Certes Networks從資料本體加密 克服雲端與量子時代資安挑戰
- 台北訊
-
企業近年加速導入公有雲,跨國、跨雲資料流動成為營運常態,也讓資安風險的關注焦點隨之轉移。瑞奇數碼技術副理王生雄指出,面對資料一旦外洩即無法回收、量子運算威脅逐步逼近的現實,該公司代理的Certes Networks選擇從資料本身出發,以「資料流本體加密」與「抗量子金鑰架構」雙軸策略,重構企業在雲端與未來量子世代的資安防線。
在公有雲環境中,TLS與VPN的確能有效防範竊聽與中間人攻擊,但其保護範圍本質上仍停留在連線通道。一旦憑證被竄改、握手機制遭降級,或雲端端點本身遭入侵,資料在進出通道前後的狀態,仍可能暴露在風險之中。這也是為何通道安全不等於資料內容安全,逐漸成為金融與高敏感產業重新檢視雲端風險的核心命題。
Certes Networks Channel Sales Director-APAC亞太區通路業務總監Bill Fraser表示,Certes DPRM解決方案的技術核心,是直接在傳輸層對IP封包的資料內容本體加密,同時保留封包標頭、通訊埠、路由與QoS等必要資訊,使資料即便在公網或雲端環境中被攔截,也僅以密文形式存在,且不影響既有網路架構、監控與流量管理。
對企業而言,這意味著近乎「零侵入」的部署模式,加密節點可設於企業端出口與雲端入口之間,不需建立VPN、不必調整防火牆規則,也不影響既有應用;以雲端備份為例,資料在離開地端前即完成加密,進入Amazon Web Services 等公有雲後仍維持密文狀態,即使雲端端點遭入侵,攻擊者取得的也只是無法解讀的資料流。
除了加密層級的差異,Bill Fraser提到Certes另一項關鍵設計,在於以資料流為核心的存取策略。傳統通道式加密往往共用同一組金鑰,一旦遭破解,影響範圍可能擴及整條通道;Certes則將每一條資料傳輸視為獨立的安全單元,採取「每條資料流各自使用獨立金鑰,並定期輪替」的設計,哪些資料需要加密、哪些對象具備解密權限,皆由政策明確定義,即使單一資料流遭到破解,也難以作為橫向移動的跳板,進一步降低整體風險。
瑞奇數碼產品經理卓瑋珊表示,這類架構特別適用於金融、醫療與政府等高度受監管場景,也逐漸被延伸至AI訓練資料保護、跨國資料中心同步,以及雲端備援與災難復原等用途。在台灣市場中,此技術的主要應用族群為金融業,其導入多半源自外部制度規範或特定對接單位對資料傳輸加密的要求;部署層面則是針對特定對外連線或跨系統傳輸段進行保護。
除了金融業之外,內部掌握高度機敏資料、且對資安要求較高的企業,也會評估並導入相關加密機制,以強化跨據點與關鍵資料傳輸的防護。
在量子議題上,Certes採取相對務實的策略。王生雄指出,量子電腦雖尚未全面商用,但攻擊行為早已開始,過去多起重大資安事件顯示,攻擊者可能長期潛伏於企業網路中,持續外流並保存資料,等待未來解密變現;一旦量子運算成熟,近年廣泛使用的加密體系,可能在短時間內失去防護能力。
因此Certes 並未將策略完全押注於純後量子密碼學演算法,而是以已充分驗證、具備高效能的對稱式加密為基礎,搭配具備加密演算法敏捷性的架構,讓企業得以立即部署,同時保留未來升級空間。
其資料傳輸核心採用AES-256-GCM,在量子情境下仍具備足夠安全強度,並透過多段式金鑰切割與定期輪替,避免完整金鑰以單一形式暴露於網路之中,降低長期被蒐集與分析的風險。
抗量子思維進入企業實際導入情境時,關注焦點也隨之回到實際導入的可行性與對營運的影響。卓瑋珊以金融業為例,此類型產業在評估導入時,重點關注面向集中在三個層次,包括管理複雜度是否可控、效能與延遲是否符合營運需求,以及是否具備可通過稽核的合規依據。
針對此需求,瑞奇數碼以 POC作為標準流程,先透過實地測試與效能驗證,提供具體測試報告,協助客戶進行內部評估;一般而言,POC期間約一個月,若成效符合預期且決策明確,從評估到正式上線,大多可在一季內完成。
卓瑋珊最後表示,公有雲正逐漸成為多數企業建構 IT 系統的重要選項,在此運作架構下,雲端服務供應商主要負責基礎設施安全,而從地端傳輸至雲端過程中的資料保護,仍需由企業自行掌握。
Certes所提供的解決方案,正是從「資料本體」出發,將加密與金鑰治理直接綁定在資料流之上,協助企業在雲端、跨據點與量子風險並行的環境中,建立一套可即時落地、且具備長期演進彈性的資安防護基礎,確保資料在整個生命週期中的安全性。
