บทความล่าสุด

Home / ความรู้ทั่วไป / Network / Network Knowledge / Cisco Secure FTDv เทคโนโลยี Firewall จาก Box สู่ App

Cisco Secure FTDv เทคโนโลยี Firewall จาก Box สู่ App

, ,

Cisco Secure Firepower Threat Defense Virtual Appliance

FTDv Security by Cisco

FTDv (Firepower Threat Defense Virtual) นั้นเป็นนวัตกรรมที่สามารถทำ Hardware Box มาอยู่ในรูปแบบของ Software Virtual Appliance ซึ่งมันหมายความว่าการใช้งานลักษณะนี้จะถูกจับไปอยู่ในรูปของ Virtual Machine (VM) หรือ Kernel Base Virtual Machine (KVM) โดยการทำงานของมันค่อนข้างยืดหยุ่น โดยยกตัวอย่างเช่น เราสามารถออกแบบความปลอดภัยในการนำ FTDv ไปประยุกต์ใช้เข้ากับระบบ VM เซิร์ฟเวอร์ของเราได้ดั่งเช่น ภาพ FTDv On Virtual


ภาพ FTDv On Virtual

จากภาพ FTDv On Virtual จะเห็นได้ชัดเจนว่าระบบนั้นไม่มี Firewall กั้นระหว่าง Router กับ Layer3 Switch ซึ่งมันหมายถึงเราไม่ต้องกังวลกับเรื่อง Hardware Box มีปัญหาอีกต่อไป ซึ่งหลักการของ FTD Virtual นั้นสามารถออกแบบได้หลายแบบ โดยแต่ละแบบก็จะมีความยาก ง่าย ที่แตกต่างกันออกไป ซึ่งส่วนประกอกหลักที่เกี่ยวข้องกับการทำ FTDv นี้จะมี หลายๆ ส่วนสำคัญดังนี้

  1. เครื่อง Server จะเป็นเครื่องจริงก็ได้ หรือเป็น Hypervisor ก็ได้
  2. ระบบเครือข่ายเดิม เช่น Access Switch, Layer 2, Layer 3 ตามขนาดขององค์กร
  3. Software FTDv ในรูปนามสกุลต่างๆ เช่น 
    • .qcow2 สำหรับ KVM ต่างๆ
    • .tar สำหรับ RedHat
    • .tar.gz สำหรับ VMware
  4. License สำหรับใช้งาน FTDv โดยมีให้เลือกหลาย Version ดังนี้

  5. License สำหรับใช้งาน RA VPN (Remote Access Virtual Private Network) ถ้าต้องการใช้
  6. สกิลในการมองภาพ Virtual App ให้ออก โดยต้องจินตนาการภาพจาก Hardware Box ไปสู่ Application โดยจะต้องทำความเข้าใจการ Mapping ขา inside outside ลึกกว่าการตั้งค่าบน Hardware Box
FTDv ของ Cisco แตกต่างจากแบรนด์อื่นตรงไหน? ต้องเข้าใจก่อนว่า Cisco Next-Gen Firewall นั้นเป็นอุปกรณ์ Security ระดับต้นๆ ของโลกมีสอบ Certificate เฉพาะทางถึงระดับ CCIE คือสาย Security ของ Cisco ซึ่งโดยส่วนใหญ่ FTD Box นั้นจะถูกติดตั้งตามองค์กรใหญ่ๆ ขนาดกลาง - ขนาดใหญ่ เนื่องจากมันคือ Firewall แท้ๆ ไม่ใช่ SD-WAN ไม่ใช่ Load Balance ไม่ใช่ Firewall ผสมผสานแบบ Fortigate ทำให้ Cisco FTD นั้นโดดเด่นเรื่องการคัดกรองเป็นอย่างมาก โดยการทำงานของ Rule ยังเป็นแบบ บนลงล่างอย่างเข้มงวด ขณะที่แบรนด์อื่นๆ อาจจะกระโดดข้าม Rule ไปแล้ว และนี่คือจุดแข็งที่ Cisco FTD ยังคง Concept การคัดกรองตรวจสอบอย่างเข้มข้น Cracker ไม่สามารถเจาะเข้ามาได้ง่ายๆ ตั้งแต่เป็น Traditional แรกๆ ที่ยังไม่รับรู้ถึง Application จนปัจจุบันเป็น Next-Gen Firewall ที่รับรู้การโจมตีรูปแบบใหม่ๆได้ทุกแบบ เช่น
  1. Application awareness รับรู้ถึง Type Application ต่างๆ ทั่วโลกตั้งแต่ Application Protocol, Client Application และ Web Application โดยทั้งหมดสามารถกำหนดได้ว่าจะอนุญาตให้ใช้งาน หรือ ไม่ให้ใช้งานก็ได้ อีกทั้งยังมี Categories ประเมินระดับความเสี่ยงของ Application นั้นๆ ว่าควรปิดการใช้งานไปเลยหรือไม่
  2. Intrusion Prevention System (IPS) เป็นการตรวจจับ และป้องกันการบุกรุกจาก Cracker, Attacker, Hacker ได้แบบ Realtime พร้อมมีการ Update ฐานข้อมูลใหม่ๆ ผ่าน Cloud Database เสมอ โดยยังสามารถป้องกันการโจมตีแบบ Zero-day Attack ได้อีกด้วย ซึ่งมันคือการโจมตีตามช่องโหว่ของ OS ต่างๆ ที่ไม่มีการ Update PATCH ให้ทันล่าสุด เหล่า Cracker ก็จะอาศัยช่องโหว่นี้โจมตีเราจนได้ แต่ถ้าระบบมี IPS ป้องกันไว้แล้วก็มีความยากขึ้นที่จะเจาะระบบเข้ามาได้
  3. Threat Intelligence Director (TID) เป็นการหยุดภัยคุกคามใหม่ๆ ที่จะเกิดขึ้น หรือ การโจมตีรูปแบบใหม่ที่วิเคราะห์แล้วมีความเสี่ยงต่อระบบ Function นี้จะมีการ Update Database Intelligence ผ่าน Cloud ตลอดเวลา โดย Feature นี้ต้องใช้ RAM สำหรับประมวลผล 15GB ขึ้นไป
  4. Deep Packet Inspection (DPI) ทุก Packet ที่วิ่ง เข้า ออก Next-Gen Firewall จะถูกคัดกรองอย่างละเอียดตามที่กำหนด แถมไม่ทำให้ความเร็วในการใช้งานลดลงเลย
  5. AMP (Advanced Malware Protection) ใช้สำหรับตรวจจับ แรนซัมแวร์, ไวรัส, มัลแวร์, พิชชิ่ง, การโจมตีผ่านเครือข่ายไปยังเครื่องลูก หรือ เซิร์ฟเวอร์ ได้แบบครบวงจร เรียกได้ว่า Traffic ที่วิ่งผ่าน Cisco Next-Gen Firewall จะเหมือนการวิ่งผ่านเครื่องเอกซเรย์ประสิทธิภาพสูงโดยอัตโนมัติ
มี FTDv ของ Cisco อย่างเดียวก็ปลอดภัยแล้วหรอ? จริงๆ แล้วถ้าพูดในแง่ระบบปฏิบัติการต่างๆ จะมี Antivirus Bundle มาให้อยู่แล้ว เช่น Microsoft ตั้งแต่ Windows 10 ขึ้นไปก็จะมาพร้อม Windows Defender ส่วนใน Windows 11 ก็จะเปลี่ยนชื่อเป็น Windows Security อีกทั้งก็จะปล่อย PATCH ออกมาให้เราได้ Update กันบ่อยๆ หรือ เครื่อง Mac ก็จะใช้วิธีการป้องกันแบบระบุตัวตนก่อนจะเริ่มติดตั้งต่างๆ โดย Application ต่างๆ ของ Mac ก็จะถูกคัดกรองมาแล้วก่อนที่เราจะได้ Download กัน หรือ Linux เองก็จะมีความปลอดภัยในการ Install package ผ่าน Server Archive ต่างๆ ที่ผู้ผลิตจะต้องมีวิธีตรวจสอบไฟล์ต่างๆ ก่อนนำขึ้น Archive ของตัวเองอยู่แล้ว 

ซึ่งที่กล่าวมา Microsoft Windows ถูกโจมตีบ่อยสุดเพราะอะไร นั่นก็เพราะไม่สามารถปิดกั้นการ Download ไฟล์ต่างๆ ได้ ทำให้ Cracker อาศัยวิธีแนบ ไวรัส มัลแวร์ เข้าไปในตัวติดตั้งต่างๆ และไปแจกจ่ายตามเว็บทั่วไปให้โหลดได้สะดวกขึ้น ซึ่งถามว่า Mac กับ Linux ก็มีโหลดจากเว็บต่างๆ เช่น กันซึ่งแน่นอน ถ้าคนใช้ Mac หรือ Linux ปกติ เวลาจะโหลด หรือ ติดตั้งอะไรก็จะ ติดตั้งผ่าน App Store หรือ Linux Archive เท่านั้น

และการจะป้องกันการโหลดสิ่งเหล่านั้นให้อยู่หมัดก็คือ Cisco Umbrella เรียกว่าเป็น Super Protection บนอุปกรณ์ต่างๆ เลยก็ว่าได้ เพราะมันมี Feature ที่สามารถคัดกรอง IP, URL, Web App, Application ต่างๆ ที่เป็นภัยคุกคามได้อย่างขั้นสุด ซึ่งถ้าเทียบกับ Windows Security แล้วก็จะเหนือขึ้นไปอีกในด้านการใช้งาน Internet และท่องเว็บไซต์ต่างๆ โดย Cisco Umbrella จะต้องไปเทียบกับ Microsoft Defender for Endpoint, Crowd Strike Falcon, Bitdefender Gravity zone ในด้านการป้องกันระบบปฏิบัติการและท่อง Internet แต่ Umbrella เหนือกว่านั้นอีกขั้น เช่น 
  • Secure Web Gateway คอยคุมการท่อง Internet และ การ รับ-ส่ง ภายในบริษัท ในบ้าน หรือ เครื่องอาจจะกำลังถูกไวรัส มัลแวร์ พิชชิ่ง ต่างๆ โจมตีเข้ามาก็จะถูก Secure Web Gateway คัดกรองออกทั้งหมด แต่ถ้าเผลอเข้าเว็บนั้นไปแล้วก็ไม่เป็นไร Umbrella ยังคงมีการตรวจสอบ Realtime แบบ Control Protection Transparency ถ้า Cracker จะมาดักตบเอาข้อมูล หรือ มาวางไข่ก็โดนเตะตกไปโดยอัตโนมัติ
  • Cloud- Delivered Firewall เปรียบเสมือนมี Firewall ที่ผู้ดูแลระบบกำหนด Policy ไว้คอยติดตามไปด้วยทุกที่
  • DNS-layer security เป็นการเลือกใช้เส้นทางออก Internet ผ่าน Umbrella เพื่อตรวจสอบเส้นทางที่เป็นอันตราย เพื่อให้ผู้ใช้เข้าใช้งานเว็บได้อย่างปลอดภัย
สรุป ภาพรวมของ FTDv ว่าจะทำให้เราทำงานยากขึ้นไหม ต้องตอบอย่างนี้ครับ เนื่องจากมันเป็น Virtual Firewall ที่มีความสามารถเท่ากับ Firewall ที่เป็น Hardware ทั่วๆ ไป โดยสิ่งที่จะได้จาก Virtual เลยนั้นก็คือ เรื่องราคา ซึ่งบอกได้เลยว่าถูกว่า Hardware Box มาก ทั้งค่า License กับ App หรือ License ของ RA VPN ก็ถูกกว่ากันหลายเท่า ฉนั้นถ้าใครอยากลองศึกษาการทำงานของมันว่าจะนำมาประยุกต์ใช้กับบริษัทยังไง เพื่อให้บริษัทมีค่าใช้จ่ายรายเดือนที่ถูกลง แต่อย่าลืมนะครับการทำ Virtual จะต้องถูกใช้งานอยู่บน VM หรือ KVM เสมอ ฉนั้นโครงสร้างพื้นฐานจะต้องดีก่อนนะครับ ถึงจะหันไปใช้ Virtual App ซึ่งเราสามารถ Design ได้หลายแบบ เช่น
  • Design ให้อยู่ภายใน Server Farm ของบริษัท จะอยู่ในรูปของ VM ไหนก็ได้ หรือ เป็น เครื่องเซิฟเวอร์จริงๆ ก็ได้ขอให้มี inside outside เสียบให้ถูกต้อง และทำ Interface Gateway ไว้บน L3 หรือ บน FTDv ก็ได้
  • Design ให้ไปออก FTDv และ Internet ผ่าน Data Center ด้วย Public IP และโครงข่าย L2 VPN และทำ VLAN วิ่งหากันก็ได้ ซึ่งเทคนิคนี้เป็นเทคนิคที่น่าสนใจ โดยผู้ช่วยไอทีที่จะออกแบบได้ก็คือผู้ให้บริการ MPLS และมีให้บริการ Data Center เช่น KIRZ ซึ่งการใช้บริการ FTDv กับ KIRZ จะถูกควบคุมการใช้งานด้วย FMCv อีกชั้นเพื่อเป็นศูนย์กลางในการจัดการ FTDv อีกทั้งยังรองรับการทำงานที่ซับซ้อนได้ดียิ่งขึ้นด้วย ซึ่ง Design นี้ถ้าบริษัทมีการใช้งานเน็ต MPLS ควบคู่กับ Firewall ต่างๆ อยู่แล้ว ลองหันมาพิจารณาบริการของ KIRZ ดูครับ เพราะในระยะยาวจะคุ้มค่ามาก เนื่องจาก KIRZ สามารถทำราคาพิเศษ Firewall + MPLS ได้ โดยจะออกแบบให้ลูกค้าลดค่าใช้จ่ายรายปีได้มากขึ้น แถมได้ใช้งาน Firewall Enterprise Grade อีกด้วย


ขอบคุณครับ

ไม่มีความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น ( Atom )