Citrix大中華區技術總監何浩祥觀察,控管工具之所以演進如此快速,主要在於改善安全控管措施對使用者體驗的影響。事實上,企業為了確保安全無虞,把控管措施不斷地疊加到員工與設備接取應用服務的操作流程,對於IT管理者而言,資安工具只會增加不會減少,光是維運確保可用性就已疲於奔命,隨著原本企業內部的工作負載部分轉移到雲端,衍生存取安全問題又是新的考驗。「現階段的困難之處在於難以結合各個控制點。必須全面性地綜觀全局,才有能力解決用戶體驗、業務風險升高、IT管理變得複雜的相關問題。」何浩祥說。 對此,Citrix設計的零信任數位工作場域,便如同Google提出的BeyondCorp框架,基於員工工作模式,以不影響用戶體驗的前提下,解決資安與業務風險問題,降低IT控管難度。
不管是消費者或員工的使用體驗,都是當今數位化最重要的關鍵指標。他強調,根據Citrix內部調查顯示,當員工體驗提升後,隨之增長的還包括20%的生產力、10%的客戶滿意度,以及21%的盈利。由此可發現,在數位化年代,生產力與營收兩者之間的存在高度關聯性。
Intelligence分析存取資源狀態
Citrix提出的零信任建構方式,以員工的體驗為前提,增添資安措施與符合法規規範。核心理念是把人與設備拆離,將設備依應用需求納入管控,否則一旦兩者預設為綁定則失去彈性。此外,企業擬定計畫時,既有資料中心與未來雲端服務結合的混合架構亦必須具備彈性,如此方可同時滿足應用服務與資料的增長。
至於工作場域的技術架構,Citrix參考BeyondCorp框架中的存取層與控制層設計,整合Citrix既有多項技術共同運行。針對安全性與法規遵循需求,設計數位安全場域(Secure Digital Perimeter),可優化應用服務網路傳輸,以及確保虛擬化、行動化的存取安全。
何浩祥說明,當各種不同連網設備採用單一加密網路傳輸發起存取需求,連線到Citrix ADC(前稱為NetScaler)負責遞送到閘道端設備執行身份驗證,通過後並非直接讓連線存取應用系統,而是啟用虛擬App與虛擬桌面讓使用者執行操作,即使出現惡意存取行為,也不至於感染到應用系統本體,抑或是橫向感染其他主機。此外,Citrix最新發展的Analytics用於掌握來自使用者層連線行為,可以蒐集存取行為相關資訊,進而基於機器學習演算分析,讓IT管理者藉由Citrix Cloud統一管理平台監看混合雲架構中使用者存取資源的即時狀態。
依據使用情境配置存取政策
在整個零信任工作場域中,使用層可藉由裝置上安裝的Citrix UEM(原稱為XenMobile)搭配新推出Citrix Virtual Assistant虛擬助手,不僅只是即時回覆使用者詢問的問題,亦可藉由現代人慣用的語音辨識來執行操作。
關鍵的存取與控管層,通過閘道端的Citrix ADC或IDaaS身份認證機制後,啟用Citrix Virtual Apps and Desktops(原稱為XenApp與XenDesktop),若為內部部署的方案可採以單一登入方式存取資源。至於本土企業普遍採用Office 365等雲端服務,若身份認證仍沿用既有自建的Active Directory,亦可透過Citrix輔助執行。
「存取資源運用虛擬化技術予以隔離,除了確保安全性以外,所有操作行為都會被記錄或錄影存檔。由於映像檔案都是集中管理,可統一執行更新與派送,若發生問題則回溯到之前的版本即可,可省去IT人員逐台執行操作的時間。」何浩祥說。
其中較特別的是情境式存取控管,何浩祥說明,意思是根據不同情境建立合適的存取控管策略,例如存取核心系統時若人在公司外部,則增添OTP驗證,加強身份認證的機制。近期增添的新功能是防止鍵盤側錄與螢幕截圖,IT管理者透過Citrix Cloud啟用即可配置。當使用者開啟機敏文件時,會自動加上浮水印,執行螢幕截圖的圖檔存檔後呈現黑色,鍵盤側錄則是會被轉換成亂碼,以降低資料外洩風險。
Microapps自定義工作流程
除了加強行動化工作的安全性以外,企業內部應用系統前端操作介面的App化,以及允許採用的SaaS數量正逐漸增加,Citrix Workspace對此提出了Microapps服務,讓員工依照工作需求自訂系統執行的程序。
實際上,企業內部應用系統功能相當多,但是多數員工平均卻只用了不到五種功能,可能為了請假、核銷帳款等事項,得開啟龐大的應用系統執行操作。何浩祥指出,根據Citrix調查數據發現,員工得花費20%的時間在找公司內部資料,44%的員工期待企業內部應用系統也可以如同消費端App一樣操作執行。為了幫助企業以最低開發成本的方式,解決傳統應用體驗不佳的問題,Citrix在新推出的Analytics,設計以Microapps方式拆分應用系統的功能,讓員工得以在行動裝置的Workspace區域,配置Action完成瑣碎的操作。
Citrix大中華區技術總監何浩祥建議,導入零信任架構之前,須先定義使用者類別,依據任務型態決定部署的優先順序,從工作任務單純的部門著手,再逐階段地實施到重度仰賴內部應用系統的行政、財務、人資等部門。
何浩祥說明,Microapps目前已可支援連接超過40種常見的SaaS,例如Salesforce、ServiceNow、Workday等,寫入SaaS的執行動作可基於OAuth身份驗證機制。
至於企業自行開發的系統,則可透過專業服務方式,把員工經常使用的功能,轉換成獨立的Microapps,再由IT管理者依據工作職掌範疇配置權限,藉此建立執行的流程。當員工處於在家工作、出差等狀況下,必須存取企業內部資源時,藉由安裝代理程式即可運用Action自行定義所需的App與執行方式。