基於雲端平台提供的安全服務邊緣(SSE)解決方案,整合了雲端存取安全代理(CASB)、防火牆即服務(FWaaS)、網站安全閘道(SWG)、零信任網路存取(ZTNA)、資料外洩防護(DLP)、遠端瀏覽器隔離(RBI)等異質領域的資安技術,以單一控管平台,為雲端與地端存取行為建立一致性的政策措施。
隨著疫情受到控制、限制措施逐漸鬆綁,人們開始回歸正常生活型態,然而工作樣貌卻從此被疫情徹底改變,混合辦公已是大勢所趨。
根據Fortinet最新發布的《2023年隨處辦公資安洞察報告》統計,目前仍有60%的企業允許員工在家辦公,另外有超過一半的組織(55%)實行混合工作方式,讓員工有自由彈性的辦公時間和地點。
值得注意的是,《2023年隨處辦公資安洞察報告》針對全球及台灣570位資安專責主管進行調查,62%的受訪者回答曾因施行遠距辦公而導致資料外洩。追問其原因,41%認為源自家用網路及遠端連線的安全性普遍不足、38%員工使用公務裝置處理私人事務、30%居家辦公時並未遵循安全規範。
台灣網路資訊中心董事暨執行長黃勝雄指出,根據國際資安威脅情資來看整體態勢,去年(2022)網路犯罪事件經濟規模已達到6兆美元。攻擊手法不外乎利用漏洞執行滲透,以加密勒索軟體收取贖金,同時竊取高經濟價值的資料。
黃勝雄進一步提到,根據統計,平均每月有17.6億筆的資料外洩,攻擊者可在暗網中兜售,獲取額外利益。對於如此嚴峻的外部攻擊威脅,正在發展數位化的企業或組織勢必要有防範對策。
Akamai台灣總經理張茗表示,過去IT人員提出導入資安產品或服務的要求,往往無法取得高階管理層的支持。自從惡意勒索軟體普遍出現後,反而使投入資安防護的報酬率變得可被量化。例如依據產業遭遇攻擊後商譽的傷害與重建、檔案損毀造成損失,抑或是系統當機、生產線停擺的虧損,藉此評估建置防護機制的成本效益。
SSE平台統一建構混合雲安全
為了協助企業增添混合辦公的安全防護,市場上興起融合廣域網路相關技術與安全服務邊緣(Security Service Edge,SSE)技術的SASE(Secure Access Service Edge)發展框架,其中的SSE解決方案,正是既有資安技術供應商可發揮之處。
近年來市場上興起的SASE框架涵蓋了廣域網路相關技術與安全服務邊緣(SSE)技術,其中的SSE解決方案,正是既有資安技術供應商可發揮之處。(資料來源:Zscaler)
基於雲端平台提供的SSE解決方案,發展理念在於整合雲端存取安全代理(CASB)、防火牆即服務(FWaaS)、網站安全閘道(SWG)、零信任網路存取(ZTNA)、資料外洩防護(DLP)、遠端瀏覽器隔離(RBI)等異質領域的資安技術,以單一控管平台,為雲端與地端存取行為建立一致性的政策措施。
SASE框架是Gartner於2019年提出的願景,背景因素是企業或組織採用愈來愈多的雲端服務後,使得可遭受攻擊的層面變得更廣,防護機制須調整以符合主流的混合雲架構。定義上SASE框架由廣域網路技術與SSE方案所組成,卻始終難以羅列出完整兼顧二者的SASE供應商。直到2022年Gartner才首次單獨針對SSE解決方案發布市場調查報告,供企業或組織編列預算採購參考。
Zscaler資深技術顧問曾國偉說明,透過Gartner發布的市場調查報告亦可發現,資安業者確實認同SASE框架,且正在積極發展SSE解決方案。市場上既有的資安技術,例如網站安全閘道、資料外洩防護、雲端存取安全代理等,幾乎皆為SSE方案必要的特性。對於擁有自主研發能力的資安廠商而言,整合難度還不算太高。至於SASE框架中須進一步納入的軟體定義廣域網路(SD-WAN)、廣域網路優化、路由、SaaS應用加速等各類技術,發展較資安市場更早且已有龐大客群,相互整合勢必須要一段時間。
現代企業或組織當務之急,在於解決數位化應用、混合辦公模式的安全問題,SSE解決方案立刻即可協助。曾國偉建議企業,依據當前數位轉型計畫可能遭遇到的挑戰與解決手段,來設計整體安全防護架構,方可達到風險控管的效益。
ZTNA落實零信任控管政策
傳統防火牆、端點防護、雲端安全等資安機制,原本各自有擅長不同技術的供應商。近年來這些異質領域的資安技術廠商,卻不約而同相繼發布SSE解決方案,原因之一就是為了協助企業採行零信任控管模式。
Skyhigh Security資深技術工程師姚振鴻指出,零信任控管模式已成為當前企業資安防護政策主流,供應商研發產品的方向勢必也須跟進,設計出可實現零信任控管的措施,否則難以獲得企業青睞。SSE解決方案中涵蓋的ZTNA,亦成為關注焦點。
以往企業營運所需的應用系統皆部署在自家資料中心,員工在外差旅、拜訪客戶時如要使用,須透過VPN連線回到資料中心存取。在數位化發展需求以及過去三年疫情衝擊之下,應用系統遷移到公有雲環境或直接採用SaaS服務的比例逐年增長,傳統網路架構設計的VPN已無法滿足應用需求。因此,以使用者與應用程式為中心的ZTNA,逐漸成為現代企業控管存取安全的主流技術。
ZTNA可基於存取控管政策,為遠端工作者建構存取地端資料中心與雲端服務的安全環境。使用者不論在何處發起存取請求,都須透過SSE雲端平台的ZTNA機制驗證身分,依據角色配置最小權限以存取應用服務。SSE雲端平台扮演中介者的角色,讓應用服務無須直接公開在網際網路上,可大幅降低資安風險。即便使用者作業系統端環境已遭惡意程式入侵,橫向滲透也只能接觸到SSE雲端平台,沒有機會感染應用服務。
瀏覽器隔離防入侵兼顧用戶體驗
在SSE解決方案中,另一個受到矚目的技術是遠端瀏覽器隔離(RBI)機制。曾國偉說明,以往控管員工上網行為,大多是比對網站分類資料庫,以判斷是否為可允許存取的網站。無法判別的網站則全數歸屬未分類,在資安管理政策較嚴謹的企業便會予以封鎖存取,往往影響用戶體驗,造成IT或資安人員額外負擔。RBI機制即可確保落實用戶上網行為控管,兼顧用戶體驗。
以Zscaler為例,作法是在未分類網站的控管措施中,除了執行允許、封鎖,再增添RBI可選用。用戶上網瀏覽網站,判斷屬於未分類時,可自動把傳輸流量導向Zscaler零信任架構(Zero Trust Exchange)雲端平台。其運作方式是啟用Container環境,代理執行用戶端瀏覽行為並回傳畫面影像。不僅可讓用戶自由點選瀏覽網站、保障體驗,同時徹底防堵遭到惡意程式滲透的機率。
曾國偉指出,Zscaler設計的RBI機制還可進行更細緻的控管措施。例如禁止或允許用戶複製文字貼到網站上輸入、可開啟網站的檔案但禁止儲存到本機等等,以防堵文件檔案夾帶惡意程式滲透用戶端作業系統。