近幾年加速發展雲端解決方案的Forcepoint,基於擅長的資料外洩防護(DLP)、網頁安全技術,嶄新提出動態邊緣防護(Dynamic Edge Protection,DEP)雲端原生平台,正可讓遠端工作者基於零信任原則存取機敏資料。
Forcepoint DEP服務採取以「人」為本的設計架構,包含Cloud Security Gateway與Private Access兩大服務項目,提供網頁內容檢查、URL過濾、入侵偵測防護、資料外洩防護、避免影子IT的控管機制,以及零信任網路存取(ZTNA)服務,讓員工得以在任何地方皆可藉由網頁登入驗證,搭配使用者行為分析(UBA)技術,可根據員工操作行為的風險值,動態地調適控管策略,平衡安全性與生產力之間的拉鋸。
Private Access服務確保遠距辦公安全
在COVID-19爆發後,Forcepoint北亞區網路安全專家洪肇隆觀察,企業對於數位化應用更加積極,除藉由立即可用的雲端服務讓各部門員工在異地辦公,同時亦開放員工以VPN連線安全通道登入內網存取資源,但是對於使用者操作行為卻無從掌握。
Forcepoint Private Access服務即可解決可視化不足的問題,遠端工作者可藉由單一網頁登入方式,依據角色套用最小權限存取內部網路的應用系統,同時藉此記錄與分析操作行為以降低潛在資安風險。
洪肇隆進一步說明,台灣傳統產業可能無法如同外商,無限期地開放遠距辦公,對於員工區分為A、B班的工作模式接受度較高,通常在家上班的員工大多透過VPN連線回到公司內部存取應用系統,但實際上VPN連線的潛在風險高,才使得SASE與ZTNA受到青睞。
Private Access服務透過網頁登入進行身份辨識與權限配置、機敏資料存取條件規則配置,亦可動態分析風險值,正符合台灣企業IT控管遠距辦公的需求。
至於針對內部應用系統遷移上雲或改用SaaS的安全性,這部分本土需求則尚未明顯增長,尤其是台灣疫情控制得宜,相較於國際市場的腳步較慢。不過,當企業營運模式欲藉由新興資訊技術提升競爭力,企業IT勢必將演變成為混合雲架構。此時即可基於Forcepoint NGFW防禦機制,整合SD-WAN、網頁安全與部署在雲端的次世代防火牆即服務(FWaaS),讓混合雲應用架構逐步運用SASE框架建構保護措施。
擁抱雲端同時亦持續發展地端技術
Forcepoint自2016年併購Stonesoft取得NGFW技術至今不斷持續發展,強項是單一控管平台與叢集環境預設即為Active/Active。洪肇隆說明,以多數企業實際部署案例來看,通常兩台設備配置方式主要為Active/Standby,然而Forcepoint預設即可為Active/Active,可有效提升效能,而且可以疊加擴充設備數量,Scale-out到16台。即使在設備汰換時,亦可支援不同軟體版本設計的型號,叢集環境中的設備可先撤除一台進行汰換,讓設備與軟體版本升級,無須中斷服務即可達成。
實際上,Forcepoint NGFW叢集技術之所以較為獨特,源自於Stonesoft在20年前成立初期設計的StoneBeat FullCluster技術,當時為Check Point開放式平台(OPSEC)技術之一,之後Stonesoft才自主研發NGFW、VPN等產品,開始在市場推出,直到2013年先被McAfee收購,2016年再轉售給Forcepoint,底層的叢集技術持續發展至今成為一大優勢。
「目前全球採用Forcepoint NGFW的客戶,大多是看重可部署為Active/Active的高可用度。此外,統一控管平台亦為優勢之一,預設最多可控管2,000台實體、虛擬或雲端NGFW,我們全球最大的飯店集團客戶,就是採用單一平台控管全球近1,900套設備,即便是遠距辦公的IT人員,亦可藉由部署在雲端平台上的統一平台掌握總部與跨國據點安全狀態。」洪肇隆說。如今NGFW已納入SD-WAN技術,Forcepoint發展的核心目的並非為了讓不同資料中心傳輸可偵測最佳電路提高遞送品質,而是整合防火牆與廣域網路加速器,讓流量得以導向DEP平台確保安全性。
瀏覽器隔離技術讓用戶安心上網
身為技術供應商,Forcepoint為了貼近企業應用需求,朝向雲端服務發展已是必然的趨勢。只是既有地端技術改以雲端服務來提供,實作方法大不相同,例如雲端運算底層架構無法讓NGFW建置叢集架構,得仰賴雲端平台設計的負載平衡機制來實作。洪肇隆不諱言,實際上公有雲的底層資源已經整合完成,不僅為虛擬化技術的整合,新興的微服務架構皆採容器運行環境,若把地端方案照搬上雲,原有的優勢未必得以發揮。
因此,近年來Forcepoint以資料外洩防護為核心,全新打造了DEP雲端原生平台,微服務架構中已整合旗下Web Proxy、CASB、ZTNA、NGFW、IPS、沙箱、瀏覽器隔離技術(Remote Browser Isolation,RBI)等技術。特別是針對使用者的瀏覽網際網路行為,經常會誤觸釣魚網站或下載夾帶攻擊程式的文件,而遭受勒索軟體感染,對此,Forcepoint基於擅長的網頁安全方案延伸提供瀏覽器隔離技術,可代理用戶端瀏覽外部網站,運用檔案清洗技術過濾掉可發動零時差攻擊的程式,再遞送回到用戶端瀏覽器呈現,如此既不影響用戶端操作體驗同時保障安全性。此外,將用戶端連線請求先導向雲端代理平台,再遞送到外部網站,還可藉由解析封包來避免機敏資料外流。
在遠距辦公成為主流之後,為了確保人與設備的安全性,勢必得在家用電腦、筆電、手機上安裝代理程式,把傳輸流量導向雲端平台進行檢查。洪肇隆認為,相較於十年前探討的自攜裝置(BYOD)應用模式,訴求是運用私人裝置執行公務,公司介入控管反而導致員工反彈影響生產力,如今的遠距辦公新模式,主要是由公司配發筆電或手機,已可合理地安裝代理程式控管作業系統環境與使用者操作行為。他強調,從公司治理的層面來看,不應把資安責任交給員工,基於公司配發的裝置設定管控,搭配SASE建構的雲端平台防護措施,藉此才可有效降低遠距辦公工作模式衍生新的資安風險。