在少子化、人才稀缺的世代,台灣眾多的跨國企業,為了留才與吸引更多優秀人才加入,混合工作模式已演變成員工福利項目之一。近年來資安業興起的SSE(Security Services Edge)雲端服務,正可確保員工隨處辦公的安全性。Zscaler基於雲端原生開發Zero Trust Exchange平台,在全球超過150個據點部署軟硬整合伺服器。企業員工可藉由Zscaler Client Connector轉發網路流量,運用Zscaler Internet Access、Zscaler Private Access等服務確保用戶體驗與存取安全性。
Zscaler資深技術顧問曾國偉觀察,過去三年來企業因應防疫需求開放員工遠端工作,發現生產力不減反而更高,可說是業主繼續延用疫情期間的混合辦公措施因素之一。另一方面,員工在居家辦公期間,已培養讓工作與生活更加平衡的方法,一旦公司強制要求回到辦公室,或許可能無法留住優秀人才,這也可說是企業採用混合辦公模式的驅動力。
然而以現行的企業IT架構與資安管理,若要滿足隨處皆可辦公,仍有相當挑戰。曾國偉認為,首先遠端工作者須存取公司內部系統,最簡易的作法是提供VPN服務,問題是VPN存在許多漏洞,可能成為資安的破口。其次,全球皆有分公司的跨國企業,皆須部署VPN閘道器,管理複雜度相當高。
尤其在疫情期間突然開放所有員工採以VPN連線登入內網存取系統,多數企業IT皆面臨授權數不足、閘道器效能吃緊、頻寬壅塞的狀況。「因此Zscaler承接許多急單,企業開放讓員工透過Zscaler雲端安全平台執行存取內網、SaaS、部署在公有雲的應用系統,來保障安全性。」曾國偉說。
雲端安全方案輔助建構ZTNA
目前資安市場上的SSE解決方案,主要是由網站安全閘道(SWG)、雲端存取安全代理(CASB)、防火牆即服務(FWaaS)、遠端瀏覽器隔離(RBI)、資料外洩防護(DLP)、零信任網路存取(ZTNA)等異質軟體堆疊整合而成。
自2020年美國國家標準暨技術研究院(NIST)發布了SP 800-207標準文件,提出零信任架構準則以來,台灣各產業也開始關注與討論落實方法,政府、金融業更已率先宣布落實零信任控管模式。藉由SSE解決方案可實踐ZTNA,因此大受各界矚目。
曾國偉說明,過去企業被教育的資安防護方法,主要是以城堡護城河式安全架構,在邊界設置重兵,讓攻擊者認為攻擊成本過高而轉換標的,降低資安風險。
疫情驅動隨處辦公需求大增,原本內部的應用系統近三年陸續遷移到公有雲平台,讓居家防疫的員工存取更便利。網際網路連線成為主要的接取媒介,前述的邊界防護架構已無法因應。再加上企業根本不具備網際網路連線的可視化能力,更遑論增添安全措施防範攻擊活動。 而改以雲端安全平台輔助,除了可無處不在地進行防護,同時也具備簡化維運的複雜度。只要把用戶存取行為導向雲端安全平台,即可運用多層式控管,達到降低資安風險的效益。
至於部署方式,可選擇在公務主機作業系統安裝代理程式,或是分公司的路由器新增通用路由封裝(GRE)、IPSec等通道技術接取Zero Trust Exchange平台,讓網路封包全數通過偵測才可進出。
存取請求透過連接器負責導向目的地
為了讓遠端工作者的身分驗證機制與內網一致,Zscaler設計的解決方案亦提供地端部署軟體。曾國偉指出,Zero Trust Exchange平台提供的Private Access,用於建構零信任存取架構,主要負責將通過身分驗證的存取請求導向內部應用系統。企業只要在內網虛擬主機,或是虛擬私有雲(VPC)環境掛載Zscaler提供的App Connector,便能藉此以加密連線方式接取Zscaler雲端平台。
「App Connector扮演代理者的角色,外部攻擊者完全無從得知應用系統的Public IP或FQDN(完整網域名稱)資訊,根本找不到切入點發動攻擊。即便駭客鎖定特定企業發動,主要遭遇攻擊的只會是Zscaler,無法觸及企業內網或雲端環境。」
當用戶發起存取請求,首先會先連線到Zero Trust Exchange平台進行身分驗證,並通過後經Zscaler Internet Access檢查,才可直接上網。為了防範用戶誤觸釣魚網頁,企業亦可搭配RBI機制,代理執行用戶端瀏覽行為並回傳畫面影像,以嚴謹地控管上網行為、同時兼顧用戶體驗。
透過Zscaler方案配置防護架構,不僅可有效縮小攻擊面,亦可省去地端應用系統遷移到公有雲環境須更改IP路由配置的程序。例如用戶存取的網路封包經過Zero Trust Exchange平台解析,發現目的地是App Connector後端的應用系統,即可自動導向,無須調整路由設定配置。
雲平台獲美國政府授權可落實零信任
採用雲端服務時,通常企業的首要關注要點是台灣本島是否有落地?曾國偉說明,Zscaler在全球、包含台灣已部署超過150個服務節點,並持續增長中。Zero Trust Exchange平台累計用戶總數為6,700萬以上,平均每天使用Zscaler服務的用戶為3,700萬。「總計Zscaler每天存取數量,較全球搜尋引擎龍頭Google約莫高出20倍,足以顯示Zscaler雲端安全服務受企業接受的程度。」
實際上早在2007年創立初期,Zscaler即運用雲端平台研發SWG技術,可惜當時企業採用雲端服務的數量不多,尚未能接受安全機制由雲端服務來執行的觀念。隨著SSE市場興起,Zscaler的價值才完整展現。
Zscaler資深技術顧問曾國偉認為,雲端安全服務之所以日漸被企業端看重,除了外部攻擊威脅無所不在的驅動因素,更關鍵的是可藉此降低導入部署與維運的難度。
值得一提的是,Zscaler Private Access於2022年底宣布獲得美國聯邦風險與授權管理計畫(FedRAMP)Moderate授權。再加上Zscaler Internet Access本就為政府單位提供多租戶雲端安全平台,符合美國網路暨基礎設施安全局(CISA)發布的可信任網路連接(TIC)3.0版準則。意味著美國政府機構及其承包商,被准許利用Zero Trust Exchange平台控管攸關國家安全的機敏資料與應用系統。 雲端安全服務之所以日漸被企業端看重,除了外部攻擊威脅無所不在的驅動因素,更關鍵的是可藉此降低導入部署與維運的難度。台灣多數為出口導向企業,海外分公司或營運據點自建資安防護機制與落實管控的難度過高,訂閱雲端安全服務有助於解決困境。
企業總部的資安管理者只要透過雲端服務提供的單一控管平台,依據公司制定的管理規範,即可讓全球據點的員工套用。後續亦可在相同平台上持續監控狀態資訊與產出統計報表,大幅簡化部署與維運的工作負擔,進而善用工具增進組織的資安強度。