網路上抵禦外部攻擊入侵的第一道防線,顧名思義為防火牆(Firewall),對企業網路安全防禦是不可缺少的工具,甚至是必備工具。然而,早期的防火牆主要功能是在內部網路網與外部網際網路間,建立一道防護牆,阻擋惡意軟體、病毒或是駭客入侵進入組織內網,防火牆同時也保護內部網路資料存取的安全之功能。
如今,隨著網路多元式的雲架構或是混合雲架構,讓許多企業雲端上的應用程式採以不同區段進行運作與乘載,增加了個網路區段流量上的負荷,同時網路區段也成為應用程式擴散、四處流竄的平台讓管理者不容易進行管理,進而誘發出駭客去創造出更大的攻擊面。
付出很多痛苦,收穫甚微
網路分區段的防護,一般方式是採用虛擬區域網(Virtual Local Area Network,VLAN)與防火牆的組合來解決。然而,這個組合對於IT技術人員管理防火牆的長期的辛酸史、對於企業營運者來說則是代價極昂貴金錢付出,又未必會有實質的成效回饋。我們都知道,增加VLAN與防火牆的建置過程中,至少會有網路交換器(switching)、路由器(routing)、防火牆建制實行(firewall implementation)、伺服器(server) 和資訊安全的政策法規設定(security policy creation)這五項過程,我們再進一步想像,這樣的過程將會有無以計數的人力、時間與費用成本產生,且都是高成本,對企業來說用這樣的解決方式處理是高風險低回報的大工程。
對於除了面臨抵禦外部入侵外、如何保護企業組織網路所有應用程式,確保其安全與穩定流暢性,我們很清楚過去舊式防火牆已經不足以應付網路外的威脅情勢,我們需要重新考慮另一種防禦方式-「軟體式網路區隔」。
軟體式網路區隔可以幫我什麼?
Akamai Guardicore軟體式網路區隔解決方案,不但可以解決企業針對舊式防火牆建置過程的冗長、過度資源使用、建置複雜過程與高成本的問題外,還可以增進強化企業網路區段的三個面向:
- 辨識能力與資產標記的保護 ( Identify and label assets ):
Guardicore 軟體式網路區隔,具可視化功能,IT人員能識別和標記組織的基礎架構中運行的所有應用程序。
- 可視化與標籤群組分類管理 ( Visualize and group by label ):
IT人員除了隨時可視化應用程序的運作外還可以依據標籤將應用程序進行有效的關聯性管理。
- 政策設定 (Create policies ):
IT人員可以彈性且自主性設定網路區段的規則,讓應用程式可以相互溝通,或是可以有效地在區段處分割讓流量適當的調配,提高效能、降低成本與提高服務。
案例:軟體式網路區隔的優勢
美國一家大型的食品加工商,其豬肉產品處理器需要對 45 個應用程序進行分段,每個應用程序平均有 5 個服務器,而且需要部署在兩個地方。這家食品加工商採用Akamai Guardicore軟體式網路區隔解決方案,三年內成功的在區段應用程序的管理資源上節省了85%相當於超過90萬美元。
當年這家食品加工商急迫希望趕快調整區段防護的措施,降低網路威脅與避免網路服務中斷的狀況,經他們評估後認為Guardicore軟體式網路區隔解決方案符合其需求: 快速建置、安全防護具體成效。Guardicore也如實做到了,短短6週內不間斷地保護45各應用程序的運作狀態。
結論
早期的舊式防火牆主要是用於第一層直向流量的管控,而不能快速應變、即時啟動防禦機
制進一步阻止攻擊者入侵與勒索,對於現今的網路訴求的敏捷性更無法勝任,對於Guardicore軟體式網路區隔解決方案則是可以有效降低風險、讓區段的應用程式更為安全與快速運作,另外顯著的降低成本也是其關鍵優勢因素,更重要的是,Akamai Guardicore軟體式網路區隔解決方案,可讓企業IT團隊與更多的資源應用跳出防火牆的建置與管理上,轉向更有生產力的營運項目上。