傳統網絡架構基於各種網絡設備的整合,但往往在網絡增設、系統作業時需要手動操作。而軟件定義網絡 (Software-Defined Networking, SDN) 新型網絡架構的出現,透過軟件來改變網絡架構及機能,達致更有效、靈活的管理控制,可謂解決了不少企業所面臨的網絡架構趨向規模化、複雜化、難管理的困境。
在現今網絡惡意攻擊不斷肆虐的環境下,企業無疑亦需要加強防範,制定合適的安全策略。由 Juniper Networks 研發的整合式網絡安全解決方案,就從網絡基礎架構著手,透過引入雲端智能安全技術,在 SDN 架構的基礎上加入網絡保安元素,構建 SDSN (Software-Defined Secure Network) 重新定義網絡安全,讓企業更輕易地兼顧網絡安全及架構管理兩方面的需求。
SDSN 架構重新定義網絡安全 整合式服務閘道簡化部署管理
勒索軟件、DDoS 分散式阻斷服務攻擊以至進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 等惡意網絡攻擊時有所聞,不論何種規模的企業均有可能遭受以上的攻擊,令企業的正常營運受影響,甚至重要商業資料外洩。
Cyberworld 銷售總監雷震東表示,越來越多企業關注日漸嚴重的網絡安全問題,亦在尋求合適的安全解決方案以防受到網絡攻擊的侵擾。Juniper Networks 專注於網絡設備及安全解決方案,其 SRX 系列服務閘道以動態服務結構為基礎,整合安全性、路由和交換解決方案,令其可在單一平台上提供高連接埠密度、進階安全性以及靈活的連線能力。同時閘道亦具備功能完整的安全組合,包括新一代防火牆、統一威脅管理 (UTM) 等,達致可簡化部署及易用管理。
而整個安全架構的獨特之處在於利用 SDSN 概念,提供中央化及自動化的安全防護,透過 Juniper Cloud Security 雲端安全防護智能,可快速辨別已知的網絡攻擊以及動態分析未知程式是否隱含漏洞代碼攻擊。網絡管理員便可就分析結果及時作出決策,一旦發現安全威脅,便可立刻在 Security Director 進行中央管理更新安全政策,套用到的 SRX 系列服務閘道上,而且不論是實體設備還是虛擬機器都能做到有效防禦;而內部網絡的 MX 系列路由器及 EX & QFX 交換器上同樣能做到即時更新政策,確保受感染設備隔離,從通訊層面阻止惡意程式進一步擴散。
▲ Cyberworld 銷售總監雷震東表示,專注於網絡設備及安全解決方案的 Juniper Networks,其產品和方案在效能、可靠性等方面達到運營商級別。Cyberworld 作為 Juniper Networks 的代理商,亦見證其產品表現獲不少大型企業、金融行業以至政府機構肯定。
雲端智能防護技術 抵禦零日攻擊及已知威脅
雷震東指,要了解網絡上的安全威脅環境通常要從各方面來源收集資料,而其中一種有用的做法是檢視命令和控制 (Command and Control, C&C)伺服器的各種活動,例如殭屍網路、針對性攻擊等。
負責抵禦安全威脅的 Juniper Cloud Securtiy 主要由 Spotlight Secure Threat Intelligence 及 Sky Advanced Threat Prevention 共同協作。雷震東以現時肆虐網絡的間諜軟件等惡意程式為例,指前者的資料庫中儲存有大量已知的 C&C 伺服器和惡意程式名單,並連接第三方提供的資料庫確保系統可偵測出已知的最新安全威脅,而針對間諜軟件這類惡意程式,即使員工不慎下載並運行軟件,系統亦能即時偵測到,隔離感染設備並杜絕惡意軟件連接 C&C 伺服器傳送資料的可能,從源頭著手封鎖,有效減低資料外洩及黑客遠端控制設備的風險。
除了已知的安全威脅外,不少黑客亦會利用尚未公開的程式漏洞發動零日攻擊 (Zero Day Attack),甚至是針對特定組織或公司而進行進階持續性滲透攻擊 (Advanced Persistent Threat, APT) ,往往令企業防不勝防。針對該類型攻擊,Sky Advanced Threat Prevention 亦設有獨特機制作防範。
他解釋,Sky Advanced Threat Prevention 當中具備 Dynamic Analysis 動態分析功能,透過程式碼檢查 (Code Inspection) 機制,可分析接受到的外部通訊要求或程式當中是否藏有針對漏洞寫成的攻擊程式碼,配合 Sanbox 機制和機械學習 (Machine Learning) ,有助系統更準確、安全地分析未知程式。「就像一個包裹,拆開看到有槍管、彈夾、子彈,基本上可確定能組成槍械造成威脅;而 Code Inspection 的原理亦是如此,透過分析程式碼,判斷通訊傳輸內容是否有機會構成惡意攻擊程式」雷震東形容。
此外,為對應 DDoS 分散式阻斷服務這種最為常見的攻擊方式,Juniper Security Director 亦允許企業可基於 GeoIP 封鎖部分國家、地區的通訊接入請求。雷震東解釋,該功能可讓企業屏蔽非服務區域的接入請求,避免受到殭屍網絡的 DDoS 攻擊,同時亦能節省網絡資源。
視覺化介面一覽關鍵資訊 中央管理各層設備架構
虛擬化技術與可編程實現 SDN 令傳統網絡架構發展到更為智能化管理,甚至可整合到雲端系統中,無疑有助企業管理和控制日益複雜化和龐大的網絡架構,同時亦考驗 IT 管理人員的能力。
隨著虛擬機器、虛擬化應用變得普遍,如何更方便地監測各個虛擬機器以至它們之間的通訊,避免黑客或惡意程式利用安全漏洞有機可乘,成為不少管理人的一大挑戰。在傳統的網絡架構上,通常需要專業的管理員透過命令行、事件記錄檢視等方式才能理解整個架構上的曾發生的狀況,然而對於中小企而言,往往缺乏預算聘請專業人才支援,只能靠略懂 IT 的員工充當管理員角色。
雷震東指,有見企業在該方面面臨的困難和需求,Juniper 安全方案所提供的 Junos Space Security Director,就透過視覺化的圖像介面,將各類關鍵資訊以圖表的方式直觀地呈現,不論是實體機器還是虛擬機器,以至整個網絡架構中的系列服務閘道、路由器、交換器等都能透過該中央管理介面了解各類資訊。
以其中的「Application Visibility」版面為例,管理員可以了解到公司內部網絡最常用的應用和連接的網絡服務,介面中每一個圓形圖示便代表一個應用程式,圓形越大,就代表該應用程式使用的網絡頻寬越高。雷震東笑言,透過這種直觀化的管理介面,員工是在辦公時間用 YouTube 「煲劇」,還是在 Office 365 上努力工作,企業均一目了然。
▲ 網絡管理員亦可透過應用程式,在智能手機和平板電腦上隨時隨地登入系統,了解網絡狀況及檢視各種資訊和突發通知,因應情況作出反應甚至即時更新安全政策。
他又表示,除了解網絡使用情況外,還能做到管控。例如控制各個應用程式的頻寬用量,或是針對部分不符合公司安全政策的應用程式進行封鎖,讓管理員可結合不同的管理措施和定期更新安全政策,幫助公司更為善用網絡資源,提升營運效率。此外,相信不少企業都會關心如何才能訂立合適的網絡安全政策,雷震東透露,未來亦計劃在方案中為企業提供可快速設定的通用安全政策,為缺乏專業管理員的企業提供多一項選擇。
▲ Junos Space Security Director 的 Dashboad 介面讓管理員一覽所有網絡的通訊交流和關鍵資訊。
▲ 另有 Junos Space Network Director 的中央管理介面可集中管控整個網絡架構中的系列服務閘道、路由器等重要設備,並隨時了解現時狀況及接收警示通知。
