許多網際網路服務提供商(ISP)都積極在尋找除了線路租費以外的增值應用以提升營收及使用者貢獻度,本篇即以第三者的角度以最新技術及產品提供給ISP業者作為規劃參考,從以下四個不同面向的網路服務層級,提出以創造營收為前題的相關建議。
(1) 網路基礎架構。
(2) 軟體定義網路。
(3) 資安代管服務。
(4) VoIP語音視訊服務。
(一) 網路基礎架構
ISP業者此部份都已佈建完成,所欠缺的是了解客戶是如何使用這條到Internet水管的行為,藉由客戶行為分析可掌握客戶喜好動向,對未來包裝不同收費套餐將有很大幫助。例如可以針對特定熱門的internet服務,給予VIP客戶保證頻寬;當然也可以依需要對特定客戶或特定應用程式做頻寬限制的動作。舉在全球深層封包解析(Deep Packet Inspection)市佔率居領導地位的Sandvine為例,不僅能做到以上要求,更能提供最豐富的商業智慧報表(如下圖所示),讓ISP業者可以有所本的提出未來最佳的行銷策略。
(二) 軟體定義網路
軟體定義網路(Software Defined Network, SDN)是近年來各家大型網路服務商所致力的新型網路架構之一,利用SDN平台很容易達成或擴充任何其它網路機能,更重要的是只要網路元件支援OpenFlow,任何網路元件皆能被統一納管,成為整體網路服務的一部份,同時因與硬體無關,進而也不會被單一的網路元件廠商綁架。藉由標準的程式界面可開放給更多的網路加值服務開發商貢獻所學,用更經濟實惠的價格,輕鬆擁有各式各樣豐富的網路機能。當然也可以藉由SDN平台對用戶或應用程式做有效的管理。舉已為許多電信業者所採納的Cyan為例,其系統架構示意如下圖所示:
(三) 資安代管服務
根據報導,企業對資訊安全的重視程度已提升至董事會層級,對資安的輕忽可能會造成企業的萬劫不復,雖然知其重要性,畢竟專業的資安還是要交給專業可信賴的團隊負責,而企業則專心在本業的經營才是致勝之道,因此若ISP能提供良善的資安軟硬體設備及服務將對企業有巨大的吸引力,而且ISP掌握了客戶到網際網路的線路,再進階提供資訊安全的加值服務幾乎是水到渠成的事情。
以下針對客戶為何會選擇外包資安服務的原因做了些整理:
- 一般企業經濟規模無法負擔所有資安自建支出
- 一般企業缺少專業的資安人才
- 企業可更專心於本業
- 24 X 7 X 365監控服務
- 最新軟硬體資安服務
- 網路攻擊的手法日新月異防不勝防
- 降低資安事件損害
- 降低資安事件誤報率
- 提供集中化監控、告警、分析及報表管理功能
- 提供事件關聯性分析與優先嚴重性分析
- 僅需投入少量資源可以得到最大效益
一般而言,資安代管服務的範疇可分為三大部份
(1) 客戶端資安設備代管
(2) 雲端資安服務
(3) 專業資安諮詢
完整的資安代管範圍如下圖所示:
許多較為保守型的企業客戶,希望花了錢就要看到設備放在自己機房,但又希望要有專業人士來看管,因此ISP就可以利用SIEM(Security Information & Event Management)的設備(如HP ArcSight)將遠端不同來源的資安設備事件收集處理與歸納分析,其事件運作流程示意圖如下所示:
SIEM的處理當然不光是客戶端的資安設備事件而己,在ISP自身資安維運中心(SoC)的各項資安事件亦可以做統一收集、歸納、關聯分析,進而能對每日數以千萬計的網路事件作即時有效地過濾,整理出最重要的事件,再經由預先設計的工作流程,讓每項資安事件皆能如期如實如質的有效解決。
針對雲端資安服務可提供的內容,特提出以下較具特色的解決方案供ISP業者參考:
(1) DDoS緩解服務:
DDoS在現今全球網路互通的世界裡已變成隨時可能發生的攻擊行為,甚至已有人在網路販售DDoS as a Service的服務,存心不良人士僅要花少許的錢即能對那些以網際網路為生的企業產生大大的傷害,DDoS已是隨時隨處可得的網路攻擊手段,如何緩解DDoS已是企業當務之急。雖然許多現成的資安設備如Firewall或IPS都有內建DDoS緩解的機能,但面對大規模而來的DDoS攻擊,受限於企業對外頻寬有限,需較長緩解的時間可能不被企業主所接受。因此,以境外DDoS清洗中心為主的Prolexic則是提供了ISP業者最佳利器,主要特色包含有:
| 雲端技術 |
特色 |
說明 |
| 雲防護 |
殺敵於千里之外 |
搭配國際清洗中心,境外阻絕攻擊流量,不會讓DDoS流量擁塞在客戶網路出口 |
| 更大的線路頻寬容量 |
無人能及高達1.8 T的對外總頻寬,可快速消化DDoS攻擊流量 |
| 累積最多的服務經驗 |
身為最早DDoS雲端緩解服務提供者,每年阻擋了數以萬計各式各樣的DDoS攻擊,擁有最豐富的經驗 |
| 更完整的專業技術 |
可分辦超過100種以上的DDoS攻擊模式,對於新誕生的攻擊模式亦能在第一時間產生對策並進行緩解 |
| 更專注的資源投入 |
所有的頻寬皆用來當作DDoS清洗之用,無其它網路服務混雜其中 |
| 更有彈性的服務選擇 |
提供不同的服務套餐供客戶依需要作選擇 |
| 端便利 |
更好的服務保證 |
簽訂SLA,讓客戶花的每分錢得到確實的保障 |
| 絶佳的安全 |
針對HTTPS加密流量,提供一符合國際資安要求的私有硬體放置在客戶端,進行即時攻擊行為的監控與阻擋 |
| 更好的支援服務 |
提供7X24X365全年不間斷的支援服務,收集全球各地的DDoS資訊,同時即時通知客戶 |
| 更放心的專注本業 |
客戶再也毋需擔心DDoS攻擊手段太複雜或流量太大,可充分專心於本業 |
| 透明可視 |
客戶專屬網站,提供即時、可視的報表查詢,即時掌握網路狀況與防護效益 |
(2) Hosted UTM/IPS:
在雲端資安維運中心提供給企業客戶的UTM/IPS,最好要考慮具有以下雲端機能的UTM/IPS
(a) Shared:單一實體機器,可做不同邏輯切割的Virtual UTM/IPS。
(b) Dedicated:因應雲端虛擬化環境,UTM/IPS應具有虛擬化的軟體版本作為佈建。
Fortinet Fortigate及HP TippingPoint皆具有以上二大特色,可充份滿足客戶不同的需求。
(3) Hosted Web/Email Protection:
Web及Email應該是一般企業日常對外/對內工作不可或缺的兩大服務,而ISP掌握了進出企業Web/Email所有流量,所以ISP應該利用此一優勢提供給企業用戶在Web/Email的攻擊過濾、阻擋及保護。同樣地,選擇解決方案時亦要考處具有Shared或Dedicated對應產品。
(4) 實體資安監控:
大部份的IT資安設備皆需要以網路為基底發揮資安功效,但有許多資安事件卻是來自於實體的攻擊,因此視訊監控已變成企業一個基礎設施。但維護VMS(Video Management System)又是另一個頭大的問題,另一個時代趨勢即是使用雲端技術將IP/Analog CAM各式不同的監控視訊,統一轉換及集中儲存,讓企業主可透過各種固定或移動終端設備(PC/Tablet/Smart Phone)來即時觀看或歷史查詢。Eagle Eye Networks提供了完整雲端視訊監控系統解決方案,支援類比或各類符合ONVIF的數位攝像頭,同時還對傳輸或儲存中的資料做加密,讓客戶使用視訊監控上更加安心,不用擔心資料被攔截竊取,其示意圖如下:
ISP除了雲端資安服務外,若能進一步的主動出擊,提供企業專業的資安諮詢服務,將與客戶闗係更加貼近,更加獲得客戶的信任,相闗的資安專業服務如:
(1) 弱點管理(Vulnerability Management):
當企業客戶進行了一堆資安政策及措施,到底目前網路或主機是否仍有漏洞未補,最好要有一客觀的工具進行量測,因此ISP業者即可提供專業的弱掃服務及報表,並提供後續報表解說,讓企業客戶對目前的資安風險獲得某一程度的了解,而全球領先的Rapid7 Nexpose弱點掃瞄工具不僅在Gartner評比上領先群雄,同時它可以全方位對主機/網路/網站/資料庫做個別的掃描並產出對應的報告。
(2) 滲透測試(Penetration Testing):
弱掃之後,被識別出存在的弱點是否會讓駭客有機可趁,掃不到的弱點是否就一定安全(如密碼字元不夠嚴謹),此時則需要用滲透測試的方式模擬成駭客,確認系統所能抵擋攻擊的能力,滲透測試與弱點管理搭配才是完整的資安健檢。Metasploit早已是世界公認最佳的滲透工具,被Rapid7收購後,使其滲透機能在使用上更加方便及強大。
(3) 程式碼安全檢測(Code Static/Dynamic/Runtime Analysis):
系統安全的根本是來自於程式原始碼,程式原始碼的安全確認需要藉由專業的分析工具來協助程式開發人員了解有安全疑慮的程式碼在何處,而程式開發人員則可以更專心地在本業上開發。HP Fortify已廣受金融機構及研究單位所使用,可針對程式開發至上線的生命周期做完整的資安管理,示意圖如下:
(四) VoIP語音視訊服務
傳統的語音是經由電路交換(TDM, Time Division Multiplexing)而成,而隨著近年網路頻寬及品質的日益提升,在IP分封交換(Packet Switching)上高質量地跑各式多媒體語音視訊服務已非難事,因此ISP業者可藉由強大的VoIP多媒體中央服務系統,提供企業除數據服務外的語音視訊加值服務。Broadsoft則是在VoIP多媒體服務平台的領導者,可應用在不同性質的網路上,同時經由開放的程式界面,可與各式各樣既有的IT服務相結合,主要示意圖如下:
經由統一通訊(Unified Communications)的平台佈建可使企業內部的溝通更加有效順暢,另外也有各式App的提供,讓目前最常用的行動通訊裝置亦可享有UC的便利。ISP業者可以針對不同的客戶需求,提供不同的UC服務套餐,以符合各式規模及需要的企業客戶。
ISP業者也可以自行開發多樣客製化的多媒體服務,利用Dialogic的媒體伺服器(Media Server)為平台可事半功倍的開發,如下圖所示。搭配連接至其它VoIP網路的會話邊界控制器(Session Border Controller),或是連接至PSTN的各型媒體閘道器(Media Gateway),或是與IMS/NGN Diameter相連的信令交換器,Dialogic皆可提供ISP業者效能優良之對應解決方案。
總結
ISP以既有的IP網路為基底,提供企業除線路以外的加值應用增加營收,已是現今及未來不可阻擋的趨勢,從客戶上網的行為分析到軟體定義網路,為未來無限可能的加值服務奠定基礎;資訊安全託管服務也是企業確保競爭力重要的一環,VoIP語音視訊的加值則可以讓企業工作效率能更加的提升,其中ISP業者皆扮演了十分重要的平台角色。最後以下圖做一個總結:
對以上的產品或解決方案有任何的需求或想進一步的了解,我們十分樂意提供相闗的支援服務。
懇懋科技 02-2748-0099
文章來源:技術部 Richard Chiang
![\"\"](\"http://www.phitech.com.tw/news/img/news_img/images/%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B/026-%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B-1.jpg\")
![\"\"](\"http://www.phitech.com.tw/news/img/news_img/images/%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B/026-%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B-2.jpg\")
![\"\"](\"http://www.phitech.com.tw/news/img/news_img/images/%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B/026-%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B-3.jpg\")
![\"\"](\"http://www.phitech.com.tw/news/img/news_img/images/%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B/026-%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B-4.jpg\")
![\"\"](\"http://www.phitech.com.tw/news/img/news_img/images/%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B/026-%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B-5.jpg\")
![\"\"](\"http://www.phitech.com.tw/news/img/news_img/images/%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B/026-%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B-6.jpg\")
![\"\"](\"http://www.phitech.com.tw/news/img/news_img/images/%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B/026-%E6%8A%80%E8%A1%93%E9%96%8B%E8%AC%9B-7.jpg\")
