近期多宗大規模的資料外洩,可見進階持續滲透(APT)肆虐。APT成企業保安最大隱憂,除了盗竊客戶和敏感資料,也可騎刦網絡,進行不法勾當。
防火牆乃IT保安第一度防線。IT基建愈趨複雜,促使防火牆加快升級系統。網絡保安廠商Juniper剛公佈旗下保安系統重大升級,以加強防禦能力,並簡化部署。
重大升級簡化部署
Juniper保安產品,包括了專門用於虛擬化平台的軟件防火牆「Firefly Perimeter」,以虛擬機器(VM)形式,安裝虛擬平台上;而實體的防火牆則為SRX系列;兩者皆統一採用了Junos作業系統。Juniper剛推出Junos 12.1 X47的升級版,可適用全線防火牆,加入多項功能,又簡化保安架構,結合更多不同主動偵察和多重防禦,從不同來源的實時情報,阻截潛在威脅。Juniper防火牆皆利用了中央化管理Security Director,統一維護和更新。
Juniper亞太區資訊安全資深顧問梁定康說:「保安架構愈複雜,就愈難於管理,同時增加入侵風險。新系統升級加強保安控制能力,卻簡化了執行。」
新一代防火牆可透視應用層的數據,堵截網上保安漏洞。新一代防火牆可根據目錄系統,按用戶身份來制定政策,控制用戶執行網上應用權限。「Juniper的應用層控制稱為AppSecure,新版本辨認應用的數量,超過了二千多個。控制AppSecure採用開放制式的Application Identification (AppID) 引擎,也可按用戶特定要求,加入辦認定制應用,只執行AppID容許的網上應用,縮小攻擊面。」
新版本也為Firefly Perimeter軟件防火牆,加入AppSecure以及過濾網站等功能,又可作為入侵偵查防禦(IDP),功能上日漸跟SRX實體防火牆看齊。
無縫結合AD業界獨有
梁定康說:「不少企業採用微軟Active Directory目錄系統,根據不同角色制定執行權限。今次版本升級的最大特色,乃大大簡化了微軟Active Directory支援,毋須在AD上安裝任何代理程式(Agent),可根據AD日誌檔(Log)即確定用戶身份。新版本簡化了與AD目錄系統的整合,可針對AD界定的角色,執行特定的防火牆政策,稱之為User Firewall。」不少防火牆須在AD上安裝代理程式,甚至利用「網絡存取控制」(Network Access Control)先辨別用戶身份,增加部署難度,Junos為迄今唯一直接整合AD的防火牆。
加密通訊也是防火牆的盲點,加密後通訊無從掃描,不能知悉是否藏有攻擊,不少APT藉此乘虛而入。SSL加密的通訊,包括了Skype通訊和多種P2P應用,難以防禦。
加密通訊無所循形
SSL保護了敏感資料,也隱藏病毒,一直是IT保安心腹大患。梁定康說:「新系統毋須再先解密內容檢查,可從數據形態,已判斷是否帶有威脅,並加以攔截。」
Junos新系統版本加入「保安智慧」(Security Intelligence);升級了Spotlight Secure功能,通過雲運算全球監察,鎖定可能發動攻擊的設備IP,更新防火牆設定,並選擇即時拒絕訪問,或追蹤連接後的活動。一旦受到攻擊,APT可能跟某些地區IP接觸或聯繫,SRX也支援GeoIP功能,轉譯訪問IP地區,阻截業務沒有往來地區的通訊,或遇可疑通訊時發出警示。」
「新作業系統也加入不少靈活性,可加入第三方的防禦情報,亦可自行加入『白名單』(Whitelist),以免妨礙正常業務。」
新版本也升級了Junos Space用於中央管理SRX和Firefly Perimeter的Security Director,加入了事件關聯(Correlation)產生事故報表,從處理日誌檔(Log)的大數據,配對出可疑網絡活動,追查是否已遭入侵,並統一更新所有防火牆政策,加快即時應對。
Security Director可統一整合Juniper SRX和Juniper網絡設備所有日誌檔,監察網絡活動。
梁定康說,年底發佈的Junos新版本,加入深度偵察APT,用戶毋須採購其他設備,防火牆一旦發覺可疑APT蹤跡,就馬上堵截,通過Security Director中央化部署全面圍堵,從保安角度更有效控制APT。
「APT幾乎無孔不入,難以完全杜絕。Junos加入監察功能,配合Security Director快速更新部署,以縮短從受攻擊至防禦所需的時間。」
沒有留言:
發佈留言