採用Palo Alto平衡安全與便利 普誠以新世代防火牆把關網路

為了能夠有效控管員工上網行為，進而阻擋公司機密資料外洩的情況發生，普誠科技在評選新的防火牆解決方案時，即以企業內部檔案傳送時的過濾能力以及使用者網路使用行為的報表功能為主要考量點。

▲普誠科技e化部MIS工程師許志平表示，如何維持網路便利性同時符合企業網路安全控管的要求，成為普誠科技在評估選擇新的防火牆解決方案上的最大根本原則。

他提到，當時測試過程約花一個月左右的時間，過去難以控管的網路應用程式使用行為如MSN、FTP、Web mail、P2P以及各種網站存取等等，透過Palo Alto的新世代防火牆可做到精細控管，也能有效預防機密檔案外洩的問題。此外，測試過程當中，普誠科技曾遇到無法控管阻擋加密通訊協定（如採https的Gmail）的問題，「當我們反映該問題時，原廠馬上協助客製化服務來解決加密通訊協定的控管需求，也是讓我們更加認可的服務品質。」

普誠科技e化部MIS工程師許志平表示：「許多工程師喜歡將檔案資料存放在網路硬碟或是網路共享空間，到公司之後再下載來使用。當存放的是公司機密的設計檔案時，便形成企業資料外洩的極大風險。」如何維持員工使用網路便利性與符合企業網路安全控管的要求，成為普誠科技在評估選擇新的防火牆解決方案上的最大根本原則。

評估要點：檔案過濾能力與報表功能

Palo Alto提供Top 100 User與Top 100 Application報表能力，也滿足了普誠科技隨時掌握內部員工網路使用行為的需求，「我們能夠從報表當中確認目前最多人使用的應用程式與網路行為趨勢，哪些需要被控管與阻擋，哪些則是列入觀察，哪些又是安全可放行的行為，從中確立正確的安全政策。」許志平認為應用程式命令中心ACC（Application Command Center），能夠協助網路管理者隨時針對使用行為與需求調整開放或封鎖應用程式與軟體，管理上更為容易。

採用新世代防火牆之後，除了網路安全管理更為容易與安全之外，普誠科技的網路頻寬使用效能也獲得大幅提升，「過去公司內部網路頻寬常常被不正常的下載行為佔據，導致員工工作上所需的網路頻寬反而不敷使用，加上普誠科技位於電信業者線路的末端，網路品質原本就比較不穩定。導入Palo Alto之後，將可能佔據頻寬的應用程式（如P2P）直接封鎖，便大幅改善網路頻寬使用效率。」

下一步：行動網路控管與檔案內容管理

在有效防堵企業由內而外的資料外洩風險之後，普誠科技接下來的網路管理目標為行動上網管理需求，許志平提到，目前普誠科技存在著行動上網的安全漏洞，「行動上網是必然發生的趨勢，企業當中有不少行動工作者（如業務同仁）透過手機存取3G再連接筆記型電腦來上網，便可繞過企業內部網路控管機制，成為網路安全管理上的漏洞與風險。因此，這部分是我們接下來必須思考與解決的議題。」

普誠科技正在導入AD（Active Directory）架構來結合裝置管理機制，像是依照使用者身份開放或封鎖電腦USB使用權限等管理，以預防企業機密資料外洩。然而誠如上述所言，當使用者透過個人行動裝置與3G網路時，便難以有效控管，而這將會是包括普誠科技在內，企業在面臨行動裝置日漸普及、行動辦公室成為常態的趨勢下，必然隨之而來的安全管理課題。

雖然目前Palo Alto所提供的日誌紀錄功能，可針對安全性事件、應用程式使用行為以及檔案名稱等內容進行紀錄與分析，然而許志平表示，未來普誠科技希望能夠連同傳送的檔案內容也一併紀錄以達到更進一步的控管，「例如員工使用私人郵件帳號傳送附件檔案時，我們能夠控管與紀錄檔案名稱，但無法得知檔案內容，仍有資料外洩的漏洞與風險，未來若能夠達到檔案內容控管的能力，相信能夠讓網路安全管理更加有效率。」

此外，像是URL網頁過濾能力，也是普誠科技期許能夠增加的功能，「我們曾經測試過專為URL網頁過濾所設計的解決方案，但是測試結果顯示其性價比不符合我們的需求，操作介面也較為複雜不易使用。未來希望能夠有更好的解決方案來協助普誠達到更嚴密的網路安全控管。」

對於一家專業IC設計公司來說，為了能夠提供員工工作所需的網路環境與效率，又要兼顧預防其機密設計資料外洩的安全風險，有效的網路安全管理機制實為重要的關鍵。而面對複雜的網路環境與變化多端的網路使用行為，快速的反應機制、擴充能力以及簡單易用的控管平台，更是網路管理人員所尋尋覓覓的理想解決方案。

採用Palo Alto之後，普誠科技解決了大部分的網路安全管理問題，搭配企業內部宣導的資安政策，讓員工能夠了解哪些是被允許、哪些是具備風險性的網路使用行為，再透過可即時彈性調整使用權限的管理平台，降低安全控管所伴隨而來的不便，達到便利性與安全性的平衡點，這便是Palo Alto為普誠科技所帶來的最大好處。