SaaS中斷事件頻傳,服務韌性成首要課題
林志方指出,韌性(Resilience)一詞自疫情以來成為企業關注焦點,過去業界強調高可用性(High Availability,HA)與99.99%的服務水準承諾,但如今必須面對的現實是,雲端SaaS服務的中斷仍會發生。他以近期Cloudflare兩度發生服務中斷為例,說明企業開始思考是否需要第二家SaaS服務商作為備援,甚至重新評估地端(On-premises)部署的必要性。
林志方強調,F5從未放棄地端產品線,而是採取雲地並進的發展策略。他觀察到企業從安全性與可控性考量,落地部署正重新成為趨勢,尤其在AI應用場景中更為明顯。多雲環境下,企業不僅需要跨雲與地端的一致流量管理,更需要在任一服務中斷時具備快速切換的機制。
AI安全: Guardrails與Red Team雙軌並進
針對AI安全,F5台灣區資深技術總監陳廣融表示,企業面對的是難以預測且無法完全解釋的生成式模型,因此必須建立相應的防護機制。F5將AI安全分為兩個層次:AI Guardrails負責即時掃描檢查提示詞與回應內容,類似流量層的防護牆;而Red Team測試則透過模擬攻擊,找出潛在威脅並回饋至防護策略。
陳廣融指出,F5於今年併購的CalypsoAI公司在美國及亞洲市場已有實際案例,其語言模型相對完整,目前台灣也正在推動相關概念驗證。他坦言,AI安全不像傳統Web安全有明確的CVE漏洞可對應,標的相對模糊,這是F5將持續探索的領域。
林志方補充,台灣金融業已開始導入AI應用於防詐與智能客服,但近日新聞報導顯示,過於敏感的AI判斷導致用戶帳戶被誤鎖,解鎖程序繁複耗時。他認為,透過AI Guardrails建立適當的規範,可讓AI使用更加精確,避免大範圍誤判。
PQC備戰如Y2K,軍方與金融率先布局
在後量子加密議題上,林志方以2000年的Y2K千禧蟲危機作為類比。他表示,量子電腦的運算速度可能在數分鐘內破解傳統加密機制需要數天才能攻破的密碼,因此產業必須提前準備。美國國家標準技術研究院(NIST)已於去年底確認PQC相關規範,而F5在今年已推出Production等級的軟體支援。
陳廣融說明,F5的方案強調加密靈活性(Crypto Agility),透過全代理架構(Full Proxy)作為中介層,即使後端伺服器尚未支援PQC,也能先在面對網際網路的前端啟用後量子加密。他透露,目前軍方與金融單位對此議題高度關注,已有許多細節層面的討論正在進行。
林志方提及,上週NetApp主導簽署的PQC產官學聯盟,成員涵蓋資策會、數位發展部資安署,以及金誠、敦陽、華電、凱基等系統整合商,F5也是其中一員,顯示台灣產業界已開始為量子時代做準備。
API安全為Agentic AI基石
陳廣融強調,API安全是Agentic AI最底層的安全基礎。他指出,API安全不只是部署一個閘道就能解決,其中涉及認證授權體系的正確實作。以BOLA(Broken Object Level Authorization)漏洞為例,當A用戶取得授權後,若後端未妥善驗證權限,A用戶可能透過猜測路徑取得B用戶的資料,這類問題需要透過啟發式學習持續監測流量才能發現。
平台化策略整合四大趨勢
林志方總結,平台化是因應技術與營運變化的萬流歸宗之道。F5的ADSP(Application Delivery and Security Platform)平台從應用交付延伸至安全防護,整合地端與雲端部署,並透過併購與聯盟合作持續擴展能力。目前F5已取得NVIDIA在AI Factory架構的認證,並與NetApp、Red Hat建立合作關係,協助企業在AI時代建立兼具韌性與安全的應用基礎架構。
新聞來源:資安人