Cisco Secure Firepower Threat Defense Virtual Appliance

FTDv (Firepower Threat Defense Virtual) นั้นเป็นนวัตกรรมที่สามารถทำ Hardware Box มาอยู่ในรูปแบบของ Software Virtual Appliance ซึ่งหมายความว่าการใช้งานลักษณะนี้จะถูกจับไปอยู่ในรูปของ Virtual Machine (VM) หรือ Kernel Base Virtual Machine (KVM) โดยการทำงานของมันค่อนข้างยืดหยุ่น ยกตัวอย่างเช่น เราสามารถออกแบบความปลอดภัยในการนำ FTDv ไปประยุกต์ใช้กับระบบ VM เซิร์ฟเวอร์ของเราได้ดั่งเช่นภาพ FTDv On Virtual ด้านล่างนี้

ภาพ FTDv On Virtual

จากภาพ FTDv On Virtual

เห็นได้ชัดว่าระบบนั้นไม่มี Firewall กั้นระหว่าง Router กับ Layer3 Switch ซึ่งหมายถึงเราไม่ต้องกังวลกับเรื่อง Hardware Box มีปัญหาอีกต่อไป หลักการของ FTD Virtual นั้นสามารถออกแบบได้หลายแบบ โดยแต่ละแบบจะมีความยาก ง่าย แตกต่างกันออกไป ส่วนประกอบหลักที่เกี่ยวข้องกับการทำ FTDv มีหลายๆ ส่วนสำคัญดังนี้

1. เครื่อง Server จะเป็นเครื่องจริงก็ได้ หรือเป็น Hypervisor ก็ได้
2. ระบบเครือข่ายเดิม เช่น Access Switch, Layer 2, Layer 3 ตามขนาดขององค์กร
3. Software FTDvในรูปนามสกุลต่างๆ เช่น

• .qcow2 สำหรับ KVM ต่างๆ
• .tar สำหรับ RedHat
• .tar.gz สำหรับ VMware

      4. License สำหรับใช้งาน FTDv โดยมีให้เลือกหลาย Version ดังนี้

     5. License สำหรับใช้งาน RA VPN (Remote Access Virtual Private Network) ถ้าต้องการใช้

     6. สกิลในการมองภาพ Virtual App ให้ออกต้องจินตนาการภาพจาก Hardware Box ไปสู่ Application โดยต้องทำความเข้าใจการ Mapping ขา inside outside ลึกกว่าการตั้งค่าบน Hardware Box

FTDv ของ Cisco แตกต่างจากแบรนด์อื่นตรงไหน?

ต้องเข้าใจก่อนว่า Cisco Next-Gen Firewall นั้นเป็นอุปกรณ์ Security ระดับต้นๆ ของโลกมีสอบ Certificate เฉพาะทางถึงระดับ CCIE คือสาย Security ของ Cisco โดยส่วนใหญ่ FTD Box นั้นจะถูกติดตั้งตามองค์กรทั้งขนาดกลาง - ขนาดใหญ่ เพราะมันคือ Firewall แท้ๆ ไม่ใช่ SD-WAN ไม่ใช่ Load Balance ไม่ใช่ Firewall ผสมผสานแบบ FortiGate ทำให้ Cisco FTD นั้นโดดเด่นเรื่องการคัดกรองเป็นอย่างมาก โดยการทำงานของ Rule ยังเป็นแบบ บนลงล่างอย่างเข้มงวด ขณะที่แบรนด์อื่นๆ อาจกระโดดข้าม Rule ไปแล้ว และนี่คือจุดแข็งที่ Cisco FTD ยังคง Concept การคัดกรองตรวจสอบอย่างเข้มข้นทำให้ Cracker ไม่สามารถเจาะเข้ามาได้ง่ายๆ ตั้งแต่เป็น Traditional แรกๆ ที่ยังไม่รับรู้ถึง Application จนปัจจุบันเป็น Next-Gen Firewall ที่รับรู้การโจมตีรูปแบบใหม่ๆ ได้ทุกแบบ เช่น

1. Application awareness

รับรู้ถึง Type Application ต่างๆ ทั่วโลกตั้งแต่ Application Protocol, Client Application และWeb Application โดยทั้งหมดสามารถกำหนดได้ว่าจะอนุญาตให้ใช้งาน หรือ ไม่ให้ใช้งานก็ได้ อีกทั้งยังมี Categories ประเมินระดับความเสี่ยงของ Application นั้นๆ ว่าควรปิดการใช้งานไปเลย หรือไม่

2. Intrusion Prevention System (IPS)

เป็นการตรวจจับ และป้องกันการบุกรุกจาก Cracker, Attacker, Hacker ได้แบบ Realtime พร้อมมีการ Update ฐานข้อมูลใหม่ๆ ผ่าน Cloud Database เสมอ อีกทั้งยังสามารถป้องกันการโจมตีแบบ Zero-day Attack ได้อีกด้วย ซึ่งมันคือการโจมตีตามช่องโหว่ของ OS ต่างๆ ที่ไม่มีการ Update PATCH ให้ทันล่าสุด เหล่า Cracker จะอาศัยช่องโหว่นี้โจมตีเราจนได้ แต่ถ้าระบบมี IPS ป้องกันไว้แล้วทำให้มีความยากขึ้นที่จะเจาะระบบเข้ามาได้

3. Threat Intelligence Director (TID)

เป็นการหยุดภัยคุกคามใหม่ๆ ที่จะเกิดขึ้น หรือการโจมตีรูปแบบใหม่ที่วิเคราะห์แล้วมีความเสี่ยงต่อระบบ Function นี้จะมีการ Update Database Intelligence ผ่าน Cloud ตลอดเวลา โดย Feature นี้ต้องใช้ RAM สำหรับประมวลผล 15GB ขึ้นไป

4. Deep Packet Inspection (DPI)

ทุก Packet ที่วิ่งเข้า-ออก Next-Gen Firewall จะถูกคัดกรองอย่างละเอียดตามที่กำหนด แถมไม่ทำให้ความเร็วในการใช้งานลดลงเลย

5. AMP (Advanced Malware Protection)

ใช้สำหรับตรวจจับ แรนซัมแวร์, ไวรัส, มัลแวร์, พิชชิ่ง, การโจมตีผ่านเครือข่ายไปยังเครื่องลูก หรือเซิร์ฟเวอร์ ได้แบบครบวงจร เรียกได้ว่า Traffic ที่วิ่งผ่าน Cisco Next-Gen Firewall จะเหมือนการวิ่งผ่านเครื่องเอกซเรย์ประสิทธิภาพสูงโดยอัตโนมัติ

ถ้ามี FTDv ของ Cisco อย่างเดียวก็ปลอดภัยแล้วหรอ?

จริงๆ แล้วถ้าพูดในแง่ระบบปฏิบัติการต่างๆ จะมี Antivirus Bundle มาให้อยู่แล้ว เช่น Microsoft ตั้งแต่ Windows 10 ขึ้นไปก็จะมาพร้อม Windows Defender ส่วนใน Windows 11 ก็จะเปลี่ยนชื่อเป็น Windows Security อีกทั้งจะปล่อย PATCH ออกมาให้เราได้ Update กันบ่อยๆ หรือเครื่อง Mac ก็จะใช้วิธีการป้องกันแบบระบุตัวตนก่อนเริ่มติดตั้ง โดย Application ต่างๆ ของ Mac ก็จะถูกคัดกรองมาแล้ว ก่อนที่เราจะได้ Download กัน หรือ Linux เองก็จะมีความปลอดภัยในการ Install package ผ่าน Server Archive ต่างๆ ที่ผู้ผลิตจะต้องมีวิธีตรวจสอบไฟล์ต่างๆ ก่อนนำขึ้น Archive ของตัวเองอยู่แล้ว

ซึ่งที่กล่าวมา Microsoft Windows ถูกโจมตีบ่อยสุดเพราะอะไร นั่นก็เพราะไม่สามารถปิดกั้นการ Download ไฟล์ต่างๆ ได้ ทำให้ Cracker อาศัยวิธีแนบ ไวรัส มัลแวร์ เข้าไปในตัวติดตั้งต่างๆ ไปแจกจ่ายตามเว็บทั่วไปให้โหลดได้สะดวกขึ้น ถามว่า Mac กับ Linux ก็มีโหลดจากเว็บต่างๆ เช่นกันซึ่งแน่นอน ถ้าคนใช้ Mac หรือ Linux ปกติ เวลาจะโหลด หรือติดตั้งอะไรก็จะ ติดตั้งผ่าน App Store หรือ Linux Archive เท่านั้น 

การจะป้องกันการโหลดสิ่งเหล่านั้นให้อยู่หมัดก็คือ Cisco Umbrella เรียกว่าเป็น Super Protection บนอุปกรณ์ต่างๆ เลยก็ว่าได้ เพราะมันมี Feature ที่สามารถคัดกรอง IP, URL, Web App, Application ต่างๆ ที่เป็นภัยคุกคามได้อย่างขั้นสุด ถ้าเทียบกับ Windows Security แล้วจะเหนือขึ้นไปอีกในด้านการใช้งาน Internet และท่องเว็บไซต์ต่างๆ โดย Cisco Umbrella จะต้องไปเทียบกับ Microsoft Defender for Endpoint, Crowd Strike Falcon, Bitdefender Gravity zone ในด้านการป้องกันระบบปฏิบัติการ และการท่อง Internet แต่ Umbrella เหนือกว่านั้นอีกขั้น เช่น

• Secure Web Gateway คอยคุมการท่อง Internet และการ รับ-ส่ง ภายในบริษัท, ในบ้าน หรือ เครื่องอาจจะกำลังถูกไวรัส มัลแวร์พิชชิ่งต่างๆ โจมตีเข้ามาก็จะถูก Secure Web Gateway คัดกรองออกทั้งหมด แต่ถ้าเผลอเข้าเว็บนั้นไปแล้วก็ไม่เป็นไร Umbrella ยังคงมีการตรวจสอบ Realtime แบบ Control Protection Transparency ถ้า Cracker จะมาดักตบเอาข้อมูล หรือมาวางไข่ก็โดนเตะตกไปโดยอัตโนมัติ
• Cloud- Delivered Firewall เปรียบเสมือนมี Firewall ที่ผู้ดูแลระบบกำหนด Policy ไว้คอยติดตามไปด้วยทุกที่
• DNS-layer security เป็นการเลือกใช้เส้นทางออก Internet ผ่าน Umbrella เพื่อตรวจสอบเส้นทางที่เป็นอันตราย เพื่อให้ผู้ใช้เข้าใช้งานเว็บได้อย่างปลอดภัย

สรุป ภาพรวมของ FTDv ว่าจะทำให้เราทำงานยากขึ้นไหม ต้องตอบอย่างนี้ครับ เนื่องจากมันเป็น Virtual Firewall ที่มีความสามารถเท่ากับ Firewall ที่เป็น Hardware ทั่วๆ ไป โดยสิ่งที่จะได้จาก Virtual เลยนั้นก็คือ เรื่องราคา ซึ่งบอกได้เลยว่าถูกว่า Hardware Box มาก ทั้งค่า License กับ App หรือ License ของ RA VPN ก็ถูกกว่ากันหลายเท่า ดังนั้นถ้าใครอยากลองศึกษาการทำงานของมันว่าจะนำมาประยุกต์ใช้กับบริษัทยังไง เพื่อให้บริษัทมีค่าใช้จ่ายรายเดือนที่ถูกลง แต่อย่าลืมนะครับการทำ Virtual ต้องถูกใช้งานอยู่บน VM หรือ KVM เสมอ ฉะนั้นโครงสร้างพื้นฐานจะต้องดีก่อนนะครับ ถึงจะหันไปใช้ Virtual App เราสามารถ Design ได้หลายแบบ เช่น

• Design ให้อยู่ภายใน Server Farm ของบริษัทจะอยู่ในรูปของ VM ไหนก็ได้ หรือเป็นเครื่องเซิฟเวอร์จริงๆ ก็ได้ขอให้มี inside outside เสียบให้ถูกต้อง และทำ Interface Gateway ไว้บน L3 หรือ บน FTDv ก็ได้
• Design ให้ไปออก FTDv และInternet ผ่าน Data Center ด้วย Public IP และโครงข่าย L2 VPN และทำ VLAN วิ่งหากันก็ได้ ซึ่งเทคนิคนี้เป็นเทคนิคที่น่าสนใจ โดยผู้ช่วยไอทีที่จะออกแบบได้ก็คือผู้ให้บริการ MPLS และมีให้บริการ Data Center เช่นKIRZซึ่งการใช้บริการ FTDv กับ KIRZ จะถูกควบคุมการใช้งานด้วย FMCv อีกชั้นเพื่อเป็นศูนย์กลางในการจัดการ FTDv อีกทั้งยังรองรับการทำงานที่ซับซ้อนได้ดียิ่งขึ้นด้วยซึ่ง Design นี้ถ้าบริษัทมีการใช้งานเน็ต MPLS ควบคู่กับ Firewall ต่างๆ อยู่แล้ว ลองหันมาพิจารณาบริการของ KIRZ ดูครับ เพราะในระยะยาวจะคุ้มค่ามาก เนื่องจาก KIRZ สามารถทำราคาพิเศษ Firewall + MPLS ได้ โดยจะออกแบบให้ลูกค้าลดค่าใช้จ่ายรายปีได้มากขึ้น แถมได้ใช้งาน Firewall Enterprise Grade อีกด้วย

เขียนโดย. Benjaman | Cloud Engineer