焦點

    Featured PP

    Social Icons

Loading...

2018年新年快樂

HappyNewYear_meitu_1

除夕夜想家了,相約年後再相逢!
美商安瑞全體恭祝您闔家歡樂😆


SSLi 攔截網路加密流量並洞察潛藏威脅實戰紀錄

BloggerHeadSSLi

解決SSL加密流量夾帶的安全威脅

透視以合法掩飾非法的駭客新手法

網際網路(Internet)已經和我們的生活密不可分,生活中必要的食、衣、住、行、育、樂等相關資訊,我們都可以在彈指之間,使用個人電腦、筆記型電腦、平板電腦、行動裝置與配戴裝置,經由許多便利的應用(App)或上網瀏覽隨時隨地快速取得必要的資訊。而萬物皆聯網的物聯網(IoT)發展,則全天候提供相關的大數據, 透過大數據分析與應用,充實了各項服務資訊內容的自動化、多樣化和準確性。然而,在這個享受各種便利的時代,我們也是全天候置身於來自黑暗處的各種威脅和風險;現在我們身處地球村全球資訊交換透通的年代裡,每個人都需承受著來自類似十面埋伏的黑暗處威脅,在層出不窮的資安事件中,每個人皆有可能是受害者,也皆有可能成為駭客的幫凶。

眾人皆知駭客們躲在黑暗處,必須利用各種攻擊手法,生產出殭屍大軍(Botnet),才能隱藏蹤跡操縱進行有效攻擊。而我們經年累月花費鉅資在資訊安全建設方面一向不落人後,無論是網頁應用程式防火牆(WAF)、次世代防火牆(NGFW)、網路存取控制(NAC)、遠端安全存取(SSL VPN)、入侵偵測/入侵防禦(IDP)、防毒/防惡意程式碼/防間諜/防木馬、甚至是反垃圾郵件、防禦社交工程手法攻擊等安全設施,為何在層出不窮的資安事件裡,我們還會變成是駭客的幫凶?目前深入探討出原因,以及讓相關的資安建設發揮應有作用,是目前積極要解決的課題!

觀察自2016年起層出不窮的資安事件

在2016年躲在暗處的駭客破壞毀滅性是非常驚人的,資安事件層出不窮,根據 統計資料顯示,光是在2016年,全球FriendFinder交友網站,就超過四億用戶的個人帳戶資料被曝光;這還只是冰山一角,在2016年10月21日,駭客通過網際網路控制了美國大量的網路攝影機和相關傳統的DVR攝影機,操縱這些攝影機攻擊了美國多個知名服務網站,包括Twitter、Paypal、Spotify等,許多人日常生活娛樂與社交網站被迫中斷服務;多所醫療設施被勒索攻擊手法襲擊,Intel Security針對醫院的惡意軟體攻擊大爆發進行研究,醫院惡意軟體攻擊受害者,向特定的比特幣帳戶支付了近十億美元的贖金,而這僅佔醫療保健行業被勒索的一小部分……。而2016年在台灣,這類嚴重的資安事件也不遑多讓,根據美國資安公司Sucuri調查一樁珠寶店的DDoS攻擊時,來源竟然發自遭駭客掌握的監控攝影機,來源IP總數25,513個,當中有高達24%來自於台灣……。

AttackNews

來到2017年,惡意程式和攻擊行為將會持續擴散,美國電信商Verizon揭露美國一所大學遭到DDoS攻擊,兇手竟然是校內為數約5,000台的物聯網(IoT)裝置,包含連網路燈、自動販賣機等;而在台灣,春節前有多達10家以上的台灣證券商遭到DDoS攻擊,10家券商合計189 億交易金額,約佔股市每天整體交易量的12%,都恐怕受到影響而減量;而根據研究顯示,在2017年資料外洩事件將加倍暴增,而金融和政府機關將是駭客首選目標。

冷眼觀看這些層出不窮的資安事件,看來似乎跟我們沒有直接切身的關係,也與我們的資安建置沒有直接關聯;其實不然,我們都可能是幫凶!我們都可能是躲在暗處的駭客所操縱的殭屍大軍成員之一而不自覺。

可載舟亦可覆舟的SSL加密技術

SSL是安全通訊協定(Secure Socket Layer)的縮寫,SSL的目標在於保證兩個應用之間通訊的機密性和完整性,以及可以驗證的伺服器身份,目前已被廣泛的用在HTTPs連線上,當網站以「https://」方式連上網站,如果瀏覽器右下角有出現一個鑰匙,則表示該網站支援SSL加密。SSL客觀上很安全是事實,因為就SSL演算法而言,的確可以保障傳輸之間的隱密性,至於SSL演算法會不會被破解?原則上所有的加密演算法都可以被破解,只是時間的問題,在目前SSL或TLS協定沒有明顯「漏洞」的情況下,在有限的時間要進行破解很困難。對一個支援SSL加密的網站而言,使用者可以相信資料在傳輸過程中不會外洩和被更改,並且會將資料傳輸到正確的網站,如此,可以避免駭客從中竊取重要的資料。

只是「水可載舟,亦可覆舟」,原本用於保障資料傳輸過程安全性的SSL 加密流量,不僅僅是防範了駭客竊取資料的可能性,聰明的駭客們要進行攻擊行為時,也將攻擊的流量透過 SSL加密,我們等於面臨了一個狀況,駭客和資安團隊成員「互相遮住了對方明察秋毫的雙眼……」。

HackerSSL_meitu_2

資安設備對網路SSL加密流量束手無策

這種局面將造成一種結果,辛苦建置的安全資訊設備完全無用武之地,攻擊行為流量將大搖大擺的繞過資安設備,惡意程式、勒索軟體和其他攻擊行為,將如入無人之境侵入到內部伺機發動攻擊,無論是栽植木馬間諜程式,長期潛伏滲透待伺機發動APT攻擊,或者被操縱成 DDoS攻擊的參與者。為何資安設備會變成無用武之地?是資安設備無法解密SSL加密流量還是有其它原因?根據Gartner在2013年的一份研究報告–Security Leaders Must Address Threats From Rising SSL Traffic「安全領導人必須面對來自於不斷升高的SSL加密流量所產生的威脅」資料中顯示,只有不到20%的防火牆、UTM和IPS部署包跨網路流量解密,這意味著加密流量沒有得到防禦入侵的安全科技保護。而在2016年網際網路上加密流量已佔整體流量接近70%,而且持續在增加當中,2017年預估會有高達50%的加密已繞過資安設備的攻擊流量產生。

NSS Lab曾經拿7家的次世代防火牆(NGFW)進行測試,檢查SSL流量對次世代防火牆整體流量處理能力和每秒傳輸平均值的影響,經NSS實驗室歷經一連串測試發現,在處理1024位元加密流量時,次世代防火牆平均降低74%效能,在處理2048位元加密流量時,次世代防火牆更平均降低81%的效能,光是處理SSL加密流量就幾乎侵蝕了次世代防火牆81%的效能,更遑論運行其它安全功能了,所以利用次世代防火牆處理SSL加密流量幾乎接近停擺。就算讓一連串的資安設備勉而為之,站在維護資訊安全的出發點上共同努力,不惜犧牲高達80%的效能減損率,各自處理SSL加密流量,經過一連串次世代防火牆(NGFW)、入侵防禦/入侵偵測(IDP)、網頁應用防火牆(WAF)和防毒反垃圾郵件等一連串的解密、掃描防禦和加密過程,最終用戶不但沒得到妥善的安全保護,更遑論使用者體驗了。

專業的應用服務遞送控制器(ADCs)洞察網路SSL加密流量

面臨這些問題,我們更要思考,是否有專業的解決方案和資安設備相輔相成,先解密流量且只解密一次再經由多個資安設備處理。處理這種情況,當然可以使用專用的解密設備,以提高整體效能和簡化加密金鑰管理,只是,這會產生一個管理、維護和稽核上更複雜的環境,且新增了一個潛在的故障點。

那有沒有另一種專業的解決方案,是完全融合在現有的架構裡,且在管理、維護和稽核上更為簡易,而且具備完整的本地和異地的備援機制,應用服務遞交控制器(ADC)應該是最好的選擇,應用服務遞交控制器長期以來就專注於SSL加解密。SSL卸載(SSL Offload)一向是應用服務控制器標準功能,以大幅度提高伺服器的應用效能著稱。SSL攔截(SSLi)功能則可以擔當SSL解密和加密的重責大任,那麼該如何選擇合適的應用服務遞交控制器解決方案?

HackerSSL_3_meitu_3

慎選採用OpenSSL加解密技術的應用服務遞送控制器(ADCs)

SSL加解密技術已經與我們的生活息息相關,是網頁伺服器和瀏覽器之間溝通的加解密安全技術,已經被無法計算數量的網站用來保護他們與客戶的線上交易資訊,例如網路銀行,線上購物網站等。用戶端只要透過瀏覽器或無以數計應用(APP),並且經由筆記型電腦、個人電腦、平板電腦、行動或配戴裝置,隨時隨地上網存取我們需要的資訊。而且SSL演算法也已經從1024位元發展到2048位元,甚至4096位元,想在有限時間內破解演算法幾乎是不可能的任務,除非演算邏輯本身有明顯的漏洞!偏偏多數的SSL加解密產品幾乎師出同門,清一色以OpenSSL為基礎發展。

洋洋灑灑的OpenSSL漏洞和分析方法公告在網路上,一個專業成熟的SSL加解密產品是否應當讓用戶面臨這樣的情境?一個以開放原始碼發展的產品,是否會讓客戶無時無刻要面臨所依賴的加密演算邏輯被破解的風險?如果駭客不是去破解加解密演算邏輯,而是循演算邏輯的漏洞去攻擊,那無疑在短時間內便能破解,那麼依賴這個加密演算法的資料豈不是如同探囊取物。最嚴重的是,用戶還以為傳送資料的過程安全無虞,而不知重要的資料已經落入駭客口袋裡了。

OpenSSL_meitu_4

挑選具備DDoS防禦的的應用服務遞送控制器(ADCs)

分散式阻斷服務攻擊DDoS在資安事件中從不缺席,造成的金錢損失往往不可計量,駭客們要發動DDoS攻擊首先必須生產殭屍大軍(Botnet),藉由操縱殭屍大軍瞄準利潤豐厚的個人和企業資產發動必殺攻擊,藉以勒索可觀的財物。我們不僅要防範DDoS的攻擊,甚至要防止DDoS攻擊流量的產生,也要避免自身成為被操縱的殭屍大軍的成員。

SSL加解密技術看似跟DDoS無關聯,事實上,駭客們看準資安設備的盲點,透過SSL加密技術,肆無忌憚的繞過防禦入侵的科技保護層,無論是夾帶社交工程攻擊手法,APT長期潛伏滲透式攻擊或是跨網站連結攻擊(XSS),甚至隱藏於網頁中的短短程式碼,或是夾帶著惡意程式碼的郵件等常見攻擊手法,在以往多數這些常見攻擊手法都可以被相關資安設備察覺並阻攔。但是,經過SSL加密之後,資安設備如同被矇住了眼睛,無法判別此類安全問題,駭客們從而繞過入侵防禦保護層之後便為所欲為,甚至潛伏起來伺機而動,直到某一天發動攻擊指令,或勒索、或竊取,或成為殭屍電腦,不自覺中,我們已經成為犯罪集團的幫凶了。

尤其當應用服務遞送控制器(ADCs)一肩扛起SSL加密流量的解密門戶時,自身DDoS防禦能力當然不容忽視,SSL解密的門戶不能中斷服務,一旦被DDoS中斷服務,那駭客將更是如入無人之境,肆無忌憚為所欲為了。

前述美國珠寶商網站遭受源自CCTV的DDoS攻擊,據稱遭駭的網路攝影機是因為遠端控制程式碼漏洞,加上監控系統不會經常性進行韌體更新,導致於淪為駭客指揮DDoS攻擊的大軍成員。這一次被攻擊的對象是遭受Layer-7攻擊,每秒收到接近3.5萬筆的HTTP連線要求。由下表可以發現,台灣地區的CCTV殭屍大軍竟然佔總成員比率高達24%,可見台灣地區物聯網(IoT)興起後,物聯網(IoT)的資安防護要更重視。

CCTVDDoS_meitu_5

我們除了要能抵禦類似的DDoS攻擊事件,更要注意不要讓自身管理的連網設備成為被操縱的對象,當然DDoS攻擊手法千變萬化,有些專業攻擊手法,甚至需要「清洗機制」,像是金融單位遭受的百萬級反射式放大UDP攻擊……。身處地球村萬物皆連網,資安問題不再是侷限某一地區或國家,想像一個情況,CCTV管理員通常也是設置在層層安全防護之後,如果管理員被駭客以類似SSL加密繞道直接進入內網接管,那旗下管理的設備不成為殭屍也難了。

需迫切解決以合法掩飾非法進行攻擊行為

各行各業利用應用服務遞交控制器的SSL卸載,已經是悠久的歷史了,不論是TCP或是UDP 類型都是透過SSL加以保護內部資料,並大幅降低伺服器的負載,這種針對外部網路來存取內部網路服務的方式,一直運作的非常好。但是「可載舟者亦可覆舟」,SSL一直是相當好用的加密防護方式,相對的,也給了駭客一個新管道,利用資安防護的「盲點」以合法掩飾非法進行入侵。而使用單位更需要的是來自內部員工對外部網路的使用行為監控;試想,員工透過FaceBook 之類的網路服務,在加密的情況下,不知情的點擊惡意軟體或是點選連結下載了木馬、病毒。但內部的資安防護設備諸如:BlueCoat,FireEye,次世代防火牆(NGFW)等,卻因為無法解密即時判斷,這樣的內部資安部署豈不形同虛設?

自主研發的SSL加解密技術與SSL攔截(SSL Intercept)

美商安瑞科技(Array-Networks)以擅長的SSL加解密技術,且SSL加解密技術完全是自主研發,並未依賴開源程式碼如OpenSSL為基礎發展,因此,當OpenSSL漏洞被揭露,首當其衝依賴開源程式碼發展的產品面對的資安威脅,對美商安瑞科技(Array-Networks)而言,是完全不會有影響的。

美商安瑞科技(Array Networks) 自主研發的SSL加解密技術,可將所有的加密封包以中間攔截的方式進行解密,並在發回主機時,重新封裝加密。其關鍵在於金鑰的管理,由於設備不可能匯入全球企業的私鑰,因此,產生自我簽署的私鑰,也就是產生暫時性憑證,藉由私鑰的產生,向用戶端完成SSL加密連線(Ingress),並同時與遠端主機完成加密連線(Egress)。

ArraySSLi_meitu_6

具備in/out bound廣域網路負載平衡(LLB)的功能

除此之外,美商安瑞科技(Array-Networks)的解決方案,也具備廣域網路負載平衡(LLB)的功能,在部署內容/行為管理方案時,可以結合廣域網路負載平衡的功能,廣域網路負載平衡具備端點到端點的健康監測功能,以及動態路由偵測中斷點,且可以監控跨越多條廣域網路連接線路分配流量即時效能。

ArraySSLi01_meitu_7

雙向SSL加解密與SSL攔截(SSL Intercept)

一般收監管的單位要求雙向SSL加解密服務,例如網銀銀行,某些SSLi加解密設備只支援單向由內部出網際網路的加解密服務,美商安瑞科技(Array-Networks)的解決方案完全支援雙向SSLi加解密服務,並具備伺服器負載平衡(SLB)功能和伺服器卸載(SSL Offload)的功能。

ArraySSLi02_meitu_8

部署彈性和擴充性

美商安瑞科技(Array-Networks)部署SSL攔截十分有彈性,因應客戶端不同架構的服務配置模式,以及效能考量的服務部署模式,幾乎涵蓋了目前客戶端所有架構上的需求,下列是各種部署模式簡表:

ArraySSLi03_meitu_10

支援單台與多台部署模式

ArraySSLi04_meitu_11

無論是何種部署模式,經由SSL攔截(SSL Intercept)功能處理SSL加密流量,執行一次性的加解密,無需每個防護點的資安設備各自進行加解密,可替資安設備卸載平均80%以上的SSL 處理負載,讓資安設備能各司其職。且防堵了駭客可利用的新管道,與相關資安設備進行協防,攻擊威脅將無所遁形。

自動化人工智慧等級的DDoS攻擊防禦

BloggerHeadAntiDDoS_meitu_12

分散式阻斷服務(DDoS)攻擊,長期以來造成客戶的鉅額營業損失,駭客們更是以DDoS攻擊來進行威脅勒索,當然,DDoS的攻擊手法千變萬化,一般依賴資安設備來抵禦 DDoS攻擊的使用單位,為了抵禦各式各樣的攻擊手法,要配置相對應的防禦政策,已經是一件非常艱鉅的任務了,更何況DDoS的攻擊多數是階段性的,每次遭受的攻擊可能手法都不一樣,來源也不一樣,更造成資安管理人員疲於奔命。面對日漸氾濫的DDoS攻擊,攻擊對象幾乎不分服務類別,只要是網路服務皆有可能是下一個攻擊目標……。

自動產生安全防禦政策,威脅消失自動清除

美商安瑞科技(Array-Networks)長期專注於應用服務遞送的技術,對於分散式阻斷服務攻擊自然有著切身之痛,也發展出一種與眾不同的防禦技術,例如:我們針對網路查詢行為像是 DNS、HTTP、SSL、TCP和UDP制定每秒查詢數量的臨界值,超過預設的臨界值則系統會自動產生安全政策加以阻擋,當威脅消失時,自動清除安全政策,可謂全自動化的DDoS防禦方式,也支援黑白名單,對於已知來源的流量進行控管,對於常見的攻擊手法都可以有效防禦,常見的攻擊手法如下圖:

AiAntiDDoS_meitu_13

精細的連線數控制能力

而另一種有效的方法是連線數控制,每個用戶存取服務時,其建立的連線數會落在固定範圍內,例如每個用戶存取FaceBook時,建立連線數大約是10~50個連線數(Sessions),並且是在瞬間建立。因此,控制每個用戶的連線數就表示控制駭客DDoS的攻擊量,也是保護服務的必要控制。

試想,如果駭客發起大量正常連線行為,您的伺服器能承受的住嗎?假設有10,000台殭屍電腦,每台每秒發起100個正常連線要求,就等同一秒內有10,000X100=1,000,000個連線要求。如果限制每個用戶最多每秒(Connecttion-Per-Second-Per-Client)只能要求10個連線,那駭客攻擊流量就會10,000X10=100,000,減少了90%連線數,等同於阻擋了90%的攻擊流量。當然,分散式阻斷攻擊手法(DDoS)攻擊手法不斷推陳出新,沒有一家資安廠商可以拍胸脯保證完全可以抵擋,也有些專業廠商推出所謂「清洗機制」,因為不在本章節討論範疇,不加以評論。 下圖是美商安瑞科技(Array Networks)對於連線量控制的特色。

AiAntiDDoS02_meitu_14

緩解DDoS攻擊和減輕專業資安設備負載

不過像最近發生的金融證券DDoS攻擊勒索事件,駭客們是利用UDP反射性放大攻擊手法,其原理是利用一群可操控的殭屍大軍,偽造受害者的地址,向網路上的UDP服務伺服器發送查詢要求,例如 DNS,NTP查詢,網際網路上類似的伺服器,隨便找都可以找到上百萬台,而且UDP流量的特性是不先建立連線,UDP封包源源不斷直接往受害者端發送,瞬間上百萬台伺服器的流量發送到送受害者端,而且來源都是合法的無從抵擋,而網路上的伺服器也無從知道偽造受害者的殭屍大軍真正位址,這種攻擊方式的防禦更是棘手。不過,這種瞬間流量尚未到達設備端,網路連外線路頻寬就已經被癱瘓了。

美商安瑞科技(Array Networks)的分散式阻斷服務攻擊(DDoS),可以有效阻擋常見的攻擊手法,但不是要取代專業的資安設備,而是與專業的資安設備相輔相成,在緊急狀況下,能發揮緩解的作用,並且減輕專業資安設備的負載。

美商安瑞科技(Array Networks)的SSL Intercept

SSLi_meitu_15

Array Networks APV SSLi實戰演練

近期配合臺灣區合作夥伴結合WatchGuard次世代防火牆進行一場實戰驗證,以單台和雙台部署模式,驗證Array Networks APV的SSLi功能具體有多麼強悍,口說無憑,以實際數據來呈現強大的功能,是否SSLi真的解開了網路SSL加密流量,從防火牆的分析畫面可以看見解密後的流量內容。過程中經過多種驗證模式,運作順暢,我們在此舉一簡單範例,由於功能眾多,如有需要進一步了解,再擇期討論。而令人感到驚艷的是過程中絲毫沒有卡頓的情況,真不愧是【捨我其誰;誰與爭鋒!】

SSLi L2 橋接模式單台部署實戰演練

IMG_4866_meitu_16

https下的Google Drive

SSLi100_meitu_17

Google Drive下載檔案

SSLi101_meitu_19

Array Networks APV SSLi攔截https後派發憑證

SSLi102_meitu_20

SSLi維持正確https連線讓使用者下載FW-0111.rar檔案

SSLi103_meitu_21

SSLi攔截解密後送往資安設備看到https://下載檔案名稱

SSLi104_meitu_22

SSLi L3 路由模式雙台部署實戰演練

IMG_4875_meitu_23

網路功能虛擬化(NFV)時代已來臨

Array Networks 2018 Predictions: The Year of Enterprise NFV

2018年是企業網路功能虛擬化(NFV)飛躍年

放眼全世界,網路功能虛擬化(NFV)已經廣泛主要的電信運營商所接受,反觀在企業界這個先進技術的發展速度卻相對的要緩慢很多......。在2018年我們相信,當企業界體認到網路功能虛擬化(NFV),對於企業界的經營層面與業務層面所能提供的效益時網路功能虛擬化(NFV)將對企業界帶來一場革命性的改變。

在2018年,幾乎所有主要企業資訊技術的倡導議題,都集中於私有/公有/混合雲,數位轉型(digital transformation),區塊鏈(blockchain)技術以及其他為滿足各自潛在的需求,而嚴重依賴於底層的基礎網路設施;網路和安全功能是底層基礎設施的關鍵性組件,如果不與其他業務活動一併處理,則會對整體效能、靈活性和堅固性產生重大的負面影響。

在過去要選擇網路與安全解決方案諸如應用傳遞控制器(ADCs),次世代防火牆(NGFWs),網站應用程式防火牆(WAFs)與其他的解決方案,都是只有單一功能的專屬硬體平台,這個選項提供了最好的效能與吞吐量,但是缺乏能支持業務成長所需規模的擴充能力與靈活性。

現在網路與安全產品的虛擬版本是另一個選項,最近有許多的資訊管理員都已陸續被吸引而轉向這一個新的選項,雖然這個新的選項在靈活性與擴充性方面提供了很多改進,但因為虛擬版本通常在一般通用的商用硬體平台運行,其展現出的效能遠遠低於個別專屬硬體平台所能呈現的效能。

除此此外,日前承諾簡化資訊技術與降低成本的超融合(hyper converged)基礎設施被部署的越來越多,然而,就像一般的虛擬化環境,這個選項還是運行在一般通用的商用硬體平台上,其結果當然也是讓網路與安全虛擬設備所展現出來的效能不彰。

網路功能虛擬化旨在解決前面討論過有關「效能、靈活性、可擴充性與堅固性」的不足,但如前面所提到的,目前企業界遲遲不接受這個新技術;這情況根據行業分析師的報告:「企業資訊科技管理團隊成員列舉了組織混亂、潛在的技術缺陷、以及無法清晰的定義投資報酬率(ROI)為主要關注點」。

這些資訊技術團隊成員的關注點是可以改變也必須要改變

網路功能虛擬化發展前途會出現好的跡象,是因為一類新品種的產品問世,這一類產品被稱為網路功能平台(Network Functions Platform)或虛擬化/多租戶技術(virtualized/multitenant)的設備,這一類新品種設備,可以幫助企業界解決採用網路功能虛擬化(NFV)主要考量與關注點,以及專屬硬體設備與虛擬設備各自缺點的潛在力量。

專業的網路功能平台(Network Functions Platform)極度簡易抽象化與自動化網路功能虛擬化(NFV)所需要的複雜配置,這可以讓任何資訊技術團隊都能專注於網路、伺服器或虛擬化,而且能夠很容易地與準確地部署網路與安全功能,只需要很短的培訓或甚至於沒有培訓需要。

直觀的圖型化 WebUI 介面,也大幅簡化了服務鏈路(Service Chaining)創建,例如一個或多個應用程式傳遞控制器(ADC)實例(Instance)負載平衡流量橫跨多個網頁應用防火牆(WAF)或次世代防火牆(NGFW)實例。

每個實例(Instance)通過專用資源(記憶體,I/O,SSL與CPU)而獲得保證效能,並且通過為虛擬管理程式開銷(Hypervisor overhead)提供單獨的資源,讓虛擬管理程式稅(Hypervisor Tax)得以最小化。

除此之外,專注於網路與安全功能的狹義使用案例,以支持關鍵性業務應用程式的效能,這讓投資報酬率(ROI)與總擁有成本(TCO)變得更容易計算。



網路功能平台
AVX 系列開放式網路功能平台
Network Functions Platform

網路功能平台(NFP)可能只是實現網路功能虛擬化(NFV)廣泛應用的第一步,但我們相信其對企業的重要意義,可為企業界更為廣泛部署網路功能虛擬化(NFV)鋪平道路且產生立竿見影的效果。

網路功能平台簡介

點擊圖片觀看網路功能平台簡介

參考原文

Network Functions Platform(NFP)產品發表會

如何正確選擇應用程式遞交控制器部署模式

圖片2

發展到今天,負載平衡和應用程式遞交的部署模式,比以往增加了更多的選擇,要正確選擇部署模式,訣竅就是知道那一個模式或是那一個模式組合最適合您的需求。在選擇任何網路的部署模式,您可以權衡取捨,但要謹慎仔細評估,只是效能和靈活性考量往往排在第一位,下列是一些快速經驗法則:

如果您正在公共雲‎構建您的 IT 或應用程式基礎架構‎‎,如亞馬遜網路服務系統 (AWS)Micrisoft 雲端計算平台與服務(Azure)虛擬負載平衡器與實用消費之間的關係變得很有意義‎,‎在雲端動態的讓負載平衡功能向上或向下都根據您的需要‎,‎而您只需要支付您的使用‎費,或者‎您可以使用一個帶著您自己授權許可的模式‎, ,而這些因素都取決於您的需要‎。

如果您已經建立了一個私有雲,並且已經大量投資在虛擬伺服器和基礎設施,‎永久授權與虛擬負載平衡器會給你最大的敏捷性和物超所值,‎虛擬負載平衡器與永久授權握在手上,對於開發和非生產環境方面而言是非常好的。美商安瑞(‎Aray Networks)的虛擬應用遞交控制的建置非常有彈性,甚至允許您以每月或每年訂閱的模式下訂單。

無論是那裏有高流量且/或那裏有沉重使用率的計算密集型功能–像是SSL卸載、流量深層檢查(Inspection)或複雜的描述指令檔(Script),這時候實體負載平衡器依然是首選。在這些情況下,擴充採用通用伺服器和虛擬負載平衡器是最沒有效率且非常沒有成本效益的。美商安瑞(Array Networks)的實體應用遞交控制器通過虛擬IPs(VIP)支援多個租借用戶,在有多個終端客戶或感興趣的社區‎‎‎‎參與時,這個功能非常有 用。‎

在某些需要虛擬靈活性解決方案的單位,實體應用程式遞交控制器(ADCs)也可以用來增強虛擬負載平衡功能,但是,SSL處理需要超越虛擬應用程式遞交控制(virtual ADCs)提供的軟體SSL資源。使用混合模型式,SSL卸載功能(SSL offload)的沉重負擔,可以從虛擬應用遞交控制轉交由一台或多台實體負載平衡來負責,這樣不但保留虛擬模式的靈活敏捷性,同時以實體應用程式遞交控制器的硬體SSL資源來增強處理能力。

實際案例顯示,需要支援眾多用戶和應用,而且保持效能和可擴充性又是首要考慮因素的單位,虛擬化專屬硬體設備變成一種令人信服的解決方案,舉個例子,在公有雲和私有雲裡,眾多客戶和關鍵性業務應用都有服務層級協定(SLAs),使用虛擬化專屬硬體設備提供高成本效益、雲的靈活敏捷性和確保在共享資源的環境裡「有能力保證每一個虛擬功能的效能」。

最近幾年,混合部署模式已經越來用普遍,例如,具有爆發力的實體設備通常建置在私有的資料中心,而一個公共雲平臺則建置虛擬負載平衡功能,並使用於公用事業消費。或者,實體設備經常運用於承載生產相關的流量負載,而有永久授權許可的虛擬負載平衡則被運用在開發與測試環境裡。

除此之外,對企業網路而言,近年來SSL加密流量讓負載平衡變得更為重要,經常地,無論是實體或虛擬化的深層檢查設備(Inspection),缺乏解密SSL加密流量的能力,結果這些SSL加密流量通常直接繞過這些資安設備(Inspection),造成公司網路和敏感的業務資訊面臨巨大的風險。通過建置美商安瑞(Array Networks)的SSL攔截(Intercept)功能,無論是在虛擬實體虛擬化專屬硬體設備,SSL加密流量都能解開後傳遞給資安設備檢查,檢查之後如果需要就重新加密處理傳遞到最終目的。

站在市場角度來看,在大多數情況下,左右實體和虛擬負載平衡,以及實體應用遞交控制器的採購決策,隨著公共雲和虛擬化專屬硬體設備解決方案作為功能的客戶正在尋找, 以確保他們正購買一個「未來證明」的解決方案。

隨處理器高負載的密集型應用程式和協定(如2048位元SSL),越來越凸顯出負載平衡在商業網路環境中的必要性‎,以上這些小秘訣,提供給您的公司或組織仔細評估,這些小秘訣可以作為你未來建置應用程式交付控制器的部署指南。

原文:Choosing the Right ADC Deployment Model

作者:Paul Andersen

中文型錄下載

淺談2017年應用程式遞送(Application Delivery)發展趨勢三部曲

簡報1

歡迎大家來到新的一年,回顧2016年,對IT產業而言是極為混亂動盪的一年,和往常一樣,各行各業相繼推出出版品、部落格或其他方式、來發佈他們對於前一年的回顧以及他們對全新一年的預測。

而相對的,美商安瑞(Array Networks)一直在網路和資訊安全領域中,自豪的站在一個獨特的制高點上,美商安瑞(Array Networks)的優異的產品介面,伴隨著一個或多個基礎結構的要素,以確保應用程式的吞吐量、網路安全、廣域網路效能,以及其他當保證網路和資源安全性的同時,還可以讓使用者依然保持生產力的進階功能。

鑒於美商安瑞(Array Networks)種種獨特的優勢,已有一些IT領域相關的預測,在2017年,美商安瑞(Array Networks)將會發出特別的光芒。

網路功能平台(NFP)將會獲得更多的用戶採用

首部曲,你會聽到很多關於2017年的一個全新的解決方案—網路功能平台(Networks Function Platform),網路功能平台(NFP)將可以有效解決雲運算和虛擬化方面最後的難題:如何權衡雲端運算和虛擬環境的靈活性和效能。

圖片2

正如我們在最近一篇貼文「虛擬環境的效能無法妥協」裡所討論的,許多廠商號稱雲端運算和虛擬化是「萬靈丹」,但以現實情況來評估卻未必能「治百病」……。對於應用程式的工作負載而言,一般用途在環境虛擬化後,功能運行還算差強人意。然而,像應用程式遞送控制器(ADCs)、SSL VPNs、Web 應用程式防火牆(WAF),以及其他需要硬體支撐來進行SSL加解密處理的這些解決方案,相較於虛擬功能,擁有硬體支撐來進行運算,它們的表現才會是最好的。

你可以非常容易看到相關廠商們所發佈的資料—專屬硬體設備和虛擬機版本的效能比較規格,在大多數情況之下,軟體虛擬機版本的SSL加解密效能,要遠低於擁有專屬硬體設備的版本。

網路功能平台(NFP)將為通用虛擬化環境提供一個表現優異的替代方案,這個相對完美的替代方案(NFP)為每一台虛擬機指派專屬的CPU、SSL處理器、記憶體和介面以保證效能。我們相信,這個優異的替代方案將會獲得更多的用戶採用,因為,網路功能平台(NFP)可以解決大規模部署需兼具高靈活性的問題。

投影片06

建置SSL VPN將會讓遠端桌面協定(RDP)更安全性

第二部曲,在2017年惡意程式和攻擊行為將持續擴散,在2016年其破壞毀滅性是非常驚人的,根據統計超過四億的用戶帳戶和個資被曝光攤在陽光下,非常多的醫療設施被勒索攻擊手法襲擊,此外,又有另有一個OpenSSL重要弱點被發現,駭客們將會發展更多新的手法來竊取利潤豐厚的個人和企業資產,而IT管理者們也將會維護好一個強大的資安防禦,且繼續研究和調查新的防護戰略和攻擊技術,以阻止攻擊和惡意程式入侵。

53cdc800a534d

無論如何,有一個前提條件:即便是再成熟的技術都會有漏洞,而這些漏洞可能從未被發現,直到遭受到惡毒的攻擊或者是被專業的安全研究人員發現,例如:無論如何,遠端桌面協定(RDP)都是一個非常好的策略,它限制了網路曝光度,只是最近被檢測到一個新的惡意程式叫做Trojan.sysscan,這個惡意程式可以危害遠端桌面協定(RDP)。而且這不是第一個被檢測到的遠端桌面協定(RDP)的弱點,舉例來說,曾有一個「遠端桌面執行錯誤」在2015年被檢測到。

對於你採用的任何戰略或技術,甚至是經過深思熟慮的層級式安全性(Layered Security)架構,以遠端桌面協定(RDP)為例,如果你建置了SSL VPN供遠端和移動的員工使用,把遠端桌面協定(RDP)伺服器放在SSL VPN伺服器之後,這時候額外的身分驗證和SSL安全管道將有助於保護伺服器。另外,一旦連線取得驗證,SSL VPN使用一個覆蓋遠端桌面協定(RDP)伺服器的全功能反向代理(Reverse Proxy),讓遠端桌面協定(RDP)伺服器遠離攻擊。嘗試入侵者什麼都看不見,這些駭客們將渡過一段艱難的時間來試圖破解。

圖片1

確保物聯網(IoT)部署的關鍵應用效能與具備高可用性

表列第三部曲的是物聯網(IoT),專業的行業分析公司(IDC)估計,光是2016年在美國的企業和其他投資者投資超過兩千億美元在物聯網的硬體,軟體和裝備上,雖然大部分投資都是與工業和運輸行業企求精簡的智慧型電力網、製造業務、運輸監控以及其他應用有關,但專業的行業分析公司(IDC)和其他相關產業預測,保險、零售和醫療保健行業將會很快地採用物聯網的技術,很明顯的,物聯網已經命中這個產業趨勢轉折點,就像是雲端運算和虛擬化環境一樣。

隨著物聯網技術越來越多人採用,將會帶來一系列新的數據流量和應用,例如遠端健康管理以及保險遠端資訊處理。要確保這些新的物聯網部署中關鍵應用的效能,讓這些關鍵應用能順利到港(home port),技術以經就緒,而其中最有效的辦法,部署應用遞送控制(ADCs),以確保物聯網可擴充效能和具備高可用性。

以上這些都是美商安瑞(Array NEtworks)密切關注的發展趨勢,請加入我們的討論,並不吝告訴我們,關於您的預測或發展趨勢的見解,敬請填寫下面的評論表格。

原文:https://www.arraynetworks.com/blog/2017/01/11/3-application-delivery-trends-for-2017/

美商安瑞科技(Array Networks)官方部落格

AWESOME! V2.0. 技術提供:Blogger.
© Copyright CHANG 的創意實驗空間
Back To Top