IMPEVA Incapsula 榮獲 Forrester Wave評比為 DDoS 服務的領導品牌

IMPEVA Incapsula 榮獲 Forrester Wave評比為 DDoS 服務的領導品牌

知名的獨立研究機構 Forrester Wave™,針對DDoS分散式阻斷服務攻擊解決方案發佈了最新的研究報告:The Forrester Wave™ : DDoS Mitigation Solutions, Q4 2017,Imperva 以卓越的緩解能力及速度,在所有競爭品牌中拔得頭籌,贏得領導象限內的最高評比,也是企業客戶滿意度最高的服務供應商。

Forrester評比了11家DDoS服務供應商,進行了36項標準評估,Imperva無論在現有服務的提供上,或是發展策略上,都是位於領導地位的最佳品牌。這份報告讚許Imperva之所以可以獲得高分評比,主要的原因包括:能夠檢測、緩解第3、4、7層的攻擊、DNS攻擊、物聯網(IoT)殭屍網路攻擊和其他新型態的攻擊,另外還包括Imperva遍及全球的服務規模及快速緩解的能力。在這份報告中,Imperva也獲得一些客戶對整體品牌滿意度的最高評價,包括解決方案內容、對企業的效益、整體可用性等。

Imperva 總裁暨CEO, Chris Hylen 表示「我們對於能成為Forrester報告中的領導者感到驕傲,相信這證明了我們在幫助客戶保護其業務與客戶上的成功。」「對抗日益複雜的DDoS攻擊,Imperva Incapsula 能快速而輕鬆地保護雲端及企業內部的應用程式及基礎設施,而這也是保護客戶免於服務中斷(downtime)的重要關鍵。」

 

Forrester Wave 2017 Q4 DDoS 解決方案評比

 

下載完整報告內容

進一步了解 Imperva Incapsula DDoS 雲端防護

 

如何選擇符合需求的資料加密方式

如何選擇符合需求的資料加密方式

最理想的解決方案會依企業組織使用情形、面對的威脅和可接受的部署複雜度而有所不同。

對管理高層來說,資料加密可以視為單純的二分法選擇題:進行資料加密部署,讓公司資產受到保護;或是不進行加密(這也是基層人員要緊張的時候了)。無論如何,而對資安人員來說,保護機敏資料的實務作業並不是二分法這麼簡單的事。

要選擇哪種資料加密解決方案最能滿足企業需求時,有幾個考量的要素。資料加密類型可以依所部署的技術層級分為四個等級,磁碟或媒體、檔案系統、資料庫和應用程式。

一般而言,在低階層級進行加密較為簡單且不耗工,但能阻擋的威脅數量和類型也較少;相反的,在高階層級進行加密可以獲得的防護和阻擋的威脅也較多。

防護能力和部屬複雜對會隨著加密的技術層級增加而提升

全碟加密(Full-disk encryption, FDE)和自加密硬碟(self-encrypting drives, SED)會在資料寫入磁碟時進行加密,並在讀取磁碟資料時進行解密。

FDE/ SED 優點:

  • 最簡易的加密部署方式
  • 對應用程式、資料庫和使用者毫無影響(Transparent)
  • 高效能、以硬體為基礎的加密方式

FDE/ SED 限制:

  • 只能阻擋相當有限的威脅-防止儲存媒介的實體竊取
  • 缺乏對進階持續威脅(APT)、內部惡意人員或外部駭客的防護
  • 滿足最基本的合規要求
  • 不提供細部存取稽核日誌(audit log)

關鍵重點:

  • 雲端供應商提供的加密功能等同於FDE,附帶的限制如上述所列
  • FDE 對筆電這種容易被遺失或竊取的硬體來說是有用的,但對資料中心或雲端環境中常見的威脅,FED 並不管用

Thales 相關解決方案

了解更多:

檔案層加密是透過安裝在作業系統的代理程式(agent) 提供防護控管。Agent 會攔截所有對磁碟的讀寫呼叫(call),然後依政策確認資料該被加密還是解密。完善的檔案系統加密產品可依政策進行存取管控(包括特權使用者和應用程式),以及細部日誌(granular logging)功能。

檔案層加密優點:

  • 對使用者和應用程式無影響(Transparent),組織單位不用進行應用程式客製化或改變相關業務流程
  • 檔案層加密可支援結構化和非結構化資料
  • 建立強而有力的管控,防止特權使用者濫用,並符合一般合規要求
  • 提供可用於智慧防護和合規報告的細部檔案存取日誌與 SIEM 系統整合

檔案層加密限制:

  • 加密代理程式主要是針對作業系統,因此要確保所選擇的解決方案能涵蓋 Windows、Linux 和 Unix平台等常見系統

關鍵重點:

  • 對多數組織和使用情況來說,檔案加密可說是最理想的方式,能提供絕大多數使用情境所需的防護,且易於部署、運作

Thales 相關解決方案:

  • Vormetric 透明加密 :可進行結構化和非結構化檔案加密,還包括對特權使用者的存取管控
  • Vormetric 智慧防護 :可有效運用細部安全日誌
  • Vormetric 雲端加密閘道器:讓組織單位能在雲端儲存環境進行機敏資料加密

資料庫加密的方式讓資安人員能夠對資料庫內特定的資料子集(subset)或整個資料庫檔案進行加密。有許多資料庫供應商都提供這類的解決方案,一般通稱為透明資料加密(transparent data encryption, TDE)。

透明加密(TDE)優點: 

  • 在資料庫內即可保護資料
  • 建立強大的防護措施,阻擋各種威脅,包括惡意的內部人員(某些個案甚至是惡意的資料庫管理者DBA)

透明加密(TDE)限制: 

  • 單一資料庫供應商的解決方案無法應用到其他供應商上。
  • 無法跨資料庫品牌或環境內其他區域執行中央管理。
  • 只能加密資料庫的欄位(column)或資料表(table);配置文件(configuration file)、系統 log 和報告是未經加密的狀態。

關鍵重點:

  • 雖然資料庫加密技術能滿足特定、戰略性的需求,但卻無法讓組織單位滿足多重環境(heterogeneous environment)的資安標準,因此可能讓企業組織面臨顯著的資安斷層。

Thales 相關解決方案:

部署這個加密方式時,需加入應用程式的邏輯,以管理應用程式內的資料加密或符記化(Tokenization)。

應用程式加密優點:

  • 保護特定的資料子集,如資料庫欄位(field)
  • 在應用層進行加解密,也就是資料在傳送和儲存前就能先加密
  • 提供最強的保護,防止惡意的DBA和SQL資料隱碼攻擊(SQL-injection)
  • 符記化(Tokenization)也能大幅降低 PCI DSS 的合規成本及經常管理費用

應用程式加密限制:

  • 需與應用程式整合,因此得耗費開發成本及資源

關鍵重點:

  • 應用程式加密在安全政策或合規要求特定資料防護時能發揮最大效益。此外,像符記化(Tokenization)和保留格式加密(format-preserving encryption, FPE)等變體也能減少對資料庫的影響。
  • 經廣泛運用、具備以相關標準為基礎的 API 和簡單程式的解決方案可簡化應用程式的開發。

Thales 相關解決方案:

   

White Paper : Selecting Encryption for “Data-At-Rest” In Back-End Systems: What Risks Are You Trying To Address

“By Derek E.Brink, CISSP, Vice President and Research Fellow, IT Security and IT GRC. This report will provide you with explanations and actionable information that will help you secure your most crucial asset, your data.”

Download

PCI DSS 合規:可用於資料保護的加密方式

PCI DSS 合規:可用於資料保護的加密方式

作者:Ian Hermon-Thales 產品行銷經理

並非所有的加密方式都能提供您所需的保護範圍及彈性

針對帳號資料保護,並沒有一體適用的解決方案。每個組織單位的狀況都不同、面臨的威脅和想達成的防護目標(理論上應高於 PCI DSS 合規要求)也都不同。讓情況變得更複雜的是,現在企業還需要保護不同資料庫的資料,並和外溢部分(spill over)一起歸檔到測試位置(test location)、稽核紀錄和報告中-各種結構化和非結構化的資料都以不同形式出現在許多位置!

保護資料最常見也最有用的方式之一就是加密,包括硬體和以軟體為基礎的加密解決方案(cryptographic)。但是從簡易金鑰管理和可擴充性上選擇所需的加密方式,並不如想像中那麼簡單。

加密一般都部署在下面四個技術層級(technology stack)上:

  • 磁碟 Disk (或媒體media)
  • 檔案 File
  • 資料庫 Database
  • 應用程式 Application

磁碟(Disk)是最容易部署的層級,但所提供的保護也最少;而應用程式(Application)則是最難部署的層級,卻也提供較優越的保護。選擇哪個或哪些方式需要審慎的分析和計畫。

在不同技術層級進行加密的優缺點比較

一般而言,在較低階的技術層級中進行加密時(磁碟為最低階),通常不會干擾到其他層級的運作。在多數情況下,對用戶來說就像是透明的一樣,不需要做應用程式的調整。不幸的是,單靠磁碟加密(如資料庫或作業系統提供的免費功能)只能避免實體竊取,無法防止組織內外部的惡意人員。

轉換到最難部屬的層級,對應用程式進行加密,組織單位可以在一開始獲取資料時就保護主帳號(PAN),因此可大幅簡化 PCI DSS 合規流程並提供相當高的安全性。但對應用程式加密最大的缺點則是通常涉及重大的應用程式開發(可能所費不貲),且需要支援所有關鍵管理流程。

讓您的投資效益最大化的評估要點

Thales 關於資料保護的最新著作 “給初學者的PCI合規與資料保護” (PCI Compliance & Data Protection for Dummies) 中,我們將詳細研究各種加密技術,並提供不同類型組織最有效的實務建議和技巧。我們將確認哪些流程簡化是可行且具效益的(透過集中控管的方式),特別是需要金鑰管理的地方。

您能從這裡下載這本書,以了解更多內容。裡頭所提供的有用資訊將超過您在滿足 PCI DSS 要求時的所有需求。如果您想知道為什麼這很重要,那是因為將資料保護作為策略投資而非只是合規驅使義務來部屬才是最好的方式

 

延伸閱讀: