新一代防火牆出現,主因是攻擊和病毒,從Web介面或電郵流入,甚至通過瀏覽器攻擊,只防守埠位的上一代防火牆,已窮於應付,所有企業都幾乎升級至「新一代防火牆」(NGFW),從應用層作出防禦。
不少企業又從集中辦公模式,過渡至員工分散不同地點,甚至家中工作;但又不太可能購置大量NGFW保護;規模較小辦公室,甚至負擔不起逐一安裝NGFW。
市場上開始出現雲端NGFW,Zscaler就是通過雲端服務,向全球用戶提供虛擬NGFW、IPS、APT Sandbox、殺毒、Web和電郵過濾、Web 2.0攻擊和數據外洩保護,最先進保安性能,一應俱全。
針對雲端趨勢的保安
據Zscaler委托Osterman Research研究顯示,超過七成企業已安裝了NGFW,原來只能保護數據中心;結果分支和流動用戶,反而變成入侵弱點;折衷方案則是連接所有用戶回數據中心,再經NGFW保護上網,稱之為「回程轉駁」(Backhaul),結果數據來回兜了一大圈,為了保護分支或流動用戶,廣域網支出又大增。
隨著採購公共雲服務增加;類似微軟Office 365、Oracle、SAP以雲服務提供,「回程轉駁」的集中再轉駁的傳輸方式,無可避免再拖慢速度,影響用戶工作效率。
Zscaler以「保安即服務」(Security as a service),從雲端提供保安,就是為了迎合分散的工作模式。Zscaler支援不同轉駁方式,不同用戶從不同地點接上雲端防火牆,分支可選擇以路由器GRE tunnels封裝,作端對端的連接;或以傳統防火牆「埠位轉發」(Port forwarding),所有通訊直連上雲端Zscaler的虛擬防火牆過濾。遠端客戶則透過不同設備proxy設定;如簡單Proxy Auto Config(PAC),連接到Zscaler加入NGFW性能,同樣受到保護。
Zscaler的概念是以負載平衡技術,結合全球超過一百數據中心,變成一部部多租戶的超級防火牆;用戶不管身處於何地,受同一防火牆保護。防火牆設定一更新,就馬上全球化部署。傳統防火牆中央化更新設定,往往要另置工具;例如Juniper的Security Director之類。
Zscaler毋須購置任何軟件和硬件,省卻了安裝、升級、硬件管理、耗電等,全以月費形式支付;部署速度極快。Zscaler北亞洲區技術總監梁耀康說,雲端保安的優點,除節省廣域費用,也提供了傳統防火牆無法達至的保安深度和視野。
雲端加快整合紀錄
紀錄檔(Logs)紀錄了用戶行為變化,能偵察入侵的蛛絲馬跡,也作偵查保安事故鑑證之用,對偵察入侵和蒐證,有重要作用。實體防火牆礙於硬件儲存限制,只保存少量Logs檔,否則要購置額外服務器或以雲端儲存。
梁耀康說:「Zscaler通過壓縮技術,Logs可儲存長達半年或更久,或通過即時串流(Nanolog Streaming Service, NSS);即時轉譯不同格式,供不同SIEM,結合其他事故 分析保安威脅。「Zscaler的Logs也可直接供ArcSight、QRadar、Splunk等讀取分析「傳統上多個地點Logs,很難整合中央化分析;Zscaler則可馬上整合多地傳來,甚至不同設備上網的紀錄;作比照分析,更快洞悉異動和入侵。」
Zscaler虛擬防火牆以多租戶方式,同步處理極大工作量;全球Zscaler數據中心互相備援,也即時更新威脅和攻擊。「Zscaler數據中心同步,一旦發現任何新威脅和網上攻擊,馬上全球更新作防禦,更新和應變比任何實體防火牆都要快。」
從管理角度,Zscaler管理介面與傳統防火牆分別不大,管理人員從入門網端管理介面,一次過設定用戶Policy和防火牆規則,然後作全面化部署。
「但外間有誤解,以為經雲端的轉駁,速度必然大受影響。Zscaler提供可用性的服務水平保證(SLA),也包括了延遲率SLA。一般而言,處理封包速度低於0.1毫秒(ms),接駁延遲也不高於10 ms,虛擬防火牆性能並不比實體為差。如果下載檔案,Zscaler還可作Proxy加快速度,有時比直接上網還快。」
Zscaler也並非全無缺點。不少防火牆也用於建立多地的「點對點」VPN,甚至作路由器閘道(Gateway),甚至跨境的「翻牆」工具;類似Juniper防火牆,採用了JUNO作業系統,路由性能已跟高級路由設備分別不大。但雲端SaaS,則純粹只提供保安功能,不能提供網絡互連,更不可能作為「翻牆」之用。
沒有留言:
發佈留言