基於物聯網之盛行,帶動了金融業及物流業之營運量,而其中金融業必須面對重要的金融資料更加安全的儲存跟傳輸,同時又要提供高階商務應用及虛擬化更快速可靠的連線,對於要同時權衡網路效能與安全控制的兩難,如何尋求相對的解決方案,除了能夠保護傳輸中的資料、語音、視訊等機敏性資料,更能提高網路傳輸效及可靠性,以期能夠同時兼顧效能與安全性,已成為管理者所面臨的壓力。

 

加密傳輸中的資料
雖然有許多公司瞭解儲存裝置安全與終端裝置安全的需求並符合需求規定,但只有少數公司瞭解,透過網路服務供應商(ISP) 網路所傳送的資料 (即使在網路標示為私有的情況下) 也必須轉譯為無法讀取、無法使用及無法解密來加以保護。無法以這種方式保護資料的公司,會讓資料維持純文字形式,而使其曝露在遭竊、遭複製與未經授權監視的風險中。

 

良好網路加密機制要件
面對各種不同網路加密機制,企業必須了解箇中的差異,最重要的是,了解一個良好網路加密機制所應該具備與考量的重點為何。首先,當前企業已導入的網路加密機制,多半僅止於Layer 3網際網路的加密而已。事實上,除了要對Layer 3傳統網際網路IP封包進行加密保護外,整個網路加密機制的保護面還必須涵蓋至Layer 2乙太網路,以及Layer 4 MPLS專線網路上才行。
過去認為MPLS專線絕對安全無虞,這是不切實際的說法,因為事實上它是以明碼的方式在傳輸,所以傳統IPSec加密通道上的資料都遠比其安全得多。
良好加密機制的第二個要件,莫過於加密機制是否會對現有網路頻寬或應用程式造成影響,並增加延遲(Latency)。其中尤以串流影音、語音電話(VoIP)及視訊會議等對延遲特別敏感的應用為然,這點特別會在傳統VPN加密通道中強烈感受到。
另一要件,網路加密機制最好能有第三方認證,來確保其在安全上的完備程度。

 

選擇加密機制的考量重點
除了前述可判斷加密機制好壞的標準外,面對網路加密機制的導入,必須注意以下考量重點。首先,網路加密機制是整個網路安全的一部分,它不是網路安全的唯一或全部,但卻是網路安全缺一不可的機制,尤其對身處企業防火牆外部的資料安全保障為然。
第二,要兼顧資料本身的完整性(Integrity),其為因應個資法上的考量重點之一。
第三,必須做好封包的驗證(Authentication)與確認。再來則將考量重點放在金鑰上,亦即金鑰的定期變更非常重要,否則當前只需要透過較高等級的電腦,抑或集結多台電腦的殭屍網路,便可輕易破解金鑰。
最後,基於確保網路安全,網路加密機制必須是永遠開啟(Always-On)的功能與機制才行,甚至必須具備網路安全加密感知能力;換言之,企業必須建立一個全天候24小時的加密監控機制。否則不論是企業網路遭入侵,或者企業受內賊所駭時,都可能讓重要資料因而外洩出去。尤其從史諾登事件中可以確認,當前駭客具備直接從交換器、路由器將資料截走的能力,如果沒有加密,無異是將機密昭告天下。
發跡於美國匹茲堡,前身名為CipherOptics的Certes Networks,是一家提供網路加密技術,以及加密政策與金鑰管理的領導廠商。該公司旗下CEP(Certes Enforcement Point)多層加密設備,支援Layer 2乙太網路Frame加密、Layer 3 IP封包加密及Layer 4 IP與多協定標籤交換(MPLS),網路上通訊協定之加密。同時企業亦可透過該公司旗下TrustNet Manager管理系統,來進行加密政策與加密金鑰的管理作業,該系統可以在不影響應用程式與網路效能的狀況下,支援群組加密政策、無通道加密、動態流量、備援之網狀或集中星式網路(Hub-and-Spoke)等網路與多點傳送應用。
通常加密設備必須做到金鑰產生、加密政策建立,以及加解密處理等3個層面的基本作業。傳統加密方案通常需對3個作業同時進行處理,否則其加密效能不彰。Certes Networks 的技術是將這3者拆開,前2項交由TrustNet Manager集中控管,至於加解密動作則交由專屬硬體裝置來處理。透過群組加密機制,可以立即進行解密,中間完全不用進行金鑰與政策的運算,所以加密效能極佳。

相 關 產 品