因應混合辦公或隨處辦公,企業資安防護機制須跟進轉型,所以市場上興起SASE(Secure Access Service Edge)框架,可讓員工在任何地點發起存取SaaS或內網應用資源,都能保障安全性與用戶體驗。
SASE框架的核心機制是基於雲端平台,整合了軟體定義廣域網路(SD-WAN)與安全服務邊緣(SSE)相關技術。例如Palo Alto Networks旗下的Prisma Access平台,整合了自家Prisma SD-WAN,以及防火牆即服務(FWaaS)、零信任網路存取(ZTNA)、雲端安全網路閘道(SWG)、雲端存取安全代理(CASB)、資料外洩防護(DLP)、遠端瀏覽器隔離(RBI)等SSE技術。Prisma Access部署在Google Cloud及AWS公有雲端平台,全球已有上百個接取點可提供服務,為混合工作模式抵禦各種類型手法的攻擊威脅。
Palo Alto Networks台灣技術總監蕭松瀛指出,根據Gartner提出SASE框架的定義,須包含SD-WAN等廣域網路相關技術,以及安全服務邊緣。「Palo Alto Networks可說是少數擁有完整SASE框架的技術供應商。透過Prisma Access統一雲平台來提供一致性控管服務。」
Prisma Access基於完整性、一致性、正確性的原則,搭建整合式平台,讓Prisma Access的自主數位體驗管理(ADEM)具備端對端可觀察性,有助於降低維運的複雜度。ADEM可藉由蒐集保存的大數據增進機器學習模型準確度,進而運用AIOps,協助企業IT或資安團隊釐清問題與排除,降低平均解決時間(MTTR)、提高生產力。
蕭松瀛指出,過去採用代理(Proxy)模式部署防護的企業,可改以SASE為基礎的SWG服務。Prisma Access提供以GlobalProtect為基礎的Explicit Proxy,利用PAC(代理自動組態)文件指定將瀏覽器的流量,轉發到網頁代理伺服器而非真實網站,以確保HTTP/HTTPS存取流量安全性,不須改變網路架構。
此外,Prisma Access平台內建進階URL Filtering技術,避免遭到高度隱蔽的中間人(MitM)釣魚攻擊。蕭松瀛說明,當前有許多專供網路釣魚攻擊的SaaS平台,攻擊者在其上建立偽冒的登入頁面,再利用Proxy作為中介與正牌伺服器溝通,登入過程中受害者不覺有異,但身分憑證已遭竊取。進階URL Filtering則可幫助SaaS平台防禦釣魚攻擊手法。隨著現代化網頁攻擊日益精密和規模化,Prisma Access亦納入實作AI應用即時偵測,提高惡意行徑判別的準確度。
Palo Alto Networks台灣技術總監蕭松瀛指出,Prisma Access引進AI應用增進營運架構洞察力,以及持續監控安全性。IT人員可藉由控制中心(Command Center)儀表板掌握用戶、外部據點的狀態指標與根本原因分析,保障用戶體驗。
至於零信任管理模式重要的身分驗證,Prisma Access可支援PingOne、Azure AD、Okta等方式,藉由SAML標準協定執行驗證。假設企業制定的安全政策需要使用地端的Active Directory執行身分驗證,可藉由Prisma Access提供的Service Connection機制,以IPSec傳輸回到資料中心存取應用資源。