企業愈來愈依頼雲端應用,遠程存取的用戶大量增加,就如何控制存取保安,一直缺乏全面性方案。另一方面,Web 2.0應用大行其道,防火牆市場已從提供簡單IP層保護,升級至更周密保護,針對用戶身份、不同應用,甚至內容。
隨著愈來愈多應用,通過Web技術或者經由Port 80提供,單單靠關閉某些IP埠位,已經毫不濟事。防火牆幾乎必須懂得確認通過的不同應用,甚至據用戶身份和內容設定使用權限。
此外,殭屍病毒日益橫行,網上發動分散式拒絕服務(DDoS)的攻擊,時有所聞,類似攻擊更防不勝防,來源無從預測。伺服系統同一時間內,接受大量服務請求癱瘓,根本無從防備,這對於有意部署雲端服務的企業,更具重要意義。數據中心受突襲,可能霎時無法作出反應。
近年,新一代防火牆(Next Gen Firewall)開始湧現。所謂「新一代防火牆」,乃泛指高性能防火牆,能夠好像防毒軟件一樣,辨認通過防火牆每種應用不同特徵,進行攔截和過濾,又或根據不同用戶,套用相關保安政策,甚至限制讀取內容和容許訪問的伺服系統,防止機密外泄。新一代防火牆更可讓管理人員,透視網絡運作實際情況。
新一代防火牆包括了Palo Alto Networks,據說目前可辨識應用特徵,已達超過一千種。此外,市場上亦出現了多種針對Web 2.0的保安設備,如McAfee或Symantec的Web Gateway等產品,功能也足以媲美入侵防禦(IPS/IDP)設備。可是用戶存取控制的層面,許多時仍鞭長莫及。
最近Juniper推出SRX系列,Juniper IPG 及 JRS產品營銷副總裁Michael. E. Marcellin形容,SRX系列防火牆加進了AppSecure新功能,其中的AppTrack也開始能在應用層監察,辨認出不同的應用,性能接近IPS/IDP。但Juniper仍並未公布能辨認的應用數量有多少。另外,AppSecure又包括了防護DDoS的AppDoS,保護雲端應用。SRX系列防火牆以模組化設計,能夠加進新功能之餘維持高性能。
Juniper配合新推出客戶端的Pulse技術,客戶通過 SSL VPN連線後,就可知悉那一位用戶,正使用那種設備和存取位置,再根據預設政策,動態套用存取規則。理論上是目前最全面的保護機制。
Juniper Pulse結合SSL VPN、網絡加速、存取控制;除了監察,也可控制用戶行為,如授權使用應用和容許到訪伺服系統,更可於用戶連接系統之前,先行檢查來訪電腦或流動設備,是否已更新防毒,或先即時更新,確保用戶設備,符合達到系統保安組態要求。
Juniper也發表了讓數據中心更易於管理方案,包括Junos Space的開發平台。以往,數據中心內各種設備各自為政,有不同的作業系統,Junos Space開放了應用介面(API),讓整個數據中心所有設備,可以用單一介面管理,並讓客戶自動化支援服務。據Marcellin介紹:「Juniper以Junos Space開發的Security Design,可以簡化不少保安設定,如防火牆、NAT和 VPN組態,靈活地將業務要求,結合至保安政策。」
Marcellin表示,Junos Space加上Junos作業系統和Junos Pulse,可以自動化的數據中心,更快作出保安部署,為雲端運算平台作好準備。
沒有留言:
發佈留言