SASE雲端安全落地　整合防禦遠端工作威脅

既有IT架構轉型到混合雲，除了資安管理政策須調整成以零信任（Zero Trust）為預設，國際調研機構Gartner於2019年亦針對雲端應用模式提出了SASE（Secure Access Service Edge）實作框架，幾乎已成為網路安全技術相關廠商發展的目標，其中包含企業IT基礎架構必要的次世代防火牆（NGFW）業者等，正陸續齊備SASE解決方案，把過去防禦邊界的技術推向用戶端應用場景，讓遠端工作者不論任何時間、任何地點、任何存取行為，皆得以具備安全防護。

自從2009年前後NGFW概念興起，如今NGFW已是資料中心不可或缺的防禦設備，主要功能是基於深度封包檢測（DPI）技術，阻斷Layer 4到Layer 7攻擊流量。著眼於企業應用系統部署在IaaS或基於PaaS開發微服務架構的數量激增，NGFW技術供應商近年來皆已在主流公有雲平台環境提供防火牆即服務（FWaaS），提供URL Filtering、進階威脅防護（ATP）、入侵防禦系統（IPS）、DNS Security等機制。只是台灣本土企業以往對於雲端服務採用率不高，FWaaS未能有所發揮。

隨著疫情催化數位轉型腳步加速，不論發展方向是智慧製造、智慧城市、智慧醫療等，雲端服務皆扮演關鍵的要角，資安風險控管議題亦隨之受到高度重視，如今國際間最新的雲端安全防護框架已演進到SASE，組成元素不僅只有FWaaS，其他包括網頁安全閘道器（SWG）、雲端存取安全代理（CASB）、零信任網路存取（ZTNA）皆屬於SASE範疇，同時藉由底層的軟體定義網域網路（SD-WAN）確保連接的可靠度，以完善地保護遠端工作者在任何地點發起的連線與存取安全。台灣市場上活躍的NGFW廠商，例如Check Point、Forcepoint、Palo Alto Networks等，也自去年（2020）開始紛紛基於自家擅長技術發展SASE解決方案。

IT轉型滿足遠距辦公應用需求 

疫情促使IT轉型刻不容緩，Palo Alto Networks台灣技術顧問總監蕭松瀛觀察，首要的轉變是網路環境，須同時滿足辦公室與遠距辦公所需的網路頻寬、安全保護措施，意味著既有企業內部已建置部署的控管措施，遠距辦公也得套用。其次是資料中心，當多數員工開始遠距辦公，網際網路的存取行為不再全數連回資料中心，應用系統未必得集中建置在企業內部，開始有更多企業考慮採用公有雲服務，演變成混合雲架構。第三是工作流程中納入自動化工具，例如近年來興起的機器人流程自動化（RPA）、資安協調、自動化與回應（SOAR）等工具。

從產業面來看，台灣高科技製造業的發展腳步較快，特別是海外設立據點的企業，已經開始採用雲端安全防護服務，背後驅動力即為了防疫，雖然台灣疫情控制得當，並未強制實施遠距辦公，但國外地區員工幾乎無法進入辦公室，IT部門自然必須調整現行架構以滿足遠距辦公需求。

疫情迄今一年多後各國開始施打疫苗，但實際成效仍有待觀察，在達到全球性群體免疫之前，多數的工作者勢必會逐漸適應混合辦公模式，企業也考慮縮小辦公室規模的可能性，節省下成本轉換為針對居家辦公的員工給予額外補助、添購工作所需的硬體設備，蕭松瀛認為，長期來看，這種型態工作模式將會續存。Forcepoint北亞區技術總監莊添發同樣觀察到，IT近幾年發展趨勢原本就在逐步轉型階段，只是疫情爆發後加快轉型速度，像是雲端運算應用模式，台灣企業採用的速度雖相對其他地區來得慢，但受到疫情影響，企業已加速制定採用雲端相關服務的策略，進而讓零信任、SASE防護方法受到關注。

SASE整合防護框架降低複雜度

實際上，自從筆記型電腦與智慧型手機發展至今，用戶端已經可以在任何地點、任何設備、存取任何應用服務，才能在2020年疫情爆發時，緊急實施在家工作以維持營運不中斷。Check Point台灣區技術總監傅國書說明，過去辦公模式需要VPN連線回到公司內網存取資源的員工並不多，COVID-19爆發後，IT部門第一時間只能緊急採購增加VPN授權數量，讓全數員工得以在家使用私人桌機或公司配發的筆電來執行工作，尚未能顧及資安方面的疑慮。

傅國書強調，不論是私人或公司配發的設備，若同時有權限啟用VPN連線登入應用系統與直接瀏覽外部網站，則設備本身的風險等級過高，勢必得有所控管以強化存取行為的安全性。只是如此一來，須涉及範圍相當廣泛，首先是連線裝置最基本得安裝端點安全軟體，其次是網路傳輸得有能力偵測惡意攻擊。再加上現代的混合工作型態，須存取外部網站、雲端服務、公司資料中心的應用系統，以資安的角度來看，必須增添郵件安全、防毒、機敏資料防護等機制，同時兼顧合規性，複雜度相當高，這正是資安業界普遍認同建立SASE整合防護框架的重要因素。

NGFW大廠相繼收購強化技術

Check Point於去年（2020）收購Odo Security取得Clientless SASE技術，整合Infinity威脅防護架構，日前發布了Harmony端點解決方案，具備零信任存取、易於操作的單一介面，保護企業配發或自攜裝置（BYOD）網路連線免於遭受已知與未知的攻擊。

近期Palo Alto Networks亦推出全面的雲端交付平台Prisma Access 2.0，確保遠距工作安全，搭配日前收購Sinefa取得的自主數位體驗管理（DEM）技術以自動修復網路問題，同時CloudGenix提供的CloudBlades API，可讓第三方技術得以整合到CloudGenix SD-WAN環境，近期更發布遠端瀏覽器隔離（RBI）技術，用以限縮使用者的操作功能，降低資安風險疑慮。

Forcepoint北亞區網路安全專家洪肇隆指出，Forcepoint的SASE解決方案整體運行架構核心技術為資料外洩防護，藉由遠端瀏覽器隔離技術可代理用戶端瀏覽外部網站，運用檔案清洗技術過濾掉可能被利用來發動零時差攻擊的程式，再遞送回到用戶端瀏覽器呈現，可在不影響用戶端操作體驗的前提下保障安全性。他說明，Forcepoint擅長的網頁安全防護技術，可抵禦九成以上的外部威脅，針對無法判別的網站，若欲更加嚴謹地防範使用者瀏覽時遭遇惡意滲透，RBI技術即可達到保證安全無虞。

蕭松瀛認為，從各家技術供應商加快發展雲端服務的速度可發現，企業內部控管既有網路邊界防護，已延伸推向員工設備與連網行為，對於IT人員來說，能提供統一控管平台的SASE解決方案將更顯重要，讓地端與雲端應用環境採以相同政策，基於單一平台配置與監控沙箱、IPS、防毒等防護措施，藉此解決傳統資料中心由於不同供應商皆提供專屬管理介面，而導致維運效率難以提升的問題。