電信公司挺身協助企業 部署從雲到端資安防線
- 洪千惠
-
隨著數位轉型浪潮席捲、物聯網(IoT)與人工智慧(AI)時代來臨,不論大中小型企業的資訊應用架構,皆與從前不同,逐漸變成混合環境,其中可能包含公有雲服務,亦可能銜接供應商、委外廠商或客戶的網路,彼此進行服務分享;這些變化,將導致企業難以全盤掌握資安,哪怕自身資安防禦工事做得再好,也可能因為供應鏈夥伴的資安水平不足,以致出現破口,導致大家一同遭殃。
台灣大哥大商務服務企業整合業務暨服務處經理徐德怡認為,由於情勢變化快速,企業若繼續走傳統套路,自行編列預算建置與維護一堆資安防護設備,恐不易跟上威脅的演進速度,無法應付接踵而來的資安挑戰。
為此台灣大哥大以大水庫概念為前提,聯合許多國際級專業大廠,利用資本密集優勢推出從雲到端的「資安戰警」資安防護服務,讓企業不必負擔沈重CAPEX,僅如同繳納電信費用般每月支付OPEX,便可享用猶如大型淨水廠的All-in-one資安防禦保護,從容抵擋DDoS等惡意土石流侵襲。
徐德怡指出,若按傳統的資安部署模式,企業通常只能針對單一功能需求編列預算並購置一種防護設備,不管防火牆、IPS、UTM或其他系統皆如此,但台灣大哥大深信,依當前資安形勢之複雜,很難再像從前一樣,藉由一套科技設備解決所有問題;因此「資安戰警」在防禦佈局上,不管面對DDoS、CDN、APT或勒索病毒...等等各種資安威脅,都有最佳的防禦方式。
以DDoS為例,台灣大哥大建立電信級骨幹防禦服務架構,除了可承載並清洗大流量DDoS攻擊,也將Arbor APS設備架設於骨幹網路上,針對應用層攻擊實施細緻防護,雙管齊下匯聚為多層次(L3~L7) DDoS防禦架構;除了境內防禦外,亦可藉助Incapsula或Akamai等CDN方案,在實現網站加速之餘,滿足WAF及DDoS防護需求,藉由CDN BGP流量清洗機制,於境外檢測與減緩DDoS攻擊。
軟體定義網路隔離,妙解混合環境防禦難題
值得一提的,針對客戶自家核心網路,台灣大哥大亦可代建、甚至代管UTM等基礎防護設施,對於欠缺資安專業人力與財力的中小企業,無疑是莫大福音,因為他們無需投入一次性資本支出,即可建立必要資安防護,縱使無專責人員全天候看管設備,也能由「資安戰警」服務團隊協助執行監控、更新等維運事宜;所以該項服務不只是設備部署那麼簡單,而是帶有溫度的貼心服務。
另有鑑於數位轉型趨勢下,混合環境將成為常態主流,如果企業僅倚靠傳統的防火牆、VPN搭配現有網路架構,勢必無法支援動態的實體隔離,難免使混合環境出現資安破綻,因此台灣大哥大特別在去年(2017)引進Zentera Systems的軟體定義網路隔離方案CoIP Security Enclave,並將之列為「資安戰警」中的亮點服務項目。
徐德怡解釋,傳統VPN一經建立,便是永遠存在的線路,由防火牆執行管控,但僅能管流量、不管應用,萬一駭客透過APT或勒索病毒取得設備控制權,即可利用這條VPN做更多壞事,讓整體供應鏈同遭淪陷;如今藉由Zentera網路隔離方案,即可在現有網路架構基礎上建立多個虛擬層,並清楚限定每一層的應用身份,唯有身份檢核過關,才會出現對應的虛擬鏈路,而駭客縱有再大root權限也看不見這些網路,如此一來,即使虛擬鏈路的一端遭駭,也絕不會將毒害傳給另一端、更不會感染整個生態系。特別是物聯網(IoT)與人工智慧(AI)時代來臨,Edge與雲端應用越來越廣的今天,更需要動態的網路隔離與防禦。
[ 台灣大哥大徐德怡先生,將於7/19舉辦的2018雲端資安論壇發表「數位轉型與物聯網時代的資安部署-串連『雲』到『端』的資安防線」,活動完全免費,欲進一步了解混合環境下如何建構從雲到端的資安防禦工事,歡迎MIS、資料庫、營運E化、稽核與法遵等資訊人員報名參加!]
