臺灣F5資深技術顧問許力仁

臺灣F5資深技術顧問許力仁表示,安全是F5在2018年最重視的議題之一,除了提供DDoS的防護策略外,也重新擬定新的授權策略。

圖片來源: 

臺灣F5

應用交付網路業者F5昨(11月28日)天在臺發布2018年三大發展重點,不只會強化自家產品上公有雲的整合與效能,強化用戶端完整性機制來阻擋DDoS攻擊,最後一項則要搶攻電信服務業者骨幹網路虛擬化的市場需求。

進一步強化F5產品上雲部署的效能也開始支援容器化

首先,在雲端的策略發展上,臺灣F5資深技術顧問林志斌表示,除了AWS、微軟Azure以及Google GCP之外,今年開始可在IBM雲上選用F5產品。所以,2018年重點就是調教F5產品Big IP在這些公雲上的效能,他說:「要將雲端VM中執行F5 Big IP服務的開機時間縮短50%,所用儲存空間也可以減少55%。」

其次,林志斌強調,F5產品支援Container是2018年的重點。他進一步指出,以往只在內部研發單位中使用Container,但隨著企業使用Container成為一種趨勢,F5將加深力道,將更多產品Container化,也會支援Google的K8S,以及支援DevOps自動化工具Ansiable,來調度F5產品所用的資源。第三點則是針對企業自建的私有雲,F5將加強各種產品自動化服務,例如,可以透過REST API以及iApp做更多NetOps的自動化整合工具。

強化用戶端完整性確認,提高阻擋DDoS攻擊封包的效率

另外一個策略發展重點就是安全,臺灣F5資深技術顧問許力仁表示,該公司被Gartner歸類為應用程式防火牆(WAF)的領導者之一,該公司在2018年的重點仍是持續強化對DDoS(分散式阻斷式攻擊)的防護。他進一步解釋,現在許多DDoS攻擊都來自於物聯網裝置,而這些物聯網裝置在被駭客植入惡意程式後,就好像一群機器人(Bot)般,都會聽從駭客命令發動DDoS攻擊。以去年美國DNS服務業者Dyn遭到DDoS攻擊為例,就是監控攝影機被駭客植入惡意程式後,成為駭客操控,用來發動DDoS攻擊服務的受駭者。「F5可以在第一線判斷是人還是機器對於使用者服務發動攻擊,就容易做進一步的阻擋。」 他說。

因為DDoS防護一直是企業資安投資的重點,多數網路閘道端設備都很容易辨識來自L3、L4網路層的攻擊,但對於針對L4~L7攻擊封包的辨識能力相對較弱,許力仁表示,F5在2018年強調的是對用戶端( Client Side)完整性確認,可以利用JavaScript腳本程式,往前做使用者的身分辨識,可以降低對攻擊封包的誤判率,並提高阻擋攻擊封包的效率。

「雲端優先是F5的發展方向,但必須要能兼顧安全,」許力強指出,F5在2018年也會針對使用AWS企業用戶,提供更合理的授權方案。他表示,未來會採用「授權池」的概念,提供企業用戶「一定數量」或是「不限數量」的F5產品授權號碼,只要在AWS部署F5產品時輸入授權池的產品授權號碼,就不需重複再計費。他提醒,若企業今年使用F5產品超過原本提供的授權數量,明年則會以超過的數量作為重新授權談判的基礎。

電信服務業者積極推動骨幹網路虛擬化,F5產品支援更多物聯網通訊協定

以前的安全都偏重L2、L3網路層安全,臺灣F5資深技術紀文智表示,以往企業根本很難判斷L7的Session是否受到攻擊,尤其像現在電信業者都力推4G和5G的電信服務並積極找尋相關的應用同時,F5除了依舊會支援過往的HTTP、HTTPS通訊協定外,也新增支援許多物聯網產品所使用的MQTT通訊協定,可以作為協助電信骨幹網路在偵測L7的封包時,更容易辨識是否是來自物聯網裝置的攻擊封包。

由於F5的Big IP是屬於閘道端的產品,當電信業者思考如何將電信網路的骨幹網路做虛擬化(vEPC)時,他指出,效能和安全是電信業者的重要考量,F5的產品必須在電信業者朝向骨幹網路虛擬化的同時,可以安裝在虛擬化的平臺上以確保電信網路的安全性。

 


Advertisement

更多 iThome相關內容