Keamanan adalah Sebuah Proses
Please find the English language post, by Kunaciillan Nallappan, from which this was adapted here. Pasar e-commerce sedang berkembang dengan pesat di Indonesia. Setidaknya di tahun 2014 ini saja, sudah ada lebih dari 5 startup dan perusahaan yang membuka situs e-commerce baru . Menurut data dari Kementerian Komunikasi dan Informatika, pasar e-commerce di indonesia telah meningkat hampir 2 kali lipat pada tahun 2013, sebesar 130 triliun rupiah, dibandingkan pada tahun 2012, yaitu sebesar 69 triliun rupiah . Peningkatan ini menjadikan Indonesia sebagai negara dengan pertumbuhan e-commerce tercepat di dunia. Meningkatnya pasar e-commerce ini, juga turut meningkatkan volume transaksi perbankan online. Dengan turut bertumbuhnya aktifitas transaksi perbankan digital, juga membuka peluang para ‘penjahat’ cyber dalam melakukan aksinya jika sistem transaksi tidak di lindungi dengan benar. Bayangkan jika informasi tentang kartu kredit dan 3/4 digit nomor verifikasi karu kredit, yang umumnya disebut dengan ‘CID number’, bisa direkam oleh pihak-pihak yang tidak bertanggung jawab. Tentu saja hal ini akan merugikan Anda secara materi karena pelaku bisa melakukan transaksi memakai kartu Anda. Dengan mempertimbangakan resiko yang mungkin terjadi, bagaimana lembaga keuangan dan layanan e-commerce bisa mencegah dan menanggulangi resiko-resiko ini serta meningkatkan keamanan dan kenyamanan bagi para pelanggan mereka? F5 Networks, melihat keamanan sebagai sebuah proses dan oleh karena itu harus dikelola dengan benar. Sebaiknya ahli keamanan, yang bertugas mengembangkan kebijakan serta peraturan keamanan di dalam perusahaan, dan programmer, yang mengembangkan software atau aplikasi, dapat bekerja secara bersama-sama dalam mengembangkan sistem yang aman. Dalam melindungi aplikasi yang menjadi aset penting perusahaan, keamanan sebaiknya tidak hanya diserahkan ke software engineer saja, tetapi sebaiknya juga turut melibatkan profesional di bidang keamanan. Dengan pendekatan tersebut maka beban pada programmer software untuk melakukan coding untuk kebijakan-kebijakan keamanan dapat di pindahkan ke profesional di bidang keamanan yang sudah memiliki kredibilitas. Dengan menyikap keamanan sebagai sebuah proses, maka dapat dikatakan bahwa keamanan merupakan proses yang menyeluruh,yang memiliki kebijakan keamanan untuk mengatur berbagai area dimanapun ada interaksi antara pengguna dengan perusahaan - perangkat, akses, jaringan, aplikasi, dan perangkat penyimpanan. Melihat kompleksitas dari beragamnya cara pengguna dalam mengakses situs/aplikasi, hal ini mendorong perusahaan untuk melakukan hal yang serupa dengan BPR/ business process re-engineering atau sebuah strategi pengelolaan bisnis yang fokus untuk menganalisa dan mendesain proses bisnis dan alur kerja di sebuah perusahaan. Hal ini, jika dilihat dari sudut pandang CFO, dapat menghemat biaya operasional dan modal yang besar. Sebagai contoh, dalam tren saat ini, ketika suatu perusahaan ingin mengamankan aplikasi mereka, maka mereka akan menggunakan application delivery controller (ADC). ADC didesain untuk mengamankan aplikasi yang diakses oleh para penggunanya. ADC berperan sebagai gatekeeper/‘’penjaga gerbang” yang mengamankan aplikasi dengan cara mencegah pihak-pihak yang tidak memiliki otorisasi untuk mengakses aplikasi, dan menambahkan kemampuan bagi perusahaan untuk dapat menanggulangi serangan-serangan yang ditujukan kepada aplikasi. Tantangan lain yang dihadapi oleh CIO saat ini adalah, bagaimana mereka bisa melindungi sistem mereka seiring meningkatnya ancaman serangan cyber yang semakin masif dan canggih, di samping itu juga munculnya keinginan untuk memanfaatkan cloud untuk berkembang dan menghemat biaya, namun akhirnya menyebabkan keamanan jadi tidak terkendali. Dalam menghadapi situasi ini, perusahaan membutuhkan solusi-solusi keamanan yang inovatif, yang mampu memahami sifat aplikasi-aplikasi yang digunakan perusahaan dan juga kebiasaan pengguna, serta mampu menerapkan kebijakan keamanan yang efektif dan tidak menurunkan kualitas pengalaman pengguna. Bagi F5, keamanan merupakan bisnis yang berlandaskan kepercayaan. Memiliki proses dan kebijakan yang tepat merupakan hal yang jauh lebih penting dari hanya sekedar memilih vendor. Proses dan kebijakan perusahaanlah yang menentukan apa yang dibutuhkan oleh sebuah perusahaan, bukan sebaliknya.
Who needs a Bot Army these days?
It’s been a while - a long while - since I last (officially) blogged. Too many distractions with a new role, new travels, and a new family member - sucks away the creative juices. Alas, sitting at an airport lounge after a 3 city Security Roadshow in Bombay/Delhi/Bangalore brings out the adrenaline rush of blogging once more. I’ve been evangelizing the need for DoS protection for quite a while. Events of last year (2013), and even the beginning of 2014, have made my job easier (Happy New Year!). I used to equate DoS (rather Distributed DoS) attacks with Bot Armies - kinda like the Orcs that we saw in the LOTR (Lord of the Rings**) saga. The Bots (Orcs) still exist - but seems like the Bot Herder (I’ll call him “Sauron” **) is summoning a new type of Army these days - a new generation of orcs used to carry out his mission to wipe a particular service/server from the face of the Internet world - You and Me! Yes - US! Who needs a Bot Army these days? There are gazillions of Internet users and servers out there. There isn’t a need for any kind of endpoint infection/malware. That would be troublesome. All you need is an unsuspecting (and poorly protected) + popular web server, and some programming flair with JavaScript (JS) or iFrames. Then you need to compromise that popular web server and input the malicious JS/iFrame into the landing web page. So when a user visits this compromised popular website (e.g. an online gossip portal) to read about the latest Hollywood gossips, the hidden JavaScripts or iFrames gets executed within his browser and causes him to send multiple GET requests to the victim. And the victim gets hoarded with a torrent of GET requests, and if its not sufficiently and appropriately protected, guess what happens? Bam! 2014 began with an interesting new type of attack against a couple of gaming sites like League of Legends, Steam and Battle.net using yet another type of “botnet”, except that these weren’t bots but actual Network Time Protocol (NTP) servers. The NTP protocol is used by many servers and endpoints to sync system clocks - for example my mac uses time.asia.apple.com. Leveraging the inherent “trust” that the UDP protocol exhibits (aka stateless), and a relatively forgotten command called “monlist”, this is how it works. From my laptop, a small query of 234bytes returns a response of 100 packets each of 482bytes, producing an amplification factor of approximately 205x (you get the hint). So I need to be armed with a list of open and unpatched NTP servers (which isn’t difficult to find - there are automated programs out there that can “assist"), and spoof the IP address of someone whom I don’t like, and shazam. An example of the now infamous “monlist” command for an unpatched NTP server looks like: This reminds me of the DNS Reflective Amplification attacks during the Cyberbunker-Spamhaus saga in March of last year (2013). Again, the trust model of the DNS protocol was exploited, and what that didn’t help with the problem were those 20-something million open DNS resolvers which neither perform any kind of filtering nor any request verification or traffic management of DNS responses. And as a result, 300Gbps of DNS responses towards an unsuspecting victim, which even caused collateral damage to International Peering exchanges. Now, how do we deal with these? For the DNS and NTP reflective amplification attacks, apart from deciding to not be an open DNS resolver, or disabling the “monlist” command, if you are a service or hosting provider to one of these potential “Orcs”, one simple way is to monitor the outbound BPS/PPS/Number of connections originating from the server. When it gets anomalously high, move to the next step of monitoring perhaps the Top 10 destinations these guys are sending towards. It doesn’t make sense that a DNS server out there is sending 1M DNS “Any” responses per second to www.f5.com. Apply an appropriate rate shaping policy as needed and that will help protect your own network infrastructure, save some peering/transit costs, and help the poor victim. The HTTP reflection attack is a bit more challenging, given that as mentioned previously - it isREALHTTP traffic fromREALbrowsers out there. You can’t filter based on malformed HTTP packets. You can’t filter based on URL since it’s typically a legitimate URL. This calls for Anti-Bot Intelligence, like: TCP SYN Cookie verification (L4) HTTP Redirection verification (L7) JavaScript / HTTP Cookie verification (L7) CAPTCHA verification (L7) With the ability to step-up countermeasures dynamically and when needed. Of course, the latter verification methods are higher in the OSI stack (Layer 7), more advanced and computationally more expensive to perform. Here at F5, we’ve found that (3) and (4) have been extremely effective in terms of combating DoS tools/scripts and even the hidden JavaScripts/iFrames mentioned above. These guys typically bail out when it comes to solving complex JavaScript puzzles or checking of mouse/keyboard movements etc., and not to mention solving CAPTCHA puzzles. Once this happens, throw the errant source into a penalty box for a period of time, then repeat the rinse and lather. Dynamically increase this penalty box timeout when the errant source fails multiple times. This will effectively thwart any attempt from the errant source in sending HTTP requests to the victim server. Lastly, work with your upstream service provider, or engage a cloud-based anti-ddos service when the attacks become too large to handle. Sound the SOS! It is common-sense the only possible way to mitigate 300Gbps floods is in the service provider cloud / cloud-based anti-ddos service, likely using a distributed scrubbing “anycast” model, where each distributed scrubbing center sucks in the traffic destined for the victim like a big washing machine and starts cleaning. That said, there are many ways to skin a cat - likewise, there are many ways to solve a DoS problem. Pay particular attention to attacks as they move up the OSI stack toward Layer 7. These are typically harder to mitigate, but fortunately not for F5. So if you’re thinking that botnet armies are the Sole source of menace in the DoS world out there, they’re not. Everyday Internet users like you and me could be an unsuspecting participant in the world’s largest DoS to be. ** Source: The Lord of the Rings, J.R.R Tolkien, 1954
사물인터넷이 ‘사회적 지능’에 대한 요구를 증가시킨다
‘혁신은 리더와 추종자를 구분하는 잣대이다.’ 스티브 잡스가 남긴 말로 글로벌 플레이어가 되기 위해 노력하는 기업들에게 있어 정곡을 찌르는 말이다. 오늘날 사물 인터넷 (Internet of Things/ IoT)은 수많은 분야에 기술혁신을 불러왔고, 이러한 현상은 이미 빌딩, 기차, 병원 및 공장에서의 센서 네트워크 혹은 지능형 도로와 같은 다양한 기업 및 공공분야로 퍼져나가고 있다. 사물인터넷(IoT)이라는 용어는 간략하게 설명될 수 있다: 이것은 실시간의 정확한 데이터 감지, 측정 역량과 함께 이 데이터를 네트워크 상의 다른 사물에게 무선으로 전송할 수 있는 역량을 가능하게 만드는 기술이다. 예를 들어, 센서가 장착된 제품들은 기업이 해당 제품의 움직임을 추적하고, 어떠한 상호 작용이든 모니터링 할 수 있도록 해준다. 기업의 결정권자들은 이러한 데이터를 직접 보유함으로써 기존의 비즈니스 모델을 보다 섬세하게 조율할 수 있는 이점을 누리게 된다. 한편, 포레스터 리서치 (Forrester Research)의 2014년 아시아태평양 기술 시장을 위한 Top 10 전망에 따르면, IoT는 비즈니스를 넘어서 개인의 일상에까지 변화를 가져오고 있다. 센서들은 사람들이 더욱 균형 잡힌 체형을 유지하고, 키를 찾는다거나, 집의 문을 열고, 주위의 기온을 모니터링 하는 등 여러 가지를 가능하게 만들고 있는 것이다. 사물 인터넷과 함께 부상하고 있는 것들 중 하나는 연결의 증가인데, 이는 불가피하게 트래픽 폭증을 유발하고, 그에 따라 기존 네트워크 인프라에 부담이 가중되어 그 어느 때보다 확장성과 유연성이 뛰어난 지능적인 인프라가 요구된다. 포레스터의 애널리스트 미쉘 펠리노 (Michele Pelino)는 새로운 기술들이 광범위하게 적용되기 전에 먼저 해결해야 할 중요한 이슈 하나는 IoT 생태계가 발전되어야 한다는 것이라고 최근 말했다. 하지만, 기업들이 당면한 첫 번째 과제는 현재 운영중인 IT 인프라가 자사 비즈니스 상의 요구를 수용할 수 있을 만큼 신속하게 확장되지 못한다는 점이고, 두 번째는 펠리노(Pelino)가 지적했듯이, 다양한 소스로부터의 모든 데이터를 이용해 분석적인 통찰력을 제공할 수 있는 독립적인 소프트웨어 제공업체들의 검증된 생태계가 필요하다는 것이다. 마지막으로는 통상적으로 새로운 기술의 적용에는 관련 정책과 비즈니스의 변화로 인해 상당한 시간이 소요된다는 점이다. 기술적인 관점에서 보면, 이는 분석 엔진, 비즈니스 지능 소프트웨어 그리고 더 중요한 지능적인 애플리케이션 딜리버리 인프라와 같은 정보처리 툴들이 장착된 데이터센터에 의존하게 된다는 의미이다. 분석은 필요한 ‘사회적 지능’을 제공해 기업이 이용하도록 만드는 반면, 지능적인 애플리케이션 딜리버리 시스템은 그러한 통찰력이 실시간으로 안전하게 최종사용자들에게 전달되는 것을 보장한다. 실시간의 안전한 ‘사회적 지능’에 대한 이런 필요는 IoT가 주도하는 지능에서 생겨나고 일련의 애플리케이션 서비스들을 만들어낸다. 결국 이러한 통찰력은 적절한 결정권자들에게 배달되어야만 하는데, 비즈니스 지능 애플리케이션들을 통해 흐르는 데이터에 대한 실시간 트래픽 최적화, 가용성 및 보안을 제공하는 서비스들이 이것을 가능하게 만든다. 궁극적으로 이러한 솔루션들은 인프라를 단일 지점에서 관리해야만 하며, 이로 인해 오랜 시간에 걸친 애플리케이션 딜리버리 진화의 다음단계인 SDAS의 탄생을 불러오게 되었다. SDAS는 하나의 통합된 고성능 애플리케이션 서비스 패브릭으로 매우 유연하면서 프로그래밍이 가능한 애플리케이션 서비스를 제공하려는 노력의 결과이다. 지능적으로 통합된 SDAS는 오늘날 IT에 불어 닥친 엄청난 소용돌이와 관련된 중요한 난제들을 해결해줄 수 있다. 궁극적으로SDAS는 물리적, 가상 및 클라우드로 구축된 플랫폼들의 조합에서 자원들을 이끌어내어 활용할 수 있는 추출 능력에 의존한다. 전반적으로, IoT는 개개인의 삶과 기업의 비즈니스 환경에 매우 매력적인 혜택을 약속하는 기술이다. 필연적으로, 후단의 백엔드 기술도 이러한 발전과 발맞추어야 하고, IoT 시대를 맞아 그 어느 때보다도 복잡해질 것이다. Original blog post by Kuna.F5 예측 - 사회적 기술의 확산이 보안위협을 증가시킨다.
‘F5 예측’ 시리즈를 시작하며 그 첫 주제로 기업들이 무시하기 어려운 것으로 판명된 이슈를 택했는데, 그것은 바로 기업에 사회적 기술 (SNS 기술)들이 홍수처럼 몰려오고 있다는 것이다. 많은 기업들은 생산성 향상, 더 효율적인 근무 환경, 동료와 부서들간의 더 긴밀한 협업, 그리고 고객과 기업 사이의 더욱 확대된 브랜드 경험 등 이 기술이 가져오는 가치에 대해 잘 이해하고 있다. 많은 기업들이 시장의 진화도 목격하고 있다. 특히, Y세대와 Z세대는 조금 더 사회화된 근무환경을 요구한다. 싱가포르를 예로 들자면, 이 두 세대는 전체 근로자의 60%를 차지한다. 이 새로운 세대는 베이비붐 세대 이후 가장 수가 많은 연령대로 부상했는데, 그들은 고등 교육을 받았고, 여행도 많이 하며, 기술에 익숙하고, 멀티태스킹이 가능하며, 사회적인 교류를 추구하는 사람들이다. 밀레니엄세대는 가장 전통적인 기업들조차 더욱 협업적이고 사회화된 환경을 구축하도록 촉구하고 있다. 이러한 새로운 유형의 직원들에 맞추어서, 관리자들은 이 사용자들의 행동을 충분히 이해하는 한편 직장에서의 안전한 사회적 환경을 보장하는 새로운 가이드라인을 도입해야만 한다. 고객들에게는 안전한 환경에서 비즈니스와 브랜드 충성도를 만들어내기 위해 사용자 행동을 이해해야 한다. 실제로 컨설팅 회사 언스트 영 (Ernst & Young)의 2013년 글로벌 정보보안 설문조사 (Global Information Security Survey 2013)에 따르면, 보안은 기업들에게 아킬레스 건과 같은 것이다. 응답자의 31%가 지난 12개월 동안 보안사고가 최소 5% 이상 증가했다고 답했다. 게다가, 83%의 조직에서 보안부서가 니즈를 충분히 충족시키지 못한 것으로 이 조사 결과에서 나타났다. 기업들은 평판, 수입 및 책임 등 그 이유야 무엇이 되었든 사이버공격으로부터 그들을 보호하는 일에 열의를 기울이고 있다. 보안 위험을 고려하지 않는 기업들은 사이버공격의 쉬운 목표가 되어, 조직의 평판을 위태롭게 할 수 있기 때문에 이렇게 보안에 열의를 보이는 것은 올바른 방향이다. 조직이 새로운 기술을 도입할 때 보안은 가장 큰 장애물들 중 하나다. 과거에는 기업들이 데이터를 벽 뒤에 보관하고 통제할 수 있었지만 점점 새로운 기술들이 나타나면서, 고객 데이터는 더욱 노출되었다. 보안 침입 건수 역시 증가하고 있다. 그럼에도 불구하고, 기술진화의 속도는 오로지 가속화될 뿐인데, 이 젊은 집단들의 ‘사회적’ 요구에 의한 것이 그렇다. 베이비붐 세대가 한때 그랬듯이 밀레니엄 세대가 곧 노동인구의 대부분을 차지하게 될 것이다. 기술을 잘 다루고 고도로 모바일적인 이 세대는 인터넷과 함께 성장했으며, 이미 데스크탑 컴퓨터에서 그랬듯이 모바일 디비이스에서도 업무와 재미를 위한 정보를 손쉽게 누릴 수 있기를 기대한다. 그리고 이 젊은 세대들은 가장 큰 고객군이 될 것이며, 가상 공간에서 살아갈 것이다. 종합해보자면, 기술과 이 새로운 그룹의 요구는 각각의 분야가 겪어야 할 변화를 주도할 것이다. 은행 분야를 보자면, 밀레니엄 세대는 언제 어떤 방법으로든 서비스를 이용하고 거래를 할 수 있기를 기대한다. 모빌리티 전략은 어떤 기업이든지 쉬운 일이 아니다. 고려해야 할 부문에는 애플리케이션과 데이터에 대한 접근, 보안정책과 사용자 편의성 사이의 균형, 필요한 정보를 제공하고 거래를 완료시키는 속도, 그리고 브라우징의 용이성 등이 포함된다. 대부분의 기업들에게 있어 모바일 애플리케이션을 구현하고 이를 유지하는 것은 시간과 자원이 많이 투입되는 임무이다. 기업들에게 필요한 것은 웹 취약성을 낮게 유지하는 동시에 이미지가 많이 포함된 컨텐츠 전송을 돕고, 모바일 네트워크의 지연을 단축하기 위해 트래픽에 우선순위를 매기고, 애플리케이션 성능에 가시성을 제공하는 등의 임무를 모두 수행할 수 있는 후방 인프라다. 또한, 사이버 범죄가 갈수록 복잡해지고 다양한 디바이스에 대해 여러 방향으로부터의 공격이 이루어짐에 따라 정교한 다목적 기계보다는 단일 목적을 위한 보안 솔루션이 선호될 것이다. 기업들이 어느 디바이스에서나 빠르고 신뢰할 수 있는 사용자 경험을 기대함에 따라 성능의 맥락에서도 이러한 융합은 계속 발생하게 될 것이다. Original blog post by Kuna.F5 predicts: The dumb firewall will become obsolete
Based on Gartner’s prediction, by 2016, the financial impact of cybercrime would grow by 10 per cent per year, due to the continuing discovery of new vulnerabilities fuelled by the increasing adoption of mobile collaboration platforms and cloud services. Another study, titled The 2013 Cost of Cyber Crime Study, reveals that the cost of cybercrime in 2013 escalated 78 percent, while the time necessary to resolve problems has increased by nearly 130 percent in four years. This fundamentally results in the need for organizations to rethink the security defenses that is being deployed to protect their IT infrastructure. Most organizations typically rely on traditional security solutions like network firewalls, Intrusion Prevention Systems (IPS) or antivirus software that monitor network traffic and/or system activities for malicious activity. Today's threat landscape encompasses an increasing range of potential vulnerabilities and demands an appropriately sophisticated response by those charged with cyber defence responsibilities — whether in the family, organization or at the national level. The proliferation of Internet connectivity has allowed malicious software to spread in seconds to millions. And the malware itself has become much better at avoiding detection, taking steps to hide its signature. Most viruses today are obfuscated a number of times and checked to make sure no anti-virus software can detect it - all in a matter of seconds, and all before it's sent out to its victim. Sensitive data is facing new security threats—evidenced by all the application targeted cyber attacks we see in the news. High profile attacks, such as the Adobe data breach, attack by The Messiah in Singapore, the recent multi-layer distributed denial of service attacks, SQL injection vulnerabilities, and JSON payload violations in AJAX widgets, pose increasing risks to interactive web applications, data, and the business. Internet threats are widely varied and multi-layered. As these threats evolve, organizations find that traditional firewalls lack the intelligence and the scalability needed to stay effective and responsive under a multi-layered persistent threat scenario. Security practitioners are coming to grasps with the new paradigm of having to handle enterprise security as an end-to-end process from end-user device to networks to applications. The days of finding comfort behind a solitary firewall or a unified threat management device are gone with the current threat landscape. IT staff should be aware that any security solution should be able to handle attacks on multiple levels – i.e. at the network and at the application – providing a defense in depth; simple firewalls will easily be overwhelmed by the scale of the attacks that are experienced by enterprises today. "The threats that exist today are getting through many of today's existing security controls," warns Gartner Inc. analyst and Research Director Lawrence Pingree. "Advanced threat protection appliances that leverage virtual execution engines as a petri dish for malware are most effective to deal with the latest threats. Also, organizations must continue to upgrade their endpoint protection suites.“ ‘Intelligent security’ is becoming more important as cyber criminals become more sophisticated, and this is leading to the rise of security that is flexible and responsive based on factors such as the apps, location or the user. Ultimately, the right tool needs to be tailored for the right attack. One thing is clear: A one-size-fits-all approach to security won't work in 2014 and beyond. At the same time, security cannot be at the expense of performance. End-users are expecting high performance and security cannot be a bottleneck. Much alike the saying that no service can be “good, cheap and fast”, most security practitioners are looking for the ideal solution for an ever changing problem. But in reality we know that there cannot be one solution which can fulfil all requirements and be 100% foolproof. Like how insurance needs evolve over a person’s lifetime, security requirements also evolve over the enterprise business lifecycle. Therefore it is important to adopt an architectural approach to security which continually evolves as the landscape changes. Again remember that security is a function of people, process and technology and without the optimal use of the 3 components, 100% protection could be like a search for the Holy Grail! What is your view on the changing security landscape? Tell us in the comments below.F5 Predicts: Internet of Things Drives Demand for ‘Social Intelligence’
‘Innovation distinguishes between a leader and a follower’, Steve Jobs once famously said. A saying that is crucial for organizations in their efforts to be a ‘global player’. There are currently lots of innovation areas in the technology space, spurred by the ‘Internet of Things’ (IoT). This trend is already being tapped in a broad variety of industries, such as enterprise and public sector in terms of smart roads or for sensor networks in building, on trains, hospitals, and in factories. The term ‘Internet of Things’ can be simply explained: It is a technology that enables real-time and accurate data sensing with the ability to wirelessly transmit data to other objects on the network. For instance, products that are being embedded with sensors enable a company to track movements of products and monitor any interactions. Having this data at hand provides decision makers the advantage to fine-tune their existing business models. But beyond business, IoT is getting to transform our personal lives too, according to Forrester’s Top 10 predictions for the Asia Pacific tech market in 2014. Sensors getting people fitter, finding keys, unlocking houses and monitoring ambient temperature, among many others. One of the things that comes along with the ‘Internet of Things’ is the increase in connections, inevitably giving rise to higher network traffic, thus stressing the existing network infrastructure. This requires an infrastructure that is scalable, flexible and more intelligent than ever before. Forrester analyst Michele Pelino stated recently that a key issue that needs to be worked out will be the development of an IoT ecosystem, before the technology can be widely adopted. The first challenge for enterprises, however, is that their current IT infrastructure may not be able to scale quickly enough to cater to the demands of the business. Secondly, as Pelino pointed out, there would need to be a tried and tested ecosystem of Independent Software Vendors who are able to take advantage of all the data from the various sources to provide analytical insights. Finally, the adoption of new technologies usually takes time due to policy and business changes. From a technology point of view, it will mean a dependence on data centers equipped with information processing tools like analytics engines, business intelligence software and more importantly, an intelligent application delivery infrastructure. While the analytics can provide the much-needed ‘social intelligence’ capability for the business to tap, the intelligent application delivery system can ensure that such insights are delivered on a real-time basis and securely to the end user. This need for real-time secured ‘social intelligence’ stems from the advent of IoT driven intelligence and creates the demand for a suite of application services. Eventually these insights need to reach the relevant decision makers – services that provide real-time traffic optimization, availability and security for data flowing through such business intelligence apps. Ultimately, these solutions need to manage such an infrastructure from a single point of management and this has lead to the birth of Software Defined Application Services (SDAS), the next phase in the lengthy evolution of application delivery. SDAS is the result of delivering highly flexible and programmatic application services from a unified, high-performance application service fabric. Orchestrated intelligently, SDAS can be provisioned to solve significant challenges from the whirling maelstrom of trends driving IT today. Ultimately, SDAS relies on abstraction; on the ability to take advantage of resources pooled from any combination of physical, virtual and cloud deployed platforms. All in all, IoT is a technology promising compelling benefits in our personal lives and business environments. Inevitably, back end technology will need to keep up with these developments and become ever more sophisticated in the era of the ‘Internet of Things’.F5 predicts: Social Adoption opens up security risks
Kicking off the ‘F5 predictions’ series is a topic that is proving difficult for businesses to ignore: the avalanche of social technologies coming into the enterprise. Many companies understand the value technology brings, such as increased productivity, a more efficient workplace and better collaboration between colleagues and departments, greater brand experience between customers and companies. Many companies are also witnessing an evolving market. Notably, the demand from Generation Y and Z is or a more socialized work environment. Taking Singapore as one example, the figure has been put at 60% of the workforce. This new breed emerges as the largest age group since the baby boomer generation: they are well-educated, well-traveled, tech-savvy, able to multi-task and reaching out for social interaction, Millenials urge even the most traditional companies to deploy a more collaborative and socialized environment. Catering to this new breed of employees, managers need to fully understand the user behavior whilst introducing refreshed guidelines to ensure a secure social environment at work. To the customers, companies need to understand the user behavior to generate business and brand loyalty in a secured environment. And security is in fact the Achilles’ heel in companies, according to Ernst & Young’s Global Information Security Survey 2013. The number of security incidents increased according to thirty-one percent of the respondents by at least 5% over the last 12 months. Further, the survey indicates that security functions aren’t fully meeting the needs in 83% of organizations. Companies are eager to protect themselves against cyber-attacks, be it for reputation, revenue, and accountability reasons. It is a step in the right direction, as by not taking security risks into consideration, companies become an easy target for cyber attackers, which can probably jeopardize an organization’s reputation. Security is one of the top hurdles in organizations adopting new technologies. Formerly, they have been able to keep data behind their walls and have control over it. But with newer technologies, customer data is more exposed. The number of security breaches is on the rise. Nonetheless, the pace of technology evolution will only accelerate – such as with the ‘social’ demands of these younger cohorts. Millennials will soon dominate the workforce – just the same way Baby Boomers did once. This tech-savvy and highly mobile generation grew up with the Internet and expects readily available information for work and for pleasure on their mobile devices, as they already have on a typical desktop computer. And soon these younger cohorts are going to be the biggest customer group, conducting their lives in the virtual space. Together, the technology and the customer demand of this newest group drive a transformation of how different sectors act. Looking at the banking sector, Millennials’ expectations are to have access to the services, transact, any time and anyhow. Mobility strategy is not an easy endeavor for any company. Areas of consideration include access to applications and data, balance of security policies and user convenience, speed to provide needed information or complete a transaction, ease of browsing, etc. For most enterprises it is a time and resource-absorbing task to manifest mobile applications and to maintain these. What businesses need is a backend infrastructure that can help deliver image-heavy content, prioritize traffic to overcome mobile network latency, offer visibility into application performance, all these while keeping web vulnerabilities low. Furthermore, as cyber crime becomes more complex, with attacks from multiple angles on different devices, single-purpose security machines will be phased out in favor of sophisticated multi-purpose machines. This convergence will also happen in the context of performance, as businesses come to expect fast, reliable user experience on any device.Leave No Application Behind
F5의 새로운 아키텍처 비전 Synthesis 그리고F5 코리아의 괄목할만한 사업성과와 비전 F5 네트웍스 코리아는 지난 1월 27일 기자간담회를 열어 소프트웨어정의 애플리케이션 서비스(SDAS)를 제공하는 새로운 아키텍처 비전 ‘F5 Synthesis’를 설명하고, F5 코리아의 괄목할만한 2013년 비즈니스 성과와 2014년 계획을 소개하는 자리를 가졌다. 당일 발표는 F5 코리아 조원균 지사장과 아시아 태평양 지역 제품 마케팅 총괄 책임자 케이치로 노자키(Keiichiro Nozaki)씨가 함께 했다. F5가 지난 해 11월 발표한 F5 Synthesis는 탄력적인 고성능 멀티-테넌트 서비스 아키텍처에 기반해 데이터센터, 클라우드, 하이브리드 환경 모두에 걸쳐 SDAS의 제공 및 통합을 용이하게 만드는 아키텍처 비전으로 현재까지 F5 기술이 이룩한 혁신의 정점이라 할 수 있겠다. 새롭게 도입한 라이선스 옵션들과의 결합으로 발표된 F5 Synthesis는 고객들이 레이어 4-7 서비스를 어느 누구에게든, 제약 없이, 빠르면서도 비용 효율적으로 제공할 수 있도록 만들어준다. F5 Synthesis는 고성능 서비스 패브릭으로 가장 까다로운 환경에서의 요구조건을 충족하도록 확장이 가능해, 관리 도메인과 가상 인스턴스 도합 20.5TB의 처리속도와 92억 건의 커넥션 용량을 지원하는데, 이는 현재 전세계 모든 인터넷 사용자들의 연결을 관리하는데 필요한 용량의 3배가 넘는 수치이다. F5가 Synthesis를 통해 새롭게 내세우고 있는 “Leave No Application Behind/ 단 하나의 애플리케이션도 빠뜨리지 말라”는 메시지를 뒷받침해주는 수치이기도 하다. 한편, 현장에서는 참석 미디어의 문의에 따라 F5 Synthesis가 시장에 적용될 수 있는 일련의 레퍼런스 아키텍처가 선보여졌는데, 이들은 고객들이 이해하기 쉽도록 비즈니스 솔루션에 초점을 맞추고 고객들이 시장 진출 시간을 단축하여 널리 퍼져있는 도전 과제들을 해결할 수 있도록 디자인되어 있었다. F5 코리아의 조원균 지사장은 “F5는 빠르게 변화하고 있는 ADC 시장의 움직임을 잘 인식하고 있고, 이미 글로벌 리더십 입지를 확고히 하고 있다. 우리는 기업이 수십억의 사용자와 디바이스, 그리고 수 백만 종의 애플리케이션 등 IT가 향하고 있는 방향으로 나갈 수 있도록 돕는다. 오늘의 발표는 조직들이 지나친 복잡성으로 어려움을 겪거나 애플리케이션 성능과 보안을 희생시키지 않으면서 오늘날의 흥미진진하고 획기적인 기술들을 활용하도록 도와주기에 F5가 이상적인 위치를 점하고 있다는 우리의 믿음이 반영된 것이다”고 강조했다. 가트너는 2013년 3월 18일 발간한 ‘성능을 개선하고 비용을 절감하기 위한 네트워크 디자인의 5대 요소’라는 보고서에서 “애플리케이션 환경, 사용자의 기대치, 네트워크 서비스 등의 변화로 인해 네트워크 설계자들은 사고를 넓혀 네트워크가 새롭고 변화하는 사업상의 요건들을 지원하도록 만들 것이 요구된다. 그들은 내부적 그리고 외부적으로 관리되는 기업용 애플리케이션들을 가장 잘 지원하는 프레임워크 내에서 사용자, 애플리케이션, 디바이스, 위치, 활동 등 다섯 가지 요소를 잘 해결해야 할 필요가 있다” 고 발표한 바 있다.보안은 과정이다.
최근 해외의 권위 있는 한 신문은 결제시스템을 포함한 많은 IT 제품들과 애플리케이션들이 적절한 보안을 갖추고 있지 못하다고 경고했다. 이 신문은 첫째, 보안이 최우선적인 고려사항으로 간주되지 않고 있으며, 둘째는 시스템의 디자인 및 구현에 보안 전문가들이 관여하고 있지 않기 때문이라고 그 이유를 밝혔다. F5 네트웍스는 보안을 일회성의 조치나 행위가 아닌 일련의 과정으로 생각하고 있으며, 보안은 이런 관점에서 접근되어야 한다. 조직 내의 보안과 규정 준수를 담보하기 위한 정책들을 수립하는 보안 전문가들에게는 매우 중요한 역할이 있으며, 소프트웨어 개발을 담당하는 프로그래머들 역시 이에 못지 않게 중요한 역할이 있다. 하지만, 그 둘의 역할에는 분명한 차이가 있다. 비즈니스 애플리케이션들은 기업에게 핵심적인 자산인 만큼, 기업의 보안을 보안 전문가들이 아닌 소프트웨어 엔지니어들에게만 맡겨두는 것은 금물이다. 따라서, 소프트웨어 프로그래머들이 보안정책을 소프트웨어로 만드는 부담을 덜어주고 이 업무를 신뢰할 수 있는 보안 솔루션 전문가들이 담당하도록 하는 것이 현명한 접근법이라고 할 수 있다. 이런 관점에서 볼 때, 보안은 엔드-투-엔드 과정이며 디바이스, 액세스, 네트워크, 애플리케이션 및 스토리지를 포함해 사용자와 기업간의 상호작용이 이루어지는 모든 분야를 빠짐 없이 관장하는 정책을 필요로 한다. 이렇게 움직이는 각 부분들의 복잡성으로 인해, 때로는 몇 개 지점의 보안 문제들을 하나의 솔루션으로 통합하는 것이 더 바람직하다. 간단하게 말해 이것은 절차의 간소화와 유사하며, 비즈니스 세계에서 컨설턴트들이 “BPR (업무 프로세스 재설계 – Business Process Reengineering)”이라고 부르는 것과 크게 다르지 않다. 각 개인에게는 이것이 어떻게 보일지 몰라도, CFO (최고재무책임자)의 관점에서는 운영비용 및 투자비용에서 엄청난 절감효과를 의미하는 것이다. 예를 들어, 최근 애플리케이션 보안은 애플리케이션 딜리버리 컨트롤러 (ADC: Application Delivery Controller) 내에 탑재되는 추세이다. ADC는 태생적으로 애플리케이션을 최종 사용자에게 안전하게 제공하기 위한 목적으로 개발되었다. 오늘날, ADC는 허가되지 않은 접근을 차단하는 한편, 국제 웹 표준기구인 OWASP에서 규정한 것들과 같은 고도의 애플리케이션 레벨 공격들을 막아주는 역량이 추가되면서 일종의 안전한 애플리케이션 보안관과 같은 역할을 담당한다. 그러나, 상황은 더욱 복잡하게 변하고 있다. CIO (최고정보책임자)들은 젊고, 유능하며, 요구사항이 많은 Y세대 직원들의 요구를 해결해야 하는 상황에 직면해 있는데, 이들은 자신이 선택하는 디바이스를 이용해 일하기를 원하고, 개인생활과 직장 네트워크 사이를 자유롭게 전환할 수 있기를 바란다. CIO들은 더욱 복잡해지고 증가하는 위협들로부터 기업의 자산을 지켜야 하는 과제를 안고 있다. 게다가, 비용관리와 확장성을 위해 클라우드를 이용해야 함에 따라 보안 문제는 통제가 불가능한 수준으로 커지고 있다. 이러한 상황으로 인해, 사용자의 행동양식만이 아니라 기업 애플리케이션들의 행동양식도 이해하고, 사용자 경험에 최소한의 영향을 미치면서 기업의 보안 정책을 집행할 수 있는 혁신적인 보안 솔루션들이 요구되고 있다. F5는 보안 사업이 신뢰를 기반으로 하는 사업이라고 믿는다. 올바른 절차와 정책을 수립하는 것이야말로 업체를 선택하는 것보다 중요한 일이다. 정책과 절차가 필요한 솔루션을 결정하는 것이지 그 반대가 되어서는 안 된다. Original blog post by Kuna.
