客戶痛點
由於台灣在2023年才開始鬆綁關於金融機構上雲,因此客戶原先針對資安的防護措施皆部署於地端,然而仍有多項規定需要符合,因此在資安健檢後梳理出幾個客戶痛點:
- 地端設備無法因應現代化攻擊
駭客手法演進,純地端的防禦系統開始會出現幾個問題,像是設備老舊若要全部汰換需大筆成本支出、網路頻寬遇到大規模的攻擊無法因應而造成網頁當機的狀況出現。
- 資料不可經過中國節點
雖無法條明文規定,但金融業資料敏感,因此儘管鬆綁上雲,但相關資料仍不希望有機會經過中國的地方節點。
- 按流量計費擔心成本爆量
多數雲端服務已流量計費的形式進行,客戶本身為台灣大型交易中心,每日交易量大,且金融機構敏感容易成為駭客流量攻擊目標,因此格外擔心支出成本問題。
- 擔心完全阻擋也阻擋了部分客戶交易
許多雲端資安服務會利用完全阻擋的方式進行保護,但用戶在交易時其實會出現類似機器人的行為,因此若完全阻擋也會影響到客戶交易,希望能夠進行調整。
極風所提供的協助:
在不捨棄客戶既有地端設備的情況下,進行雲地整合防禦,藉由雙重防禦達成數位資安韌性,雲地共同協防。
- 雲地整合協防
沿用顧客既有的地端設備,利用Cloudflare進行大方向第一步的阻擋,隱藏源站IP並且利用Anycast架構導流可疑流量,完成全自動第一步防禦。再利用地端系統進行細部微調,設定部分開放條件,既可以逐步簡化地端設備,更可以做到協防備援的目的。
- 排除中港澳,改以其他鄰近節點進行清洗
除了Cloudflare本身方案即不經由中國節點外,為了減少任何資料外流之疑慮,極風雲創可協助客戶進行設定,將香港、澳門之節點進行排除,鄰近流量會改經由日本、韓國,以及台灣自身的節點進行清理,確保數據安全。
- One portal彈性切換
Cloudflare在流量計算上僅計算乾淨流量,因此若遇到大量攻擊也不需要當心費用暴漲,但由於客戶本身每日交易量大,因此在成本考量下,客戶評估有部分流量不需要經由Cloudflare,極風雲創協助客戶設定一鍵快速切換的功能,並可以利用地端條件設定,讓已評估安全的流量直接進入地端設備。
- 利用邊際運算雲端的Cloudflare AI全自動防禦,提供巨量攻擊與零日攻擊的防護
駭客攻擊的手法每日不斷地變化,如前面所提及,Cloudflare服務用於第一階段大範圍的全自動 AI 防禦,達到 Fight AI with AI 的目的,客戶可再依特定需求使用地端設備進行細部條件設定,例如在類似機器人的用戶行為出現時,Cloudflare可利用驗證機制進行第一步驗證與防禦阻擋,再由客戶利用地端設定進行細部處理排除,以不阻礙使用者交易為目的達到完全防護。
架構圖:
現況
成功抵禦大規模攻擊:
在調整完資安服務架構後,客戶就曾成功抵禦來自駭客的大規模流量攻擊,當日攻擊量較平時正常流量多出350倍,但經清洗後流量與日常流量無異,交易一切正常。
掌握確切流量數據:
過往流量靠客戶去做估算,並不精細,以此客戶來說,實際流量較原本預估流量相差近五倍,藉由導入Cloudflare服務後,可以更明確了解流量數據來源,並針對可疑流量進行排除。
極風雲創為應用資安服務專業廠商,長期持續專注雲端應用資安領域,為台灣應用資安服務的領導業者之一。專業技術團隊擁有卓越的資安知識,擅長對於規劃與導入雲端和地端資安並存的複雜架構,協助服務台灣諸多重要的金融、政府、製造產業的客戶,提供更快速及完善的安全資訊架構,來服務滿足客戶需求,成為企業的最佳資安夥伴。