資安不能兩套標準　納入雲端實踐全面管控

台灣企業面對全球高度蓬勃發展的雲端應用服務，Palo Alto Networks台灣區總經理尤惠生觀察，「過去多年來大家探討雲端運算，認為似乎言之過早，又有許多法規規範限制，例如金融業，使得發展的腳步已較其他國家落後。但是今年較特別的是，在微軟大力推廣Office 365的影響之下，促使本土企業逐漸接受雲端應用服務，因而衍生出的整合應用商機甚至比國際龍頭AWS更多。」

微軟與AWS兩大公有雲平台之所以有所差異，尤惠生認為，「AWS最初是從消費端、個人開發者市場切入，強調自助式服務以及節省實際硬體建置費用；微軟則從Exchange郵件伺服器以來，皆透過綿密的專家服務，提供企業營運所需的核心應用，因此當微軟大力推動Office 365，我們亦可搭配微軟合作夥伴，共同經營本地市場。甚至可進一步搭配桌機、伺服器的經銷商，引入Palo Alto的端點安全與Aperture雲服務方案，畢竟現代企業應用環境已進入多雲架構，外部威脅又刁鑽難防，終端與雲端皆必須鞏固安全性，才可降低資料外洩的風險。」

次世代防火牆延伸雲服務建立可視化

▲ Palo Alto Networks台灣區總經理尤惠生認為，資安建置必須取得平衡點，規畫設計一套適合自家應用情境的框架，才得以在不影響使用者操作體驗下，落實資安治理政策。

在Palo Alto既有的次世代防火牆系統中，本就已具備各式網路應用服務、使用者行為模式的可視性能力，以此為基礎，搭配雲服務來輔助執行內容分析與檢測更具綜效，因此Aperture服務在定位上，並非為獨立存在的解決方案，而是次世代防火牆的延伸，讓客戶經由訂閱啟用服務後，規畫整合於既有的控管政策。

CASB市場的定義，功能機制須包含可視性、合規性、檔案加密、威脅防禦等項目，確實可強化雲端應用服務所欠缺的安全性，但藍博彥觀察，現今企業環境絕大多數仍保有內部應用系統，基於次世代防火牆建立可視性，更能達到整合控管的目的，畢竟雲端應用服務主要的場景，仍舊以企業內部居多，因此在閘道端就必須定義合法、非法、未知的應用行為，進而對應到使用者行為，才得以依據企業制定的控管政策實施措施，不應該在更換到雲端環境後有所妥協。

單一政策控管 雲端應用服務

至於探討多年的影子IT問題，藍博彥認為，主因在於初期發展的雲端網路應用服務，關注的焦點是以創新為主軸，雲服務供應商傾全力設計研發符合人性的操作介面、豐富的統計報表，卻忽略了安全保護機制，因而造就出新興的CASB市場。

「其實CASB解決方案的核心意義，在於幫助企業把商業應用系統切換到雲服務，因此可發現CASB市場近兩年成長速度相當快，當時的新創公司幾乎全數被既有IT解決方案供應商收購，原因即在於企業內部應用系統轉變為雲端應用服務的過程中，需要有可整合安全性的技術。」

▲ Palo Alto基於次世代防火牆平台所制定的統一控管政策，搭配Aperture服務控管雲端應用環境，一旦行為違反政策原則，將觸發Aperture啟動隔離檔案，防止資料外洩事件。（資料來源：Palo Alto Networks）

他進一步指出另一項觀點，當IT廠商在收購CASB技術後，不外乎成為獨立產品線，或者是整合到現有資安平台，例如Palo Alto。之所以須要整合到資安平台，主要因素是CASB原本較擅長的可能是內容偵測、權限控管、存取邏輯等面向，還需要進一步搭配資安技術才得以完善。假設由非資安廠商所併購，則難以運用CASB擅長的技術為基礎，整合雲端應用服務所需強化的安全性，例如因應新型態攻擊手法最關鍵的威脅情資。

藍博彥強調，「管理機制結合威脅防禦，才足以有效保障雲端應用服務可正常運行，因此Palo Alto發展新世代安全平台策略思維是以次世代防火牆為平台，延伸提供Aperture服務，而非為了爭取CASB市場而併購CirroSecure。」

就實際運作架構來看，Aperture服務已整合介接WildFire沙箱分析平台，輔助雲端應用服務環境偵測惡意程式攻擊威脅。WildFire雲端服務可說是Palo Alto解決方案的核心要角，所有產品線皆可藉此平台執行未知檔案的模擬分析，並且回饋蒐集取得的最新情資。

「WildFire自動化建立防禦機制，可說是Palo Alto較獨特之處。」藍博彥強調。只要在勒索病毒爆發後取得樣本，五分鐘之內即可基於機器學習引擎產生特徵碼，並且自動部署到次世代防火牆、端點、虛擬主機、行動裝置執行防護，毋須人力介入。 尤惠生也指出，當雲端應用服務更廣泛地被採用的同時，Palo Alto憑藉著伴隨企業IT走向雲端所累積的知識，下一步將以更宏觀的視野，從資安治理的思維勾勒出整體框架，以降低企業在數位轉型過程中可能面臨的各種資安風險。