為合法正當使用者保持平均峰值連線
效能,在左支右絀的情形下,往往會
被先天有限擴充能力所擊潰。再者,
傳統防火牆對於情境解譯的能力有
限,致使其在
DDoS
攻擊期間,要如
何遞送交付應用服務,同時又能確保
正當要求之服務持續可行,往往無法
做出聰明的決策。
再者,傳統防火牆也缺乏像是
SSL
卸載之類較特別的功能,該功能
不僅有助於降低
Web
伺服器的負荷,
同時也能支援儲存檢測、再加密與憑
證。大部分傳統防火牆缺乏快速回應
變更與新興安全威脅的彈性,同時對
IP
地理位置定位、流量重定向、流
量操控、內容與連線限制等新服務的
提供也缺乏能力。對於目前仍有許多
以傳統防火牆為防護主力的資料中心
而言,無異是一大風險。
三、重新檢視資料中心基礎設施
安全,正逢其時
十多年前,防火牆技術才剛成熟
之際,當時資料中心主要支援各類型
用戶端及伺服器端應用程式,並多半
擁有最高僅
100
Mbps
頻寬的網際網
路連線。如今資料中心莫不擁有網際
網路連線,且頻寬動輒
40
G
100
G
甚至更高,而且幾乎所有資料中心皆
具備網站及
Web
應用程式。
資料中心幾近全面性的
Web
化,
進一步導致安全需求的重大轉變。如今
網路與安全專家正在尋求適當之資料中
心安全基礎設施,其主要考量點不外:
1.
攻擊規模的快速增加。
2.
連線效能需求,尤其是快速新增連
線的能力。
3.
少數特定
Web
Web
應用協定
之支援。
過去曾出現過攻擊流量達
100
G
的攻擊紀錄,同時不乏許多針對
20
G
30
G
50
G
等不同巨量程度
的持續性
DDoS
攻擊的報導,換言
之,當前處於大型資料中心環境中的
防火牆,必須具備因應數以千萬計同
時連線數的控管能力。儘管安全問題
的程度不斷提升,但資料中心內需要
被保護的協定數量卻相對減少。如今
企業專屬主從式架構應用軟體已逐
漸減少,同時並轉移重點至
HTTP/
HTTPS
SSL/TLS
FTP
DNS
身上,至於
TCP
對用戶端伺服器及
Web
應用而言,依然很重要。
雖然傳統防火牆專門設計用來為
各類型廣泛協定提供安全保護,卻並非
專門用來控管那些只會鎖定特定較小範
疇協定之巨大數量、種類與規模的安全
威脅。同時,儘管知名的防火牆都具備
安全防護企業網路邊界的能力,但卻不
盡然具備能滿足大型資料中心效能需求
的擴展性,即使能做得到,但卻可能是
企業難以負擔得起的天價。
正由於當前資料中心面臨許多安
全上的新需求,而被迫需要尋求、評
估並採買新的安全解決方案,其亦使
得近年來資料中心的安全支出呈現一
飛沖天的激增態勢。根據
Infonetics
Research 2012
年《資料中心安全策
194
2015
技術論壇
雲端運算與資料中心
資料儲存與備份
BYOD
與資訊安全
網路技術與應用