產業趨勢朝向數位轉型,也推升了邊緣運算的重要性。邊緣端承載IT與OT設備產生的連接性等Telemetry(遙測)資料,再傳送到雲端平台實作機器學習與人工智慧應用。但邊緣也成為外部攻擊者最佳的突破點,一旦被滲透成功即可橫向擴散。
對此,Aruba藉由基於雲端原生架構的ESP(邊緣服務平台)整合納管Aruba交換器、Wi-Fi 6/6E基地台、SD-WAN(軟體定義網路)等實體設備或異質技術的連網裝置,並運用PEF(Policy Enforcement Firewall)與CPPM(ClearPass Policy Manager)為連網裝置自動化地動態分段,以有效地降低風險,協助企業落實零信任控管模式。
Aruba台灣區副總經理陳清淵說明,Telemetry資料範圍相當廣泛,不僅泛指Layer 4封包,亦涵蓋用戶認證時記錄的時間、用戶名稱、接取的無線基地台、上行交換器連接埠等,若能即時蒐集Telemetry資料,即可在用戶抱怨無線網路傳輸不穩定時,快速地釐清究竟是認證伺服器回應速度慢,或用戶輸入的帳密錯誤等因素所導致。
零信任管理邊緣場域裝置
邊緣運算主要是依據應用場景需求建置,通常為特殊功能的應用系統,由於異質場景產生的資料各自保存,使得彙整複雜度變高。欲確保應用場景穩定運行並降低資安風險,首要須具備可視性,釐清端到端的關聯性,但相對地網路管理也必須承擔更多責任,並且在不影響用戶操作的前提下增進資安防護能力。
陳清淵舉例,IC設計廠商核心的部門為研發單位,通常不易接受控管。IT部門制定的資安控管政策若欲落實部署,為避免高階管理層或研發單位的反彈,勢必須在不影響用戶體驗的前提下套用安全措施,此即為Aruba提出落實零信任框架的主要理念。
針對有線環境的控管,ClearPass技術可掌握接取連線的設備,所有設備都須先通過認證,再依據角色、連線發起環境等條件,授予相對應的權限,便能提升網路環境的安全等級,再加上其可持續監控連線封包內容,進一步降低裝置遭病毒感染的風險。ClearPass已整合超過150家以上的資安廠商技術,在偵測發現惡意程式當下予以阻擋的同時,亦通知ClearPass根據完整掌握的連線行為資料,精準地執行隔離,以降低遭感染的損害。
Aruba藉由既有控制器具備Layer 4 Stateful防火牆的機制,同時運用深度封包檢測(DPI),蒐集Payload以外的行為資料,可識別掌握用戶連線存取中的應用程式,此功能無須額外支付費用即可達到。陳清淵說明,基於Overlay架構,連網裝置不論從邊緣端的無線基地台或交換器接取,在ClearPass認證通過後,由動態分段(Dynamic Segmentation)技術實作可指定GRE通道讓流量導向控制器,進而實施控管措施,例如公司不允許員工使用LINE通訊軟體,只要在控制器設定阻斷即可達成。
資料中心交換器內建防火牆技術
前述是園區網路的安全控管,至於資料中心亦需有對策。過去高速運算伺服器數量不多,藉由交換器定義ACL(存取控制清單)措施即可因應,但隨著ACL規則條件逐年增加,交換器設備搭載的運算資源已左支右絀,另一方面,業務應用系統又不斷增多,勢須提升東西向控管能力以降低資安事故造成損害。
多數企業的作法,是在資料中心對內與對外傳輸通道上部署防火牆來控管連線行為,所有網路流量皆須先經防火牆設備再連線到應用系統,但這樣常佔用過多頻寬資源,亦可能造成壅塞狀況。「對此,Aruba日前發布的新世代CX 10000系列交換器,打造全球第一台交換器內建防火牆功能,讓檢測機制在網路傳輸過程中直接處理,不用再遞送到另一台防火牆設備。」陳清淵說。
CX 10000系列交換器整合了Pensando的技術,該公司為前思科執行長退休後創立,專注於研發資安晶片,Aruba將其嵌入到CX 10000系列交換器,在單一設備中提供防火牆、抗DDoS、加密,甚至未來還會增添負載平衡等機制。此外,為了確保東西向流量檢測運行效能,CX 10000系列交換器擁有800Gbps吞吐量,不論資料中心規模大小皆可滿足需求。
AI引擎持續優化網路配置
在零信任架構的持續性監控機制中,正常用戶認證通過即會拋送資料到SIEM平台,當用戶連線傳輸被次世代防火牆偵測到惡意程式,則立即執行阻斷並將事件拋送到SIEM平台,由SIEM平台發送告警通知IT人員,以便檢查遭感染的設備,再決定採取回應的動作。Aruba則採更有效率地自動執行,亦即從SIEM平台透過RESTful API觸發ClearPass執行自動隔離或斷線回應,並把端點用戶的惡意程式檔名發送通知給管理人員。
「欲提升有線無線網路控管效率與確保安全性,企業須制定完整的框架逐步建構,」陳清淵說,Aruba基於雲端平台發展的ESP平台,從底層的有線無線設備納管、零信任安全防護,到內建人工智慧(AI)應用輔助維運,並透過Aruba Central雲端平台操作與呈現分析數據,皆是借助雲端平台資源運用AIOps輔助維運,依據演算分析需求來彈性擴展資源,可大幅減少人工維運的負擔。
現階段研究資料分析所利用的資料倉儲、資料湖系統,已逐漸轉向部署在雲端平台實作,更利於為Aruba Central雲端平台內建的AI分析引擎提供更豐富資料,進而增進預測精準度,在問題發生前先行排除以避免影響企業正常營運,有效發揮AIOps效益。
陳清淵強調,雲端平台彙集Aruba全球客群網路環境的大數據,讓機器學習演算模型提高判讀資料的準確度,以提出優化調整的建議。例如演算模型可解析多個相似的網路連線行為,得到最佳效能表現的參數配置,做為回饋調整優化的建議值。隨著雲端平台的AI分析引擎餵入的大數據逐年累積,Aruba亦將持續增添演算模型,協助企業不斷地優化網路傳輸效能、提高安全等級。
此外,Aruba Central亦可辨識與監控物聯網(IoT)裝置,透過無線網路基地台扮演IoT平台,支援常見的Zigbee、藍牙等通訊協定,針對專屬應用的連網裝置,亦可透過USB Dongle來擴展支援,讓無線基地台負責蒐集IoT裝置產生的資料,再遞送到雲端平台進行統一監控。陳清淵表示,Aruba已跟全球專業IoT設備製造大廠建立生態系,例如瑞士ABB推出的智慧感知器,把傳統電機、安裝軸承等元件產生的原始數據轉變傳送到Aruba Wi-Fi設備,透過藍牙通訊即時偵測運轉軸承是否偏移,便可運用AI輔助增進預測能力,在故障前先行通知維運人員更換零件,以免影響正常運轉。