网安需求丕变,市场掘金需靠技术硬实力
2012年伊朗南部核电厂因恶意攻击无预警运作,尽管该国当局随即遏止灾难扩散,但足令各国心生警惕,网路安全需求不应仅止于企业资料中心,举凡电信机房、机器对机器(M2M)暨工业应用环境,与家庭网路等所有连网装置,皆可能成为网路威胁的入侵点,都须受到保护。举例来说,若是防洪闸门因骇客入侵失效,恐酿成大祸,对民众生命财产造成严重损失。
有鉴于此,新一代网路安全平台设计,不再局限于攀升的网路流量,还需呼应「网路无所不在」的大势所趋,一方面顺着行动通讯蓬勃兴起的脉络,将触角扩展到电信机房,二方面则须全面考量各式通讯协定的攻击防御需求,在一般可见的乙太网路外,另针对ZigBee、Wi-Fi、EtherCAT等其他通讯网路,强化监控与解析能力,以满足M2M与工业网路安全需求。
新汉电脑(NEXCOM)网路通讯事业部产品规划处处长刘宏益认为,随应用触角扩张、网路流量爆增,可想而知,网路安全系统所需监管的封包大小、数量必定急遽成长,单凭现有架构势必穷于应付,因此硬体平台位居系统底层,必需有所变革。
迈入高技术整合新纪元
举例来说,植基于2U伺服器的传统网安平台,岂有能力妥善处理每秒动辄破百的流量?」刘宏益强调,有鉴于高频宽、高速封包处理需求愈来愈大,网安平台绝不能只是单纯伺服器,需要与交换器、网路处理器(NPU)等技术充分整合,才能最佳化封包处理效率;因此交换器、NPU之于x86运算系统,不再只是沟通媒介,或是配套的Add-on卡,而应深入平台架构的核心。
简言之,新一代网安平台需深具智慧,善用NPU遵循封包规则、过滤,大幅分摊中央处理器的工作负载,使得前段已获检查无误的流量,后段无需重覆受检,直接传送(Forward)即可,简化封包处理,方能应付倍数成长的网路流量。
网安硬体平台亟需具备高吞吐能力,一来是因封包夹带内容多属于多媒体影像庞大档案,因此若前段封包经检查,确认安全无虞,尔后便可免受层层检查,以免造成网路壅塞;二来,M2M产生的巨量资料,规模超乎众人所能想像,因此既有架构亟需变革。
专用机思维再进化
另一方面,当网安平台开始走入不同应用环境,承载不同的流量负荷,便须较从前更为「专用化」,所谓专用不仅止于外观造型差异,还需与网安软体高度相容,俾使客户省却整合负担;此外尚须通过不同认证考验,例如电信类NEBS Level 3、轨道应用EN50155等等,好让客户直接获取垂直应用领域的入场券。刘宏益补充,因应M2M暨工业控制的关键任务导向,举凡防水、防尘、耐宽温、抗震等严苛环境的适应能力,也是网安平台的必备条件之一。
总括而论,展望未来,网路应用环境纷歧、流量变异,专用的网安平台将为客户所倚重,不仅长相独特,掌握多核心整合技术外,更需量身客制以因应特定应用需求。
以新汉为例,2013年间推出的网安新机,便依电信、工业控制、高吞吐量等不同应用需求而分门别类。在电信部分,推出的ATCA刀锋伺服器及机架式伺服器便经NEBS Level 3认证;在工业控制方面,则包括了通过EN50155认证的车载系统,以及适用于工厂环境的DIN-rail导轨型平台。至于高吞吐量解决方案,新汉则可依客户需求,搭配不同中央处理器、NPU、网路交换晶片,为客户量身打造专属的解决网安平台。