【網路流量加密平臺可延伸解析應用程式運用情形】Gigamon推出網路應用透視模組

隨著企業的網路環境越來越複雜，涵蓋內部網路、機房，以及雲端服務，不再有明顯的內外邊界區分之際，從監管網頁應用程式流量著手，已有許多資安廠商在自家產品線中，推出網路流量的事件收集與分析（Application Intelligence）功能，藉由監控這些網頁應用程式的存取動態，來找出企業可能出現的攻擊事件。專精於加密流量控管的Gigamon，最近也開始在GigaSmart平臺裡，納入相關機制，讓企業得以快速取得應用程式活動跡象，該公司產品管理部門主管Preetham Gopalaswamy特別來臺宣傳這項新功能。

隨著企業運用網路的方式出現變化，面臨數位轉型浪潮，出現了敏捷開發流程與極為分散的應用程式，使得網路環境變得極為複雜，而且，大多數的網路流量，都是經由HTTP或HTTPS協定傳送，不若以往能基於網路協定和連接埠，區隔出特定的應用程式流量。Preetham Gopalaswamy指出，許多企業正在進行數位轉型，雖然，首當其衝的問題，仍然是轉型的願景，同時，應用數位工具的作法，要能切合公司原本的自身文化。但是在轉型過程會導入的各式應用程式，企業不只需要面對上述網路環境的變化，同時還要兼顧效能與使用者體驗，以及資安及法規的要求。因此，Preetham Gopalaswamy認為，透視網路第7層的內容，便成為管理網路流量的切入點，並且能從中找尋潛在的資安事件。

在Gigamon推出Application Intelligence之前，網管人員還是能藉由GigaSmart平臺，使用該平臺內建的過濾機制，也就是Application Packet Filtering與Application Session Filter，處理封包和連線通訊過程，手動設定條件，針對指定的應用程式逐一進行控管。隨著企業需要管理的應用程式數量出現爆炸性成長，而且普遍需要透過網路第7層的流量，來識別應用程式存取行為，為此，Gigamon也依據上述激增的企業需求，開發出Application Intelligence。

為何企業會需要自動化套用政策？以往企業所需列管的應用程式數量不多，網管人員或許能夠定期維護相關的管理政策。但隨著企業運用的應用程式範圍，不再局限於自行內部建置的型態，也包括了各式各樣的雲端服務。同時，除了公司的桌上型電腦，員工還會透過自己的筆電與行動裝置上網。再者，企業內部越來越多的物聯網裝置，流量也應該受到管理。若是企業完全倚靠網管人員自行設定這些政策，難免會出現缺漏的情況，或者，無法跟隨網頁應用程式與雲端服務的改版，即時調整。

而在Application Intelligence當中，內建了超過3,200種常見的應用程式範本，只要直接在管理介面上勾選，企業的網管人員就可以加以管理網路流量，並且傳送到指定的資安設備進行檢測，可大幅減輕管控流量負擔。

相較於Palo Alto等其他資安廠商推出的網路流量分析平臺，Preetham Gopalaswamy認為，Gigamon提供的Application Intelligence模組，特色在於網路流量的收集更為完整，訴求在南北向網路流量之餘，GigaVUE節點同時也收集內部網路設備之間的流量，因此，應用程式存取的面貌將會更清晰。而這些由Gigamon節點設備所收集到的網路流量資料，可進一步傳送到資安事件管理（SIEM）平臺，讓企業著手進行深入調查。

依據主要功能區分的角度來看，Gigamon Application Intelligence提供了3種模組，分別是Application Filtering、Application Metadata，以及Application Visualization軟體。它們所對應的流量管控功能，涵蓋了應用程式流量控管與資訊進階運用，以及視覺化呈現應用程式的執行趨勢等。其中的Application Filtering，以及Application Visualization，已正式推出，Application Metadata則將於7月上線。

解析應用程式流量內容，並提供流量分布圖表

在Gigamon Application Intelligence的3種功能模組裡，首先，我們可透過Application Filtering過濾應用程式流量，再引導到指定的資安檢測設備，這是相當重要的功能，企業能藉此指定檢測流量的策略。

例如，對於員工使用臉書和推特社群網站的行為，這些流量可能要送到上網安全閘道，檢查其中是否含有潛在威脅；針對上傳到Dropbox、GitHub的檔案，以及程式碼，可能必須經由資料外洩防治（DLP）措施，過濾傳輸機敏資料的行為；對於企業使用的MongoDB資料庫，以及Elasticsearch搜尋引擎，企業可能特別需要監控它們的效能，將存取流量交由網路流量的管理工具進行監控等。Preetham Gopalaswamy表示，若是流量沒有經過分門別類，全數直接交給資安防護措施執行檢測，企業所需花費的資源將會非常龐大。

而在Application Filtering的流量導引政策來看，Preetham Gopalaswamy表示，這個模組的功能，涵蓋工業控制系統（ICS）、影子IT（Shadow IT）等層面，能夠進行識別和管理，或是進一步加以隔離。

對於企業所有應用程式的流量情況，Gigamon則是透過Application Visualization，提供分析圖表，網頁應用程式的流量使用狀態，網管人員能夠更容易掌握。不過，Preetham Gopalaswamy表示，這項元件目前的功能，仍然以提供應用程式流量的監控資訊為主，企業若要從中找出可能的資安事件，仍然需要搭配其他分析工具，而Gigamon也計畫將加入更多分析資訊的呈現。

提供圖像化的流量資訊

Application Visualization提供了易於判讀的應用程式流量圖表，讓網管人員能快速得知大量占用流量的應用程式，以及流量運用走勢。

能指定特定應用程式流量的管理政策

Application Filtering能過濾與分派網路流量，將流量交由特定的網路監控工具或是資安設備，進行分析。圖中的設定裡，便是指定將雅虎網站流量，傳送到Wireshark進行封包檢測。

可輸出多種格式中繼資料，到資安系統進一步運用

在GigaSmart平臺裡，有了Application Intelligence，將應用程式的流量態勢初步彙整後，網管人員能直接由Application Visualization檢視，然而，Preetham Gopalaswamy強調，這些已識別的網路流量，可轉換成中繼資料（Metadata），透過Netflow、IPFIX，以及CEF等格式檔案，傳送到企業的資安事件管理平臺上，執行深度分析作業。而這個將網路流量整理成中繼資料的模組，稱為Application Metadata。

在Application Metadata可彙整中繼資料的識別元素而言，總共逾5,000種以上。以前述的檔案共享雲端服務Dropbox、Box等而言，中繼資料可能會包含的內容，像是使用者登入服務，或是檔案上傳、下載的記錄等；企業若要監控資料庫的活動，像是MongoDB或是PostgreSQL的動態，在登入的資訊外，中繼資料還會記錄操作識別碼、傳送訊息長度等。

至於SCADA與工業控制系統的部分，Application Metadata會在中繼資料列入功能代碼、控制標籤，以及記錄下系統所儲存的資料等內容，因此，這套分析平臺，也能夠包括這些工控設備。