成功案例 - 中央政府
某政府單位利用L7產品控制雲端服務的加密行為,落實個資法適當安全維護措施
實際部屬情況 :
中央政府骨幹10G網路
在眾多國外大牌中往往能看見L7產品
SourceFire
Radware
Cisco
Juniper
Cisco
L7 Networks
Cisco
政府機關骨幹10G網路
SourceFire
Palo Alto
Cisco
Juniper
L7 Networks
Cisco
L7 Networks
Cisco
Cisco
用戶面對的問題和挑戰:
無法控制雲端服務的加密行為
既有的web security方案多針對非加密的http流量,然而當前許多雲端服務會自動轉導用戶至加密的https通道,導致既有設備無法管控,包括網頁郵件雲(Gmail / Outlook.com / Hotmail / Yahoo Mail)、社群雲 (Facebook / Twitter / Google Plus)、網路硬碟雲 (Dropbox / Google Drive / SkyDrive)、即時通訊雲(Line / Skype(MSN) / Google Chat / Facebook Chat)、網路電視雲 (Youtube)等。
無法落實個資法「適當安全維護措施」,備好無過失舉證擋
加密的內容無法被稽核,導致本署落實個資法「適當安全維護措施」,備好無過失舉證各行業都有各自的法規遵循,例如台灣的個資法、美國的沙賓法案、PCI-DSS, HIPAA, SEC, FINRA, FSA, IIROC, FERC, NERC, CFTC, NFA。他們都要求電子通訊必須要記錄並存檔多年供稽核使用。針對https的數位鑑識有其必要性,因為目前犯罪行為都偏向藏匿至加密的https通到中。
無法解析https加密的惡意中繼站
駭客在從事惡意活動時,為了掩藏自己的網路位址,會透過https與中繼站主機通信,對遠端的受害電腦進行操控、破壞,因此受害者會連結到有危害的網站,進而遭受到侵害,導致作業中斷、資料被竊取、中毒、網路斷線等危機。
技服中心公布的惡意中繼站清單每週發佈,人力鍵入費時費力。但若無法即時加入名單,將嚴重危害內部網路及相關營運作業。既有IPS、Firewall等資安設備,本身工作繁重,部分政府機關封包流量極大,設備開啟相關過濾功能,規則超過數千筆,可能會嚴重影響網路傳輸效能,造成效能低,網路延遲。
解決方案 :
控制雲端服務的加密行為
該單位之前對於雲端服務的細部行為無法進行管理,在使用了L7 InstantKey設備後,即可進行https解密,辦識到各大雲端服務的各項行為,例如針對網頁郵件WebMail夾檔進行封鎖,但仍可讀取郵件;例如針對網頁硬碟WebHD的檔案上傳進行封鎖,但仍可進行下載。
在L7 產品的「加密內容過濾」中只須將所有的WebMail設定成「夾檔阻擋」,即可針對公司內部所有上網的P2P應用程式加以阻擋,並將連線的資訊紀錄起來以利公司稽核使用。
在使用L7 產品阻擋Gmail / Outlook / YahooMail的夾檔後,仍然在許多不知名的小型WebMail無法做控管,但開啟了File Post控管功能後,即能對此類WebMail的夾檔做控管,且不會影響正常上網行為。
執行https行為與內容側錄,落實個資法適當安全維護措施」,備好無過失舉證
-
在開啟雲端網頁郵件紀錄功能後,能依照AD群組分級,針對全程https加密的Gmail / YahooMail / Hinet / Outlook的讀信、寄信、寄信夾檔可以正常記錄到行為與內容
-
在開啟雲端硬碟紀錄功能後,能依照AD群組分級,針對全程https加密的Google Drive / Dropbox 的上傳、下載行為與內容
-
在開啟雲端聊天紀錄功能後,能依照AD群組分級,針對全程https加密的Line / WeChat / Skype的聊天內容進行截取存檔,並能以關鍵字搜尋。
開啟解析https加密的惡意中繼站
開啟惡意中繼站阻檔功能後,能手動或自動更新國家資通安全會報的惡意中繼站黑名單。一般URL filter產品除了對全球性,且不同研究中心產生的惡意清單皆不相同,無針對區域性。技服所發佈名單,多屬針對有危害台灣安全的站點,甚至是已在某單位已發現的中繼站,所以並不一定會在全球性類別清單中。
為何選擇L7產品 :
-
高成熟度
國內第一家於2002年推出第七層應用辨識與管理系統,也是全球第一家推出專門HTTPS雲端服務解密內容過濾與側錄的公司,市場行銷13年,產品成熟度高。
-
雲端服務內容過濾技術
除能阻擋使用,更能進一步過濾細部行為動作,並能將細部動作進行頻寬管理
-
雲端服務內容記錄功能
能夠記錄網頁硬碟、網頁郵件、社群網站、即時通訊等等。
-
傳統服務內容記錄
能夠記錄傳檔、電子郵件、網頁、即時通訊等等。
-
網路應用管理
以gateway方式運作,不限作業系統,Windows / Mac / Android / Linux / iOS的應用皆能管理,且可以裝置OS做政策條件
-
能夠自動網址資料庫
能自動更新內建資料庫,分為60種以上類別,不足處可詢問AegisLab®雲端網址庫
-
各式報表提供
資安記錄完整,提供各類報表,可匯出成Excel、PDF等格式。若報表格式需做客製調整,可與原廠直接溝通製作。
-
專業技術服務
原廠support,經銷皆有技術能力。所有核心模組均自行開發,整合性最佳
客戶回饋 :
本單位多年來採用BlueCoat執行內容過濾,然而近來應用推陳出新,proxy架構僅能針對80流量做控管,卻無法對443解密並還原進出的內容尤。本單位在評比多家廠商後,決定採用L7 Networks的InstantKey-8000設備,安裝於公司對外連接的骨幹網路,阻斷所有可疑流量,並對開放的雲端服務進行側錄與過濾
導入前 :
-
無網路即時監控
-
無法稽核傳統網路內容
-
無法稽核雲端服務內容
-
無法監控網路應用程式使用問題
-
無法隨時出示任何流量報表
導入後 :
-
提供即時監控,輕鬆抓內賊
-
解密https讓內賊無所遁形
-
控管上班行為,提高工作效率
-
禁用Skype/Gmail等文件外傳
-
全面記錄上網行為留存證據
-
整合AD追蹤到人名而非IP