軟體定義資安鐵三角 搭建整合式雲端安全

2020-10-15
擅長次世代防火牆(NGFW)的Fortinet,其SD-WAN技術作法是直接內建在FortiGate韌體中,提供廣域網路路徑選用、緩解調控,以及輔助維運的集中式控管操作介面,幫助企業建置安全的分支機構。

 

搭配FortiSwitch、FortiAP組成資安鐵三角,建立有線與無線整合的安全分支機構(Secure SD-Branch)聯防體系。日前再宣布收購OPAQ Networks取得SASE(Secure Access Service Edge)雲端安全服務當中的零信任網路存取(ZTNA)專利技術,成為市場上少數可完整實踐SASE框架的服務供應商之一。

Fortinet技術顧問楊光明指出,SD-WAN可說是SASE框架中核心的技術之一。國際市調機構之所以提出SASE趨勢,正是因為市場上SD-WAN相關安全技術已備齊,能用於提高雲端服務的可用性與安全性。SD-WAN建立了底層關鍵的網路連接,借助安全的SD-WAN技術,提供諸如最佳路徑選擇、應用存取控管等機制,對於終端用戶來說,只要發起存取雲端服務需求,即可自動被安全地導向最接近的資料中心。

NGFW內建提供SD-WAN技術

Fortinet資安產品線相當廣泛,正可涵蓋SASE範疇,特別是次世代防火牆FortiGate已經內建SD-WAN,不需要額外授權,楊光明強調,「這也是為什麼FortiGate可獲得本土企業認同的因素之一。」

對企業而言,FortiGate堪稱進可攻退可守的投資,例如在其他區域增設營運據點時,為了資安風險控管,多數會導入部署次世代防火牆,此時由於該設備已經內建SD-WAN,企業用戶只要擬定策略並且開始執行,啟用功能即可設定配置,無須再添購。

現代企業常見同時具備MPLS專線、Internet、LTE傳輸線路,自從SaaS應用模式興起之後,不論任何地點存取通常會直接本地卸載(Local Breakout),這類型企業看重的是員工生產力,對SD-WAN的需求較高。至於那些尚未採用Microsoft 365、Salesforce等雲服務的公司,抑或是如同金融業,關鍵應用系統仍在自家資料中心,對於連線存取架構改變的急迫性則較低。

只是隨著各產業積極發展數位化應用場景,雲端服務採用的數量勢必逐漸增多,若仍維持既有的廣域網路架構,極可能因為傳輸過程得經過多處節點,導致延遲過長、回應速度過慢的狀況。

整合式平台取代異質技術獨立建置

為了讓員工隨時隨地存取SaaS執行工作任務以提高生產力,企業網路提供直接本地卸載,卻導致IT管理者無法介入掌控,恐引發資安破口。因此,SD-WAN架構從初期推廣的新創公司,發展至今已有多種IT技術領域例如網通、資安、虛擬化等供應商切入,皆無法避免必須在SD-WAN架構中增設安全控管機制。

楊光明說明,Fortinet設計理念在於提供整合式平台,也就是在次世代防火牆的架構中納入SD-WAN功能,並非採以實體模組或啟用虛擬主機方式提供,而是直接研發在韌體中整合運行。

「既有的次世代防火牆本就要接取Internet,這可說是Fortinet的優勢,讓SD-WAN架構同樣具備攻擊防禦、入侵偵測等資安機制。如此一來即可取代分支機構本來就須具備的防火牆、路由器、交換器甚至廣域網路加速設備,改以整合式平台來提供,既簡化了複雜的建置程序,上線後亦可便於維運。」 除了整合式架構以外,也有業者採用虛擬化技術建置,例如近幾年受到關注的NFV(Network Function Virtualization)。不過,楊光明引述Gartner在2019年提出的WAN Edge研究報告中指出不建議企業採用NFV架構,主因在於恐衍生出管理的複雜度。畢竟NFV是來自多個技術領域所整合運行,只要其中一個虛擬化功能版本更新,其他組成元件或許就必須隨之調整,才可順暢運行;同時,在問題排除方面也較難釐清根源。

依據存取風險等級套用隔離政策

Secure SD-WAN是SASE框架中定義的核心功能,其他還包括防火牆即服務、網頁應用閘道、雲端存取代理、零信任網路存取;建議採用的功能項目則是網路沙箱、瀏覽器隔離、WAF/API防護、設備控管技術等。對於企業而言,SASE可說是邁向多雲服務的新思維與新形態安全架構,把發展已相當成熟且多樣的網路安全功能雲端化,結合廣域網路傳輸技術,正可滿足企業或組織動態安全存取多雲服務的需求。

從SASE的角度來看,WAN Edge須具備SD-WAN能力,Fortinet近年來持續推廣運用FortiGate、FortiSwitch、FortiAP組成資安鐵三角,本就已經可運用軟體定義方式為分支機構建構完整防護。SD-WAN較著重於對外接取網際網路的傳輸,至於內部網路,仍舊得運用防火牆進行隔離,整合控管有線交換器與無線基地台。

楊光明觀察,實際上企業端本就在思考新設立分公司時IT架構須具備的能力,尤其是金融業,主管機關要求內網必須實作隔離,若採用既有的解決方案實作,必須在路由器與交換器設備上增添設定ACL,嚴格限制存取的位址。問題是ACL配置相當複雜且繁瑣,近年來企業好不容易才把原本部署在閘道端的防火牆也引進到內網,藉此建立隔離的網路環境,以避免遭受病毒感染時瞬間大規模橫向擴散的狀況發生。

SASE提出的隔離機制更細緻,可依據人員、設備、存取的資源來定義隔離方式,例如員工存取Microsoft 365時,可運用VPN來進行傳輸防護;存取CRM服務時,網路傳輸的可靠度與安全性等級須更高,SD-WAN亦可強制套用政策配置。

Fortinet技術顧問楊光明建議,雲端應用模式已是大勢所趨,策略性的逐步發展才可逐漸過渡到未來的數位化架構,因應而生的新技術無論企業當下採用與否,仍應掌握發展脈動,以免日後不慎選用舊技術而無法擴展。

前述的隔離機制即是SASE框架中「零信任網路存取」的一環。此外,近來相當熱門的SSL-VPN,之所以重新受到關注,主要即是因應後疫情時代的新常態工作模式,多數企業過去採用SSL-VPN的數量並不多,帶來的資安疑慮較少,如今遠距辦公逐漸變得普遍之後,遠端VPN連線辦公已成為常態,資安邊界幾乎徹底被打破,首先會被提出來討論的是帳密強化機制。

「當每位員工皆配置VPN的連線帳密時,必須增添雙因子驗證機制才有能力降低帳密外洩的資安風險。這對於金融業來說已經不陌生,但是多數企業過去對於VPN連線的把關較不嚴謹,如今身份驗證機制則成為必要的控管措施。FortiGate本就內建提供雙因子驗證,不需額外授權費用,開啟即可運行。」

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!