當全球企業開始意識到疫情無法在短時間內被遏制,勢必須制定新型態工作模式的管理規範,讓員工有所依循,並且運用現代化技術保障用戶體驗與降低潛在的資安風險。
VMware副總經理暨技術長吳子強指出,VMware Anywhere Workspace最受矚目的是SASE(安全存取服務前端)平台,也是資安市場發展的重要趨勢。過去論及遠端工作模式,多數企業認為台灣地小人稠,普及的可能性不高,隨著疫情衝擊全球,台灣也無法置身事外,經過去年(2020)迅速催化改變,再加上近期本土疫情首度大規模擴散,企業開始實施居家辦公防疫措施,以線上工作取代實體,將徹底改變企業思維。
加強前端應用驗證避免帳密被冒用
疫情帶動工作型態逐漸轉變,混合辦公勢必為後疫情時代工作者的樣貌,員工可望依據職務性質,彈性選擇工作模式,企業IT控管政策亦得跟進,依據用戶端應用場景制定規範,此時SASE即可協助降低部署配置與維運管理負擔。
VMware SASE平台融合了網路與資安領域的技術,部署在全球VMware SD-WAN網路接入節點(PoP),整合零信任網路存取(ZTNA)、網頁應用閘道器(SWG)、雲端存取安全中介(CASB)、遠端瀏覽器隔離(RBI)、防火牆等服務項目,讓遠端工作者安全的存取公共雲服務與地端部署的應用服務,企業IT亦可藉由單一操作介面設定控管政策、套用配置、監控運行狀態,以及高風險的存取行為。
因應防疫措施,為降低人與人的實體接觸,既有的營運型態可能得有所改變,台灣數位安全聯盟理事長蔡一郎以今年(2021)的報稅方式為例,其中一項為行動電話報稅,須通過電信網路搭配健保卡進行認證,才可下載個人資料,這正是現代應用系統對外開放時必要的措施,運用現代技術來確定登入者為本人,同時也是國際IT廠商皆認同SASE框架的重要因素。
從SASE框架的角度來解決存取安全問題,可說是疫情爆發後企業關注的議題。蔡一郎以實際參與協助壽險公會推出跨企業的資料交換平台為例,初期討論架構時,即是參考SASE準則,規畫設計允許存取壽險關鍵應用系統的用戶,涵蓋企業內部行政職員工,以及經常在外奔波的業務人員,工作期間必須透過平板裝置登入存取後端應用系統的驗證機制。至於保戶需要申請理賠時,則通過線上多因素認證,即可以自動化流程處理,取代過去必須到壽險公司辦理的程序。
雲端平台共築網路與安全防護網
SASE可說是企業網路規畫設計現代應用模式時的參考依據。蔡一郎強調,該領域整合了廣域網路前端與網路安全,改以雲端服務模式提供。對於企業而言,可滿足實踐簡化管理、增加彈性與擴充性、降低延遲的網路安全環境。用戶存取雲端服務時,首要是解決虛實整合,其次是介接傳統架構,讓新的目標族群通過安全認證才允許應用,這些皆可藉由SASE實作協助。
Gartner在2019年定義SASE領域,說明安全存取的前端即為企業資料中心與雲端平台之間的邊緣端,使用者以合法權限登入後,便配置允許存取的應用服務,同時基於已經部署完成的防護偵測機制來即時監控異常行為。
如今雲端服務已逐漸普及,深受法規限制的金融業亦得以在特定條件下使用雲端服務,純網銀也逐漸開張,原本被認為無法離開企業內部應用系統保護的資料,已允許被存放到可信任的雲端平台。但是要建構信任度,SASE安全框架就變得相當重要,能為商業合作夥伴、顧客、異地辦公的員工築起安全防護網。
攸關企業安全五大趨勢
受到疫情衝擊,蔡一郎觀察到五項影響企業安全的發展趨勢,首先是企業開始積極面對全球資安防禦往雲端移動,主要驅動力來自於應用系統開始部署到雲端平台,資安機制自然也得跟進,因為透過雲端平台提供居家辦公所需的應用服務,必須受到安全保證。
其次,整合平台將取代單一產品。他指出,台灣較特別的是,初期接觸IT的技術人員大多從組裝電腦開始,造就慣於自行組裝的思維,喜歡從各個異質領域中挑選最優的產品,來建構防護體系。隨著部署的異質技術增加,卻逐漸發現各自獨立的機制難以橫向溝通發揮最大效益,因此近幾年資安市場開始倡議聯合異質技術,整合成為生態體系來提供企業建構現代防線。
第三項趨勢是由下而上的技術開發,來自於應用開發技術變得多元。多數企業已經導入部署的虛擬化平台,隨著開源陣營技術逐漸成為主流,單體式的應用系統演進到微服務架構,並運行在容器叢集環境,IT人員面對的已非單純管理維運議題。蔡一郎指出,儘管台灣政府單位推廣的是資訊安全管理,希望用法規來落實,可是全球發展趨勢是由下而上的管理機制,如同許多企業管理制度開始引進目標與關鍵結果(OKR),由團隊來定義達成目標的關鍵指標,而非聽從高階管理者指示執行任務。
第四項趨勢是軟體定義安全邊界,自2016年提出的概念。應用開發團隊強調的DevSecOps模式之所以受到關注,主要是資安事件通常是軟體漏洞所導致。目前本土企業相當看重的開源技術,必須得投入更多人力維運確保安全性,問題是,多數業主的思維是以成本為最優先考量,難以擴展團隊規模。目前他建議採用混合式架構,若應用場景不脫離企業內網,或許可藉由開源技術來實作,至於對外提供服務的系統,若採用開源社群的技術來建構,無法避免遭遇漏洞數量過多,必須得由專業人力持續監控與修補更新,以降低資安風險。
第五項趨勢是網路與安全的融合,也就是落實SASE框架,運用雲端平台相關技術協助,以軟體定義方式為應用服務實作隔離式存取。 吳子強補充,VMware提出SASE資安框架,即是以應用服務與資料為核心,整合終端裝置、存取行為、網路傳輸、雲端服務、工作負載等五大面向的防護機制,讓異質技術領域得以有所交集。底層的是仰仗NSX網路虛擬化建立東西向流量微分割,在此基礎之上整合ATP縱深防禦、容器與虛擬主機防火牆、NDR、網路沙箱等現代技術,全面抵禦非典型攻擊。