觀點

F5強化BIG-IP安全方案阻絕多階層網路攻擊-新BIG-IP v11軟體提供動態安全服務,建立集中化應用存取和政策管控,改善網路、應用與資料的攻擊防衛

2011 / 08 / 17
本篇文章內容由廠商提供,不代表資安人科技網觀點
F5強化BIG-IP安全方案阻絕多階層網路攻擊-新BIG-IP v11軟體提供動態安全服務,建立集中化應用存取和政策管控,改善網路、應用與資料的攻擊防衛

(台北訊2011年8月)全球應用遞送網路(Application Delivery Networking; ADN)領導廠商F5 Networks宣佈大幅強化其應用與資料安全方案,為客戶提供完備的安全策略以預防服務中斷和資料外洩。F5的新BIG-IP v11軟體,加上BIG-IP Application Security Manager (ASM)、BIG-IP Access Policy Manager (APM) 、BIG-IP Global Traffic Manager (GTM)和BIG-IP Edge Gateway,構成一個統合的平台協助保護Web 2.0應用與資料、維護DNS基礎設施安全、以及建立集中化的應用存取和政策管控。BIG-IP v11繼續實現F5的動態資料中心觀點,提供必要的靈活度以促進IT人員創新和拓展商務。協助企業部署高效能可延展的services on demand,同時維護應用與資料安全。

單憑網路防火牆不足以防範今日的網路攻擊

  面對網路攻擊本質的改變和持續攀升的攻擊頻率,IT部門發現越來越難以管控安全性。傳統點方案例如網路防火牆、防毒軟體、以及入侵偵測/預防系統等,都是以解決特定的安全問題為重心而且往往部署在個別的裝置上。此種靜態的方法阻礙了IT的能力,使得他們難以執行整合的安全政策以及保護應用、使用者和資料。

  現代化安全攻擊既複雜且具有多階層特性,利用數種攻擊向量瞄準網路以及基底的應用和資料。這些攻擊可能從網路階層展開,進行拒絕服務(DoS)攻擊,然後透過Web瀏覽器把目標瞄準應用程式的安全弱點。單點安全方案例如傳統網路防火牆,並不適合用來防範這類多階層攻擊,因為它們沒有提供跨階層能見度、偵測或保護能力。

  F5台灣暨香港區董事總經理許慧嫻表示:「最近一波的頻繁安全攻擊讓許多企業組織感到驚訝,因為他們誤信他們的孤島式安全方案例如網路防火牆或入侵防禦系統可以提供足夠的防衛。儘管攻擊本身無法預防,但這些攻擊產生的大多數安全漏洞都毫無疑問的可以阻斷。這類多階層攻擊的防範需要訴諸一種結合網路安全性、應用安全性與存取控制的整合式方法。當組織開始將應用和資料移到雲端,此種安全策略的重要性將更為關鍵。」

  F5 BIG-IP v11強化功能讓企業能夠建立一個動態資料中心環境,以管控和保護網路、資料和應用程式,不論部署於實體、虛擬或雲端環境。動態資料中心環境具備高度延展性並能確保應用維持可用性和尖峰執行效能。BIG-IP產品的version 11強化及相關模組,提供先進的新安全服務,包括: 

- 保護互動式Web 2.0應用程式

F5的應用防火牆BIG-IP Application Security Manager (ASM)可供企業保護他們的互動式Web 2.0應用程式,例如以即時方式持續更新股市行情的即時股票報價網站。BIG-IP ASM維護應用安全並且能在出現違反政策的事件時顯示預警訊息。這項預警採用一種獨特的阻斷網頁形式,包括支援ID,讓使用者可以聯繫網路管理人員協助排除問題。 

- 統合且動態的存取控制

越來越多使用者透過他們的個人智慧型電話、平板電腦和筆記型電腦存取企業資源,因此IT面對新的挑戰必須在各種裝置、地點和應用上執行共同的存取和安全政策。BIG-IP Access Policy Manager (APM)和v11讓IT重新掌控管理,提供強化的端點檢測支援、多重認證方法、單一登入、以及外部存取控制清單等。BIG-IP APM讓管理人員掌握有關使用者、應用程式和網路的詳細資訊,提供他們所需的情境網絡(context)以建立網路和應用存取政策,而且該方案藉由一個單一的管控點讓他們輕易的全面執行那些政策。這項集中化管理能力可以大幅降低IT成本並提高使用者生產力,允許使用者存取更廣大的網域和應用。 

- 強化管理和報表能力

為提供應用層安全性和確保適當的使用者回應時間,管理者需擁有強大的能見度和報表工具。BIG-IP APM兼具這二種功能,包括內建和可客製化的報表功能以及業界第一的情境感知使用者工具。現在,管理者可以追蹤資訊,例如誰在線上、他們在何時使用何種裝置和網路、以及他們存取何種應用程式和其他資源等。 

- 可延展DNS基礎設施與承受DDoS攻擊

當發生DoS或DDoS攻擊時,DNS就如同被鎖定的Web應用或服務一樣脆弱。為了承受攻擊,重要的是要有能力保護和延展DNS基礎設施,BIG-IP Global Traffic Manager的新功能兼具這二種功能。DNS Express?是一項高速且權威性的DNS遞送方案,能夠改善高達十倍的DNS查詢回應效能。它卸載既有的DNS伺服器並且吸納攻擊期間的非法請求流量,同時支援合法查詢。透過這項強大的卸載能力,客戶可以統合高達70%的DNS基礎設施。

v11版本的BIG-IP GTM也整合了IP Anycast功能,讓查詢可以被採用相同IP位址的多重流量管理裝置收到。這項功能讓每一台新增的F5裝置可以為BIG-IP GTM和DNS提供線性效能延展。目前BIG-IP GTM能夠運用F5的叢集多重處理技術,效能的提升更為顯著。 

- 跨越所有環境的彈性應用安全性

隨著v11的推出,BIG-IP ASM將以虛擬版本(virtual edition; VE)形式供應,為企業提供更彈性的部署選擇。BIG-IP ASM VE讓客戶在進行生產性部署之前,可以先在虛擬化和雲端環境測試應用。每當政策變更時,BIG-IP ASM VE能自動更新所有同步化群組成員。這可以顯著降低IT管理負荷,免除在多重地點人工執行裝置更新的需要。

  Gartner研究副總裁Greg Young表示:「近來最引人矚目的安全事件是以Web應用程式為目標的攻擊。Web應用防火牆已有長足的進步,但單層方案已不足以阻擋今日的複雜攻擊。重要的是,企業組織必須採取專門的安全維護方法,亦即一種可以保護網路和應用程式的方法。」

  Oracle Identity Management產品管理副總裁Marc Boroditsky表示:「F5 BIG-IP Access Policy Manager與Oracle Access Manager 11g的整合,為客戶提供一種整體性的企業架構,協助簡化認證和降低基礎設施成本。新版BIG-IP的推出,讓Oracle Access Manager 11g客戶也能受惠於分層式安全服務,為應用和資料提供額外的保護。」

  Nexum公司總裁兼技術長David Lessor表示:「不論對任何企業組織而言,安全應用遞送的最重要需求就是機密性、完整性、可用性和隱私。多年來,F5已透過BIG-IP完備的分層式安全架構,提供應用安全與管控。Nexum已測試了新的BIG-IP v11和許多與安全相關的功能,從DNS DDoS和互動式web 2.0應用攻擊防護到動態架構統合存取控制的單一登入等。我們很高興獲得第一手機會,看到F5如何透過一個集中化的管控點執行應用安全與遞送,繼續維護其市場區別優勢。BIG-IP v11藉由保護應用、網路和資料的整個遞送生命周期,確保應用擁有多階層攻擊防護並提供高可用性和尖峰執行效能。」

  Airloom公司執行長Chris Hagios表示:「我們的管理式行種服務已提供安全服務配置,以及資料保護和管理功能。藉由v11和BIG-IP Edge Gateway產品,我們可以延伸那些服務以包括安全網路存取。Edge Gateway提供我們所需的功能,以便能輕易的將先進網路連接性整合到SilverbackMDM端點裝置安全管理方案。現在,我們可以符合客戶最嚴苛的需求,確保他們的資料安全和存取能力 - 從端點到網路乃至於核心企業應用。」

供貨時程

  BIG-IP version 11軟體和虛擬版本的F5 BIG-IP Global Traffic Manager、Application Security Manager與WAN Optimization Manager?產品將於2011年第三季供應。

參考資源 

- BIG-IP v11資訊網頁 

- BIG-IP v11 DevCentral網頁 

- iApps Page on DevCentral 

- Application Security in the Cloud with BIG-IP ASM – 白皮書 

- High-Performance DNS Services in BIG-IP Version 11 – 白皮書 

- Secure, Optimized Global Access to Corporate Resources – 白皮書