https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

[專訪] 一次滿足企業安全、成本、效能的網路需求

2017 / 08 / 03
編輯部
[專訪] 一次滿足企業安全、成本、效能的網路需求
數位時代下,網路成為企業連結全球市場的媒介,讓企業能不受限於時間、空間的限制持續營運,因此,網際網路成為企業不可或缺的基礎設施。但面對近年來全球不斷發生的DDoS威脅,與其他日益升高的網路攻擊事件,企業該如何維持網路的正常運作?

從攻擊防護與設備效能提高網路可用性
以流量型的DDoS攻擊為例,目前並沒有一種完美的解決方案,主要依賴ISP業者提供的流量清洗服務來減緩對企業網路的衝擊。但Citrix大中華區網路技術經理何浩祥指出,現在的DDoS多是結合流量與應用層的混合型攻擊。所以除了透過ISP過濾異常網路流量外,用戶的網路閘道也需要部署防護以阻擋像SlowPost、Slowloris、DNS這類來自應用層的攻擊。像Citrix NetScaler提供應用層的DDoS防護功能,再搭配最高可堆疊32台裝置的叢集式分散架構以提昇網路處理能力,也就是「從攻擊行為與設備效能」兩方面來達到企業網路的可用性。

簡化WAF設定
企業需要防範駭客對Web Server進行漏洞攻擊,來防止網站資料遭竊。以往國內企業通常是利用Web IPS來阻擋網路攻擊,但這種以特徵碼為基礎的偵測方式難以發現未知的網路威脅,且Citrix台灣區總經理潘先國提醒特徵碼的防護方式容易有時間差的問題。NetScaler的WAF應用程式防火牆則是根據應用程式需求,用白名單的方式,只允許看得懂的流量進行正常的網路存取行為。

以往WAF在使用者最大的問題就在於白名單的設定有一定難度,資安人員需辨別網路攻擊行為的特徵,才能據此設定出rule;一旦設定錯誤,就可能影響到正常的網站瀏覽。NetScaler WAF透過圖形化的操作介面與模組引擎來協助管理人員簡化rule設定。舉例來說,如果要設定能瀏覽的網址白名單,而一個網站可能包含成千上百的網址連結,但只要透過URL Closure功能,便可迅速按網頁回應的連結自動成生URL白名單。

至於WAF誤擋的問題,NetScaler提供客戶免費的NetScaler VPX (1M)版,所以客戶可先在測試環境中用虛擬化的NetScaler VPX進行功能性測試,測試無誤後再透過MAS(Management and Analytics System)管理分析平台改變設定參數,完成設定檔的轉移。 
 
 
彈性部署 降低建置成本
如何簡省成本向來是企業建置IT的重要考量。何浩祥強調Citrix是一間提供「端到端解決方案」的軟體公司,所以不管是DDoS、VPN、WAF、Server Loading Balance都是滿足網路所需的功能,企業可按需求購買所需的軟體授權安裝在同一台NetScaler設備上,將多種設備整合為一,減少設備數量與管理複雜度。

另外,針對不同網段的隔離需求,Citrix也有提供SDX解決方案,可在NetScaler設備上執行多台虛擬化的VPX,搭配vLan白名單功能,讓企業只需一台設備就能做到多網段的實體隔離效果。像國內有幾家行動支付業者就用2台SDX,建置出原本預計需要7、8台設備才能做到資料中心內DMZ、測試區、Server Farm等不同區塊隔離的網路需求。 


兼顧網路效能
在一台設備上執行多種產品功能,雖然能有效節省IT建置成本,但勢必對網路處理效能產生巨大的負擔。何浩祥說明由於Citrix是從軟體思維的角度來進行產品的設計開發,所以會根據使用的硬體做軟體本身的優化。像NetScaler使用Intel CPU,所以當CPU更新時,Citrix也會對軟體進行更新優化,以提升軟體的執行效能。

此外,有別於一般多CPU執行不同功能時,因為記憶體共享所產生的效能延遲,NetScaler採用nCore的多核演算方法,可在一顆CPU上執行同一用戶所需各種功能,以分散式運算的方式大量減少記憶體共用來提升處理效能。他比喻就像是Android和iPhone手機,大家會去注意Android手機使用的CPU與記憶體,尤其是記憶體容量最好要有8GB,但相對iPhone7記憶體僅2GB而已。由此可見透過軟體設計的優化,就能充分利用硬體以提升運作效能。

以往專屬功能的網路設備就像一把剪刀或菜刀,用來執行特定的功能;但NetScaler就像一把瑞士刀,提供多樣彈性的用途以符合各種不同需求,使用者可自行變化組合,在成本與效能兼顧的考量下,協助IT建置可用且安全的企業網路。