.jpg)
有感於網路攻擊與電腦病毒日新月異,近年來該公司致力強化資安防禦與資安預警,期望達到幾項重大目標。
─ 台中銀投信 資訊處經理 彭鎮乾
創始於 1995 年的 台中銀投信,為國內第 17 家證券投資信託公司,旗下商品涵蓋股票型基金、國內貨幣市場型基金、海外股票型基金等。該公司營業 20 餘年來一向秉持穩扎穩打經營策略,悉心開發投報率穩健的金融商品,使得基金績效名列業界前茅;如今更積極運用 FinTech 技術提供即時與創新的投資服務,為投資大眾帶來更多元便捷的投資管道。
台中銀投信資訊處經理彭鎮乾表示,有感於網路攻擊與電腦病毒日新月異,近年來該公司致力強化資安防禦與資安預警,期望達到幾項重大目標。首先在於對內,讓投研部門每天安全無虞地接收並存放大量研究報告、金融資訊,同時確保交易員在盤中接收即時資訊的過程,一切暢通無礙;其次在於對外,提供便捷可靠的交易平台,使投資人隨時能方便執行申購、贖回、轉換等交易行為,且無懼於駭客阻斷網路服務、或伺機竊取個資。
基於上述動機, 台中銀投信自知亟需引進Web 應用程式防火牆(WAF)與內容遞送網路(CDN)服務,希望一舉兩得,既有效防範 DDoS 攻擊,亦可加快網頁速度;幾經審慎評估,決定啟用 Akamai 解決方案,於今年(2020)5 月正式上線。
依乾淨流量計費,將資安預算花在刀口上
彭鎮乾指出,近兩年多以來 DDoS 勒索事件一直未曾絕跡,尤其金融業更是駭客鎖定的頭號標的,而投信也在影響範圍之列,因此台中銀投信始終戒慎恐懼,將如何避免網站癱瘓列為首要之務,只因現今金融交易趨向網路化,不管是投資人申贖基金,乃至內部投研部同仁接收資訊,或基金經理人掌握盤中行情變化,都得倚靠網路,萬一網路受阻、所有事務皆受衝擊。考量及此,該公司多年前超前部署 WAF暨 CDN 服務;當時著眼點是,若自建 WAF,必須針對系統維護、特徵碼更新耗費可觀人力工時,故而選擇借重專業供應商的服務,期望憑藉廠商對於全球攻擊趨勢的掌握,佐以自動化規則調校機制,幫助台中銀投信減輕維運負擔。
儘管如此,在使用原本 WAF 服務的過程中,彭鎮乾與資訊處同仁仍備感隱憂,因為此服務按「被攻擊量」計費,假使用戶選購 1Gbps 方案,哪天不幸遭遇超過 1Gbps 攻擊流量,服務商便會詢問用戶是否加購,用戶若拒絕,便形同放棄防禦;但增購清洗流量所費不貲,而且「只要上去了、就無法回頭」,假設本來買1Gbps,今天為抵擋攻擊而加碼至 5Gbps,那麼未來只能以 5Gbps 為基準按月付租金,不能再降回 1Gbps,難免徒增財務負擔。
「DDoS 屬於偶發性攻擊,每次的流量皆無規律性,難以預測,」彭鎮乾說,所以若按攻擊量計費,無論買進 1Gbps、5Gbps、10Gbps 或更高的流量清洗服務,永遠都未必足夠,無法帶來安定感。所以台中銀投信決定趁著原服務合約到期前夕,尋覓更適合標的,後來拍板定案選用 Akamai 所提供的 WAF、Site Shield、DSA(CDN)等服務。
Akamai 之所以雀屏中選,主要是因為在原廠與代理夥伴聚碩科技的協助下,提供依據實際產生之流量的計費方案,換言之不管遭遇5Gbps、10Gbps 甚或 100Gbps 的 DDoS 攻擊,都僅需按清洗過後的乾淨流量來計價,確保預算真正花在刀口上,讓台中銀投信不需再擔心衍生非必要 IT 支出。
以獨家技術隱藏源站 IP,降低駭客攻擊機率
值得一提,2019 年期間主管機關曾舉辦跨國網路攻防演練,其中 Akamai WAP 平台表現亮眼,成功阻擋超過3Gbps 攻擊流量測試,深受金融業界肯定,也增添了 台中銀投信的選購信心。
另一方面,Akamai 維運全球規模最大的雲端網際網路平台,日復一日承載龐大網頁流量,故有能力憑藉大數據分析,有效鑑別各種威脅,連帶協助 台中銀投信提高 DDoS 防護、網頁安全與加速之綜效。最令彭鎮乾印象深刻之處,在於 Akamai 提供獨特的 Site Shield 服務,足以讓防禦功效向上提升。
綜觀一般 WAF 暨 CDN 服務,都採取類似的 Proxy 運作模式,使用者先連結 CDN Server,經檢查流量無誤後,才會導向源站;但問題是,駭客通常會想方設法繞過 Proxy,利用源站 IP直接抵達目的地。 台中銀投信引用 Site Shield服務後,可以隱藏其源站 IP,成功脫離駭客的刺探範圍,進而大大降低遭受攻擊的機率。
而在 5 月上線啟用前, 台中銀投信展開為期 1~2 個月的概念驗證(POC)。在此階段,聚碩細心協助其經銷商夥伴共同幫助 台中銀投信調整 WAF 管理規則,使 Akamai WAF 成功通過第三方的攻擊滲透團隊的嚴格考驗;不僅如此,隨著 Akamai 服務上線,聚碩亦與其經銷商夥伴提供服務,於每季協助進行 PolicyReview 及攻擊趨勢分析,確保網站效能與防護力維持高檔,也讓資訊處同仁備感窩心。
總括而論, 台中銀投信導入Akamai 後,一方面加快基金交易網站的網頁執行速度,二方面強化 DDoS 防護力且避免駭客入侵,使得投資大眾、投資研究員、基金經理人等內外使用者,皆能安心無虞展開既定活動、不受任何阻撓,獲得最優質的體驗。