Cloud WAF Service 提供24小時監控與防護,確保地端與雲端資安政策一致化。
Cloud WAF Service 提供24小時監控與防護,確保地端與雲端資安政策一致化。
網站是企業組織在網路上的門面,為員工、客戶、合作夥伴及造訪者提供資訊與各式服務,但也最容易成為攻擊及入侵的目標。是方電訊攜手 F5 推出雲端網頁應用防火牆服務(Cloud WAF Service),只需一個設定步驟就能 24 小時監控網站,讓駭客及惡意行為無所遁形。
是方電訊產品經理林佑儒表示:「Cloud WAF Service 架構於是方的機房,機房本身擁有完整的國際級資安認證,搭配 F5 的技術核心,以租賃模式提供服務。無論網站位於公有雲或私有雲,只需將域名指向 Cloud WAF Service 就能立即強化防護及監控,未來將計劃持續擴大防護範圍,例如網站上運行的應用程式、API 及 DNS …等。」
Cloud WAF Service 架構圖
企業資安建置最常見的問題是無法一次到位,除了牽涉環節眾多如軟硬體採購、網路頻寬、機房位置、資安系統維運,預算不足和建置時間過長也是問題。即使資安建置的完成度已達 80% 仍是徒勞無功,未完成的 20% 極易成為資安破口,在企業走向雲端化,網路架構勢必由封閉走向開放之際,這個問題會更為嚴重。
F5 台灣區總經理張紘綱指出,資安雲端化和 AI 化是全球資安的兩大主要趨勢,原因在於大量企業平台及應用程式移往雲端,但面臨地端和雲端資安政策無法一致化的挑戰,而且雲端的破口區域更廣,只要有一個破口,資安防護力就會大幅衰減。
F5 在地端資安有20年經驗,擁有高市占率和知名度,但在上雲的過程裡,特別需要與是方一樣的電信營運商合作,以發揮更大的綜效。舉例來說,F5 與全球知名的電信及網路營運商都有類似合作模式,中國前三大電信公司皆與 F5 合作,如同 Cloud WAF Service 透過域名指向及 WAF 政策的防禦機制來確保網站安全。
事實上,當前常見的攻擊手法是直接由網頁或網站弱點進行入侵,導致企業雖有資安建置防護,卻無法立即察覺破口的潛在風險。在 Cloud WAF Service 的運作模式之下,技術課題完全交由是方負責,提供負載平衡、惡意機器人辨識、網路爬蟲防禦、應用層級 DDoS 攻擊防禦、API 異常檢測等防禦服務,有效防護國際組織 OWASP 定義的10大網路安全弱點,企業只需專注在制訂自身的安全政策及白名單。
只要有對外網站或透過網站提供服務,Cloud WAF Service 都能發揮立竿見影的防護成效。某家零售業客戶以內部自建的方式來運營官網,但常發生網站效能滿載、重複存取資料等問題,該客戶原先認為是尖峰時段或使用者誤按按鈕導致,但透過 Cloud WAF Service 監控程式掃瞄後,發現來自中歐的IP持續刺探網站弱點,而且已經突破一個漏洞並植入木馬程式,做為攻擊其他公司主機的跳板。
解決這個問題後,這家零售業客戶的網站流量大幅降為原先的 1/3,排除了毫無經濟效益的駭客流量,不僅降低主機負載,同時也提升了網站服務品質和使用者體驗。
除了對外網站,Cloud WAF Service 對於建立在私有雲的網站也能發揮效益。以某家製造業客戶為例,總部設在台灣並在海外設有工廠,在是方的協助下建立跨國私有線路,由於資安團隊希望避免員工誤點釣魚郵件或使用中毒的 USB 等人為問題,而試用了 Cloud WAF Service。
原因在於員工誤點釣魚郵件或中毒後,流竄的惡意程式常會攻擊企業內部網路或網站,Cloud WAF Service 不僅能保護網站主機不受攻擊,還能找出執行攻擊行動的電腦進行因應處理。這家製造業客戶一試用就發現某部電腦試圖以暴力破解的方式來取得後台帳密,因而及早阻斷潛伏入侵的行動。
另一家製造業客戶則是在公有雲提供服務,並使用是方雲端交換平台 ( CCX ) 直連企業內部網路,該公司希望地端和雲端的資安政策一致化,並解決地端的資安機制管不到雲端服務的問題。由於該公司在地端原本就使用 F5 的資安方案,採用 Cloud WAF Service 就能在單一平台同時管理地端和雲端的資安政策。
企業網站經常面臨駭客攻擊與木馬程式等威脅,造成資料遭竊、網站無法運作、成為攻擊跳板等損失,除了面臨客戶資料外洩或被勒索的風險,更可能影響企業形象及商譽。是方和 F5 的合作正是為客戶提供資安的可見性,清楚掌握流量的內容、事件狀態及更多細節資訊。
張紘綱總經理表示:「是方在雲端的腳步非常積極,例如:與五大公有雲合作的 CCX 服務,F5 很高興能與是方合作,落實了資安雲端化的第一步,接下來將朝資安AI化深入合作,與是方共同提供完整的資安 SaaS 服務。」
林佑儒經理表示:「F5 是全球首屈一指的資安大廠,在雲資安的豐富經驗深獲是方及客戶的信賴。除了Cloud WAF Service,是方在網路安全、實體安全亦有完整的服務項目,持續為企業提供一條龍的資安服務解決方案。」
Cloud WAF Service 目前提供60天免費監控試用,協助企業對網站及網頁資安進行健康檢查,找出問題源頭,以進行相對應的防護行動及防禦政策。隨著愈來愈多企業將核心業務上雲,透過私有雲或混合雲提供應用服務,雲端資安將是不可或缺的基石。