,目前許多廠商也在設計中納入網路加速處理器,主要用來加速傳遞封包,以解決功能越多效能越慢的問題。
多功能安全閘道器的新條件
各家廠商由於發展背景與理念不同而在硬體設計上有所分歧,不過對於新的多功能安全閘道器應該具備的功能條件,則有著相近的看法與發展藍圖。
統一控管介面管理多項安全功能
「單一管理能力」是廠商們對於新一代多功能安全閘道器必須具備條件的共識之一,新軟系統市場業務部產品副理程智偉表示,以單一介面統一控管多項功能的好處在於,可降低網管人員控管多項安全功能的學習門檻進而節省人力,也能夠縮短人員交替的培訓期;而張元正強調,單一控管必須是「真的」能夠統一管理各項安全檢測功能的政策而非只是介面統一,單一控管也就是政策單一化,如此一來才不會造成不同安全檢測功能的政策互斥,造成無法平行處理的情況發生。
此外,單一管理機制也應具備良好的報表能力,以提供客戶即時反應稽核需求。張元正舉例表示,以學校來說,當接獲主管機關通報發生安全攻擊事件時,若缺乏良好的報表功能,即無法在主管機關要求的時間內回報問題來源與解決方法。想當然爾會造成客戶極大的困擾。也因此,單一控管能力也包括可統一蒐集各項安全功能檢測的紀錄(log),才能提供全面性的問題分析與判斷。
應用程式可視性為主流需求
「應用程式可視性」可說是新一代多功能安全閘道器最具代表性的新功能。有鑑於越來越多安全威脅與攻擊衝著應用程式而來,而企業所可能接觸的應用程式又隨著資訊化程度越來越多元,讓僅能依照IP位址與網路埠(port)提供檢測的傳統安全閘道器防不勝防。於是,可辨識應用程式的功能便因應而生,而當安全設備可辨識應用程式類型,其可設定的安全政策也就能夠比過去更為準確精細,林佶駿表示,結合頻寬管理機制,網管人員甚至還能針對不同的應用程式設定其所能使用的頻寬,以避免如P2P須開放卻要防止佔據網路頻寬的應用環境,或可防止應用程式型的DoS/DDoS攻擊。
企業現況與合適採用環境
既然多功能安全閘道器的功能與效能已獲得相當程度的突破與成長,到底適合何種規模企業採用、而企業目前對於多功能安全閘道器的認知又是如何呢?台灣思科(Cisco)資料中心與無邊界網路事業部業務開發經理郭旭傑表示,目前台灣大型企業較偏向採用多台單一功能的安全設備搭配使用,也就是單買傳統防火牆或專用於特定功能的安全閘道器作為閘道端防護機制,而多功能安全閘道器則較容易被中小企業所接受。
之所以形成此一採用分野,最主要的原因包括大型企業對於多功能安全閘道器的效能疑慮,以及其需求與資訊架構較為複雜的緣故。不過,近期以來,大型企業對於多功能安全閘道器的接受度與採用比例正在成長,劉乙表示,一方面是受到前兩年景氣不佳影響,大型企業採購成本效益較具競爭力的多功能安全設備的意願便會提高,另一方面則是新型多功能安全閘道器的效能都已有一定程度的提升,漸能滿足大型企業的要求。張元正也認為,過去大型企業對於多功能安全設備的疑慮來自於效能與管理面的不足,隨著技術演進,這些瓶頸已逐漸被突破,大型企業接受度自然會提高,甚至採用整合型安全設備後,還可提供簡化管理的優勢。
聽起來新一代多功能安全閘道器實在好處多多,不過,各家廠商仍有不同的特色主張以及其所看到的問題與挑戰,在了解企業現有需求以及多功能安全閘道器發展現況之後,接下來就來更深入地探討各廠商的解決方案與優勢,以提供企業評估採購多功能安全閘道器參考指標。(更多精彩文章詳見網管人第64期)