相關連結:https://www.ithome.com.tw/news/131386

需跳脫檢視網路設備規格思維,減少買到不合用於企業環境的產品。


17aa9234bf858d7d4d1b8a4cf28256f3.png

(Pulse Secure大中華區技術經理林佶駿認為,看懂資料表內容的意含,並向廠商釐清,是網管人員必備的技能。)

  想要採買資安設備,解讀廠商所提供的資料表(Datasheet),是初步了解相關資訊的管道。然而,若是IT人員只憑藉資料表上的內容,就提出採購設備的需求規格,認為解決方案符合公司的需要,很有可能在完成採購之後,才發現因為自己沒有留意到產品其他的細部規格,而買到了與預期落差極大,甚至是不適用的設備。

  究竟應該如何理解資料表上的訊息,讓企業能夠採買到合適的資安解決方案?這是IT人員長久以來面臨的難題。今年的臺灣資安大會裡,在資安業界工作多年的Pulse Secure大中華區技術經理林佶駿(Husky)特地以此為題進行探討。他說,IT人員往往根據資料表上所提供的內容進行解讀,忽略許多可能需要留意的地方。

設備的散熱機制應納入硬體規格的評估項目

  資安設備的資料表裡,究竟會透露那些資訊呢?林佶駿以次世代防火牆的規格為例,舉出了常見的10種項目,大致可區分成4種類型,包含了硬體外在規格、負載能力、可提供的功能,以及應用情境等面向。

  相較於軟體型態的產品,硬體資安設備的外觀,是IT人員能最為直覺判讀的部分,但即使是這些規格很容易理解,林佶駿認為,還是有不少應該確認的細節。一般而言,硬體資安設備普遍會列出3項規格,像是:設備的機身尺寸、提供的網路介面類型與數量,還有廠商提供選用的擴充模組等等。

  以機身尺寸為例,多數網管人員會想到的面向,通常是機房是否有足夠的空間能夠擺放設備,但是否具備足夠的散熱系統來搭配,卻可能被遺漏,若不幸買到不適合的產品,有可能因此影響正常運作。林佶駿表示,有別於交換器等網路設備,硬體資安產品的資料表裡,通常不會特別提到設備散熱方法,而在寸土寸金的機櫃空間之中,IT人員可能好不容易空出了位置,就認為可以將設備部署到機櫃裡,但要注意的細節,不只是尺寸合不合。

  林佶駿舉出過往銷售防火牆的經驗來說明,有客戶建置產品完成之後,發現設備竟持續在高溫下運作,使其無法發揮原有的效能,卻找不出原因。林佶駿接獲通知後,到了機房現場檢視才發現,由於他們採買的這款防火牆為加強散熱,特別規畫了從機身上方排出熱風的機制,但IT人員將防火牆與其他的網路設備,緊密部署在機櫃裡,沒有保留所需的散熱空間,使得防火牆無法有效排除多餘的熱氣。

  要避免這樣的狀況發生,林佶駿指出,基本上,網管人員可以從資料表裡的產品照片,得知設備散熱孔的位置,進而判斷空氣進出的流向,若是資料表上的產品圖片難以識別,IT人員可以向廠商索取高解析度的產品照片確認。

  另一個容易解讀而容易忽略詳細功能的外觀規格,則是資安設備內建的網路介面。林佶駿說,雖然許多廠商都提供RJ-45和光纖的轉換機制,但還是有少數資安設備不支援;還有向下規格的相容性,像是10GbE的RJ-45埠,能否切換成GbE或是100Mb模式使用。



須向廠商確認的資安設備規格資訊

926-14-%E5%9C%96%E8%A1%A802.png
在資安設備的資料表裡,有許多廠商不會特別提及的細節,資訊人員必須要求廠商進一步說明,釐清是否存在不適用於企業環境的情況,而林佶駿認為,這些部分必須由IT人員主動詢問。資料來源:Pulse Secure,iThome整理,2019年6月


效能標示有玄機,應留意是否符合企業使用情境

  許多IT人員挑選設備的難處,在於效能是否足夠因應企業所需。雖然防火牆等設備標示其吞吐量,是產品規格的基本資訊之一,甚至有些廠商還會列出用來運算的晶片型號,然而,廠商如何測得吞吐量相關數據,也會影響企業是否值得參考。

  最常見的差異,可能是廠商是否啟用各式進階防護機制,例如防毒、防入侵偵測、解析SSL流量等,導致量測的結果,會與單純開啟防火牆功能存在大幅度落差。不過,上述是容易從資料表發現差距的數據,林佶駿要提醒大家注意的是,廠商在測試時使用的封包檔案大小,則會與企業應用的環境有顯著關聯,以遊戲軟體公司為例,由於進出的封包普遍較小,這時廠商使用小型封包測得的吞吐量,較具參考價值。

  網管人員想要確認防火牆效能是否足敷使用,林信駿認為,應該最優先檢視的數據,其實是IMIX(Internet Mix)吞吐量的資料,因為,這代表的意義,是防火牆同時啟動多重防護機制下的效能,才能避免單看防火牆最大吞吐量數據,所帶來的盲點。

  還有處理晶片的運算效能分配方式,也是值得留意的地方。林信駿舉出他曾聽聞一臺具有8個連接埠的防火牆案例,廠商宣稱能因應10Gbps的吞吐量,卻告知資訊人員測試時,流量必須經由第1埠進入,透過第8埠輸出。探究其原因,在於這款設備配置了2個處理晶片,每個能因應5Gbps流量。其中,前4個網路埠共用1組處理晶片,後4埠則共用另1組,若是企業想要只使用前面4個連接埠,防火牆的吞吐量便無法負荷到10Gbps。

  此外,廠商可能會標示最大連線數(Max Session),或者是最大同時上線人數(Max Concurrent User)等資訊。但林佶駿指出,其實網管人員更應該確認的細節,是設備面臨超載時,會自動採取的措施,像是:有些防火牆同時上線人數超過承載量時,便會禁止新的使用者連線,部分設備則是採取放行並發出警示,而這些作法上的差異,會影響企業網路環境的運作。假如採取的方式與公司網路政策衝突,購買後也難以上線使用。

  另外,與設備支援連線數量有關的部分,還有相關維護服務費用的計價模式。林信駿表示,許多廠商對於最大同時上線人數的定義,都有各自一套標準,網管人員若是沒有弄清楚,企業很可能得為此支付超乎預期的費用。

參考使用案例,進而釐清產品運用的具體方法

  資訊人員不只要了解資安設備的性能是否足夠,能夠因應的企業網路環境規模,廠商列出設備的功能,可用性同樣也要進行確認。

  因為,有些項目仍在測試階段,還沒有正式推出,甚至是未來才會上線的功能;也有部分項目,必須搭配指定資安設備的情況下,才能運作,如果資訊人員沒有重新進行確認,很可能誤以為這款設備已具某些企業必須仰賴的功能,造成不必要的困擾。

  林佶駿談到了許多資訊人員需要確認的規格細節,但要了解產品是否合乎企業的需求,他認為應該要參考現在的資安趨勢,還有從廠商提供的使用案例(Use Case)進行了解。前者主要是避免買到過時的資安設備,而使用案例的部分,則是讓資訊人員確認,已經部署的企業過往所面臨的難處,而建置後能夠得到的效益,以及要如何運用這款資安設備的方式等訊息。

  在購買資安設備的技巧,其實也需要累積。林佶駿說,若是不小心買到不合適的設備,或許資訊人員得嘗試調整招標規格的內容;要是成效不如預期,則應該找出原因;至於了解資安的趨勢,則是能讓資訊人員進行長遠的規畫,而非盲目聽信廠商的說辭。有了這些經驗的累積,再加上規格的判讀技巧,資訊人員才能清楚企業真正的需求,並且理解產品所能達到的效果。


資安設備資料表內含的10種產品資訊

926-14-%E5%9C%96%E8%A1%A801.png
許多資安設備的資料表裡,主要會列出的訊息,包含硬體層面的規格與負載能力,以及軟體功能和其他系統整合能力等。再者,則是這項產品能防範現今何種威脅,企業的實際應用情境等,以協助資訊人員理解其用途。資料來源:Pulse Secure,iThome整理,2019年6月

上一個 回列表 下一個