自農曆年前2019新型冠狀病毒(Covid-19,武漢肺炎)開始肆虐全球,至今尚在延燒,儘管初期台灣疫情控制得當,本土企業仍積極制定緊急因應對策,尤其是兩岸三地的企業,工作者被要求在家工作(Work From Home)以免感染,所幸近年來台灣企業因應行動化需求,正逐步把辦公室環境轉型為數位化場域,正可在感染疫情未平息之前,讓員工在家完成工作任務,發揮數位工作模式的優勢。
對於因應全球傳染性疾病爆發而必須在家出勤、遠端執行日常工作的員工,特別是必須接觸到機敏資料的工作者,若採用消費端的工具,安全性恐有疑慮。VMware副總經理暨技術長吳子強指出,VMware Horizon可同時交付桌面虛擬化(VDI)環境與應用程式,在新型冠狀病毒肆虐時期,兩岸三地的企業員工在家工作比例突然增加,Horizon正可輔助。
VDI捲土重來保障遠距工作安全
同樣在本土累積許多客戶的Citrix Virtual Apps and Desktops,Citrix大中華區高級技術經理何浩祥亦指出,VDI在台灣的導入建置無法達到普及,主要在於平均每位員工的成本過高,企業寧願沿用配發桌機。吳子強不諱言,VDI確實是需要大筆預算的建置案,相較於每個人配發實體的桌機或筆電來得高,當然VDI與實體主機的安全性完全無法相提並論,但是當企業對於安全性認知較低時,大多會以價格為評估標準。
零信任模型的組成元素共同發揮作用,可基於存取行為狀態指標,自動實施合適的控管政策,依據應用場景重新定義資安措施。(資料來源:www.microsoft.com)
「早期導入部署VDI的企業,大多具備高度資安意識,或者是針對企業內部少數掌握營運命脈資料的員工才會實際部署應用,如今這類型需求大致已經滿足,因此近年來在市場上的討論聲量下滑。但仍可能隨時湧現大量需求,就如同新型冠狀病毒,當外部風險因素持續發生後,自然驅動企業接受度提升。」吳子強說。
何浩祥則認為,事實上並非每個員工都必須使用VDI環境,建議可在評估時先依據工作職責先行分類,再依照風險等級優先配置。他強調,依據實際協助客戶導入的經驗,平均每個員工的成本大約不到二萬台幣。「多數人認同改用虛擬化桌面的工作模式可提高安全性,但是往往誤以為必須得投入高額的建置成本,實際上只要依據員工職責進行分類,配置合適的存取環境與應用服務即可,如此不僅大幅降低建置成本,亦可確保安全無虞。」
現代化應用驅動資安政策演進到零信任
自從行動化掀起IT轉型浪潮,雲端化應用更驅使傳統地端的軟體與硬體解決方案的底層實體資源改以Python等程式調度,應用層則是演進到微服務(Microservice)架構,增添員工自攜裝置執行工作任務的便利性。與此同時,以往認知的安全網路範疇亦隨之改變。
台灣微軟Microsoft 365事業群副總經理陳慧蓉觀察,當前企業營運模式的改變,工作者變得高度行動化,以前IT管理資安問題較為單純,可基於防火牆明確地區分內網與外網,並且內網環境為可信任,但在高度行動化以及工作負載日漸分散的應用趨勢下,「安全邊界必須重新定義」的呼聲日高,過去思維已不再適用,必須演進到零信任(Zero Trust)的安全管理模式,其核心原則在於身份與裝置未經過認證通過之前,不允許存取任何資源與檔案。
「之所以發展到零信任模式,主要驅動因素在於行動化,但是我們並非僅基於EMS Intune控管設備,更重要的是身份認證機制,也就是基於Azure AD來實作提供單一登入機制。」陳慧蓉說。
針對存取行為方面,偵測到異常時,必須盡快發出通知,清楚地指出問題所在。微軟最具優勢的是擁有Intelligent Security Graph(智慧型安全圖表),基於微軟全球企業用戶,每天蒐集超過超過十億筆的資料,從中釐清攻擊訊號,再加上協同不同地區的政府組織,可取得更多有利於分析的行為軌跡,一旦解析發現異常時,會觸發執行通知與採取行動,先行緩解異常狀態。
傳統資安防護部署的是端點防護來確保安全性,問題是,告警通知相當多,IT人員可能半夜收到告警通知,得花費許多時間確認與查看,無法第一時間執行正確的回應,這段期間攻擊活動可能已擴散,現在有人工智慧輔助分析,不僅有條理地釐清問題,同時建議可採取行動的執行方針,或是偵測到異常時自動處置。現階段最麻煩的是,防禦工事開始採用人工智慧輔助,駭客攻擊活動同樣也是,陳慧蓉強調,現代的攻防戰通常是跟時間賽跑,微軟建構的Intelligent Security Graph較駭客組織擁有更龐大知識庫,較有機會最大程度地降低損害。
參考BeyondCorp框架 重建存取控管
最早提出建構零信任模式框架的當屬Google BeyondCorp,從員工與設備存取內部應用系統的程序,重新構想整體安全架構。何浩祥指出,Google大約自2012年就已開始計畫,2013年開始實施到2019年完成建置,共花費了6年時間。之所以花這麼多年做這件事,其中一項因素在於處理帳密風險的控管,稱為Identity Aware Proxy服務,可讓行動辦公的業務單位無需VPN,只要通過認證即可存取任何系統,保障用戶體驗。
他進一步說明,BeyondCorp的框架,大致可區分為使用者層、存取層、控制層,使用者不論在公司內部或外部發起存取需求,通過RADIUS或Proxy,銜接存取控管引擎,以判斷身份與相對應的權限,才准許正常存取。「落實整個安全框架,即便擁有龐大研發能量的Google,都得花費6年時間才完成全球建置,一般企業欲效法,勢必難度更高,此時即是Citrix長期累積的技術與知識可發揮之處。」
Citrix從早期的虛擬化開始演進,從XenApp發展到XenDesktop、XenMobile,主要是從應用程式存取行為切入,以確保安全性。至於網路環境,則是由NetScaler來保護,同時也優化傳輸品質。類似於BeyondCorp模型,Citrix設計的框架是使用者層、存取控管層、資源層,其中的存取控管層,即可藉由Citrix解決方案快速地建構零信任工作場域。
「針對安全性與法規遵循需求設計的Secure Digital Perimeter,可優化應用服務網路傳輸,以及確保虛擬化、行動化的存取安全。Citrix最新發展的Analytics主要用於接取使用者層,可蒐集存取行為相關資訊,進而基於機器學習演算分析,讓IT管理者藉由Citrix Cloud掌握混合雲架構中,使用者存取資源的即時狀態。」何浩祥說。