根據市場趨勢研究,代管服務(managed services)明顯大幅成長,特別是在亞太地區。2004年7月Infonetics的報告指出,亞太地區是採行代管服務成長最快的地區,按服務而異,年複合成長率(CAGR)高達 28~31%。該公司同時預測在 2006 年將會有關鍵性的突破,代管服務的營收將超過非代管服務,而且此一趨勢將持續下去;到了 2008 年(僅僅兩年之遙),代管服務的營益將佔電信業者幾近 60% 的收入。
代管服務利用了新世代網路的優勢有單一、高效、快速、可靠及可擴充的架構,能夠支援各種應用。這對企業來說是極大的優勢,因為這讓企業不需自行執行複雜且昂貴的網路管理與開發工作,即可增進其通訊能力,進而提高生產力。
對電信業者來說,也可利用這種「新」網路服務的靈活性,大幅提升營運效率。對電信業者最為重要的事,為管理營運上兩個主要的商業動力:提高 ARPU(平均客戶貢獻度)和降低客戶流失。代管服務獨特的優點是能夠協助電信業者同時達成這兩個目標。
透過提供客戶一系列相關的服務,服務供應商可以提高 ARPU。當客戶使用的多種服務是他在與員工、供應商以及客戶溝通時不可或缺的話,客戶不會輕易轉換服務供應商。降低客戶流失對獲利性是極為重要的一環,因為這讓電信業者能夠以更長的時間來攤銷購置和服務的成本,從而幾乎是立即地提高獲利。
隨著過去幾年入侵防禦技術的大幅改善,服務供應商能夠提供的各種入侵防禦系統(IPS)服務項目也不斷增加。企業在規劃這些服務之際,謹慎行事將大有助益。舉例來說,雖然 IPS 是阻止網際網路上越來越多也越複雜的攻擊之關鍵功能之一,部分 IPS 供應商卻投機取巧 — 只為了在宣傳規格上的數字漂亮一點,而以犧牲完善的安全性來換取高一點的效能。
事實是,這並非唯一的途徑,網路安全不應成為效能的犧牲品。真正新世代的 IPS 產品(如 Juniper Networks SDX系列)及可執行實態式第七層協定雙向偵測,而部分IPS 供應商不是只能做到第四層偵測,就是預設執行此模式,使其產品在效能評比中有突出的表現。
有一種潮流正得到越來越多的共鳴:客戶可利用服務供應商豐富的專業知識與完善的設備來提供 IPS 服務。代管服務能取代由內部人員來管理安全系統,正成為服務供應商為其客戶提升價值的方式之一。
客戶願意交出多少控制權?
@內文:當服務供應商以代管服務的方式提供 IPS 時必須考量一些事情。服務供應商需要徹底瞭解客戶願意交出多少控制權。客戶不能只是讓代管服務供應商設定好整個系統(包括原則在內),接著監控和調整系統、設計必要的報表,而是服務供應商至少必須設計出層級式的套裝服務,其中客戶的控制權可高或可低,讓客戶自行選擇所需的等級。有些客戶在對供應商產生信心後可能會願意交出更多的控制權。 例如,代管服務供應商 Hitachi Systems & Service 與 Verisign 提供下列的服務項目:
@內標:
●設定和建置設備;
●監控、升級以及修補設備;
●原則管理 ─ 建立、更新以及調整原則;
●特徵管理 ─ 更新和調整攻擊特徵;
●對重要安全事故發出通知;
●按週或按月通報安全事故。
@內文:IPS 大部分以連線裝置的方式部署。因此,未加以管理的原則可能會導致惡意的傳輸被放行或合法的傳輸被封鎖。於是,有效的安全原則是在採行入侵防禦技術之際重要的因素之一。
有效的安全原則及安全專業知識
@內文:但是制定有效的安全原則需要對安全性有深入的專業知識 ,這正是代管服務供應商所具備的,同時還能在降低大多數各種規模的企業營運成本時,提升投資報酬率。
另一個需要考量的關鍵,在於服務供應商是提供用戶端設備(CPE),即 IPS 設備位於客戶場地,還是提供「乾淨管道」模式(即服務對使用者完全透明,且網路連線已由服務供應商「清掃乾淨」,無惡意軟體存在之虞,在客戶場地也不需要 IPS CPE)。不管是代管的 CPE IPS 服務,還是乾淨管道服務,Juniper都能提供解決方案,其各種入侵偵測防禦(IDP)產品能夠為各類型的用戶提供服務,從中小型企業、分公司/偏遠據點到大型企業。解決方案包括深入詳盡的報表、整合式防火牆/入侵防禦系統(FW/IPS)與獨立式 IPS 解決方案,以及完善的第七層應用感知架構。
現在隨著乾淨管道啟用解決方案的推出,將這些產品組合成一個服務建置系統(SDX) 的解決方案。SDX 是一種能夠協調和指揮 E 與 M 系列路由器和 IDP 活動的管理工具,讓電信業者與供應商以所需的速度快慢和簡單、可擴充以及完善的方式,為全部或一小群客戶,以各種套裝或客製化的方式來佈建乾淨管道。它還能夠完全運用客戶在路由器上面既有的投資,因此只需要增加少許的資本支出就能夠啟用,讓這個選擇格外引人重視。
@大標:增加更多新服務
@內文:簡而言之,服務供應商將能夠把從代管 IPS 服務所衍生出來的許多新服務一層一層架設上去。這些服務包括上述提到的範例,或是透過報表架構,從各種角度來分析資訊,讓客戶可以知道哪些是受到攻擊的主要資產、主要的攻擊來源、主要被用來提供攻擊途徑的應用程式、網路上應用程式的類型、最常用的應用程式,以及使用 P2P 的頻率等。可能性是無窮的,供應商可盡情發揮創意。
某些類型的企業比較可能以代管服務的方式購買 IPS。其中包括欠缺瞭解和管理 IPS 或其他裝置所需的專業知識、人員或時間的中小型公司。不過,大型企業也體認到 IPS 服務供應商所具備的專業知識與經濟規模使得代管模式特別誘人。
@大標:結語
@內文:IPS 會繼續演進。威脅的複雜性與數量會持續增加;相對地,高涵蓋範圍第七層架構將成為不二選擇。這樣是最好的發展。為什麼呢?因為,身為安全生態系統中的一份子,IPS 是網路上擁有大量應用層資訊與情報的關鍵點。因此,這是任何組織都能夠利用的重要資源,不但可以進一步瞭解網路的運作,並且為提升網路及改善整個企業生態系統提供無盡的選擇性。
(作者為Juniper Networks台灣區經銷業務經理)