彈性應用層防禦 讓資料不再外洩

F5 Networks技術經理 紀文智

資訊安全每天都會發生，只要有資料及伺服器，就會發生攻擊事件。F5 Networks技術經理紀文智指出，企業要讓資訊安全做得更好，一定要了解攻擊行為的模式，如癱瘓服務或是竊取資料，兩種攻擊的方式其實不太一樣，目標也不一樣，企業的因應方式也不一樣。

目前常見的資安攻擊手法，首先是從網路方面的攻擊，紀文智表示，這種攻擊方式主要是設法取得存取權限，就像是要設法避開保全人員的身分查驗動作進入大樓，目標是能否侵入；其次是針對應用層次的攻擊，主要目的是進行資料竊取，遇到這類攻擊，資料本身是否做好就相當重要；最後是DDoS，主要目的則是讓網站服務停擺。

紀文智指出，這些攻擊方式，其實都有跡可循，企業也可藉此判斷，應該採取的防護措施。DDoS會用各種不同的方式攻擊，甚至可以進行第四、第五到第七層的攻擊，只要有任何一種方式成功，就能達到有效癱瘓服務的目的。

面對DDoS的防禦方式也有很多種，如將密碼弄得很複雜，或是限制密碼或IP嘗試登錄的次數，也可延長認證的緩衝時間。紀文智指出，這些方式主要是增加進入的難度，至少可以延遲駭客入侵的時間。

但由於DDoS是集合許多人或機器的力量進行攻擊，沒有明確的侵犯者，也比較難鎖定防護。因此多數企業的資安防護，主要是針對網路及應用層面的威脅而設計。

事實上，大多數真正有威脅的攻擊，其實是針對應用層次的攻擊。紀文智表示，因為應用軟體才是接近資料的大門，一旦資料被竊取，就可進行詐騙或財務轉帳等動作，企業不可不慎。

紀文智指出，資料中心必備的安全機制，包括防火牆、網頁應用程式防火牆(Web Application Firewall；WAF)及能夠應付從第四到第七層DDoS攻擊的機制。值得注意的是，資料中心的安全機制不只一種，彼此必須相互配合，像齒輪一樣緊密互動，但同時又要有彈性，才能夠在第一時間因應全新的攻擊型態。

紀文智強調，不管資料放在哪裡，永遠都要注意安全議題，尤其是Full Proxy Security架構，因為強調的是使用者與資料中心之間的資安機制，凡是要接觸後端應用層面的動作，都要經過Full Proxy Security，對於資料防護的掌控會更完整，但因為使用者所有的行為，都要透過Full Proxy Security，會比較耗費資源，資料中心的負擔會比較重。

值得注意的是，傳統的網路防火牆，不會針對不同的應用進行資訊安全層級的加強，紀文智指出，應用防火牆應該要有學習的機制，那些行為可以被允許，那些行為要進行阻擋，都要能夠彈性因應。

此外，Geolocation Enforcement的概念也非常重要，紀文智表示，針對不同的國家或地區，可以先行阻擋掉可能出現的攻擊。每一個在網路上的裝置都有IP，就像是身分證，而F5建立的IP信譽資料庫，每5分鐘會更新一次，如果有任何IP被駭客當作跳板，就可以找出來進行阻擋。

此外，F5解決方案因為可以看到使用者是誰，可以輔助IBM/Oracle的資料庫防火牆，掌握那些使用者存取那些資料庫。F5可以保護網路及應用層，配合IBM/Oracle在資料層的保護，可以組成最完整的資安機制。

因此，紀文智強調，企業如果要能彈性因應各種攻擊，就必須要能掌握伺服器回應的各種訊息，如回應時間長短，才能偵測到DDoS的攻擊。如果想要達到0-day attacks，就要能應付不可知的攻擊，因為駭客的行為不斷翻新，所以資安機制一定要有彈性。

想要建立一個很完整的資料中心防護機制，需要的機制非常多樣，包括多重的防火牆、因應DDoS的攻擊、建立WAF及應用防火牆等，紀文智指出，F5解決方案本身是一個智慧型伺服平台，可以判斷威脅的類型，並採用最適合的方式因應，同時做到多重防禦機制，做到真真切切的資訊安全。