數位工作空間架構演進 SASE實踐零信任存取

2024-11-04
隨著企業數位化的加速,雲端運算與邊緣運算的應用逐漸成為主流,推動了隨處辦公的趨勢,進而徹底改變了企業對網路存取的需求。傳統以企業資料中心為核心的網路安全架構,已不足以應對這種新的工作模式,防護機制因此需要從過往的邊界防禦,轉向雲端和邊緣端,以整合的方式提供安全存取服務邊緣(Secure Access Service Edge,SASE)解決方案。

SASE能確保員工無論在何處、使用任何裝置,都可以安全地連線並存取企業資源。這種架構不僅強化了用戶體驗,還讓企業較有效地控管網路安全風險。在當前的數位化環境中,企業需要一種能夠靈活適應的安全架構,以應對日益複雜的應用場景和安全挑戰,而SASE正符合此需求。

根據國際市調機構P&S Intelligence的統計,SASE市場的收入在2023年已達21.72億美元,預計到2030年將達105.89億美元,年均複合增長率(CAGR)達到26.1%。此外,MarketsandMarkets的數據顯示,全球SASE市場規模將從2023年的19億美元成長至2028年的59億美元,CAGR為25%。這些數據顯示,SASE的需求正在迅速增長,其市場潛力不容忽視。

網路安全架構改以使用者為中心

傳統的網路安全架構主要依賴邊界防護,以企業內部網路和資料中心為核心。然而,Gartner於2023年發布的「SASE融合策略路線圖」指出,現今已有超過50%的應用程式不再運行於企業內部網路或資料中心之中。這意味著傳統以邊界為基礎的安全設計模式,已無法滿足現代企業日益多樣且動態的應用環境需求。

為了因應這些變化,企業必須朝向「以使用者和應用程式為中心」的安全架構轉型,利用雲端平台來管理和監控應用場景,以實現對高風險活動的快速應對。這正是Gartner在2019年首次提出SASE框架的核心驅動力所在。SASE的理念是不再依賴傳統的邊界防護,而是以使用者和應用程式為中心,利用雲端平台進行管理與控制。

SASE架構使企業能夠靈活且有效地應對各種數位化應用場景中產生的資安風險。Forcepoint北亞區技術總監莊添發認為,尤其是零信任網路存取(ZTNA),更是SASE的關鍵組成部分,藉由整合了軟體定義廣域網路(SD-WAN)與安全服務邊緣(Security Service Edge,SSE)解決方案,SASE提供了多項雲端安全功能,包括雲端存取安全代理(CASB)、防火牆即服務(FWaaS)、安全網站閘道(SWG)、資料外洩防護(DLP)以及遠端瀏覽器隔離(RBI)等,這些都能幫助企業確保數位資產與敏感資料的安全。

落實零信任控管策略 

當前企業的網路安全架構大多採用縱深防禦部署策略,透過多層式措施保護數位資產,以免單一機制失效時遭惡意程式滲透。問題是,次世代防火牆、入侵偵測系統、網頁應用程式防火牆、資料外洩防護等機制,皆來自於不同技術供應商,除非藉由資安事件管理(SIEM)平台匯總每個控制點所產生的資料,經由關聯分析大數據,並且整合不同來源的威脅情資持續地監控,IT或資安人員才有能力確實判別異常活動,全面控管潛在的風險。

在數位化轉型的浪潮中,企業積極提高數位化能力,相關的網路安全風險議題也開始受到重視,SaaS服務的採用數量隨之逐年增長。企業需要能讓用戶和邊緣設備,可從任何地點透過Internet連接到分散在雲端和資料中心的應用程式與服務。然而,這些服務不再是獨立存在或僅限於公司內部部署。即使在企業內,零信任控管模式的安全架構也將視內部網路為不可信任的環境。

因此,無論是用戶、分公司還是邊緣設備,都需要具備安全存取能力,以保障生產力,同時控管數位轉型後的潛在資安風險。SASE解決方案能夠整合網路及安全功能,為這些分散式的數位環境提供保護和支持,確保企業能夠在雲端和資料中心之間無縫銜接運作,為用戶提供安全且穩定的存取能力。這樣的架構不僅滿足企業數位轉型的需求,還能應對隨著技術發展而日益增長的安全挑戰。

SASE解決方案的實現,主要有兩種方式:一種是基於特定的公有雲平台,採用雲端原生方式開發建構服務平台,例如Forcepoint、Palo Alto Networks等供應商;另一種是在全球各地的網路接入點(PoP)部署自主研發的軟硬整合機櫃,例如Cato Networks等服務供應商。無論採用哪種方式,其核心理念皆為就近保護用戶、分支機構和邊緣設備的存取,並支持受管理和未受管理的裝置。

受管理裝置通常會使用軟體代理程式(Agent),而未受管理裝置例如承包商或第三方的存取,則可採用遠端瀏覽器隔離機制,無需代理支援(Agentless)。至於分支機構,通常須透過SD-WAN設備把網路流量導向SASE雲端平台,並且亦具備流量優先等級配置、電路連接故障切換等功能,以確保連線的穩定性和效率。

單一整合平台降低維運負擔 

回顧Gartner於2019年首次提出SASE框架時,是由SD-WAN整合廣域網路技術以及安全服務邊緣等兩種不同的供應商整合而成。Palo Alto Networks台灣區技術總監蕭松瀛指出,日前Gartner最新發布的SASE調查報告中,已建議由單一供應商同時提供SD-WAN與安全服務邊緣解決方案。主要目的是為了提升終端使用者的體驗,讓使用者或應用程式無論位於何處,皆可採用相同的存取模式,以及一致的安全控制。

此外,SASE還能幫助企業採用零信任安全架構,透過基於身分與情境的政策進行一致性控管,不論使用者存取的是網際網路、雲端服務,還是私有應用程式,都能維持相同的控管標準。

SASE的管理控制層與執行節點相互分離,這使得政策的統一管理和資料儲存可以在中央控制台完成。這樣的管理介面能夠簡化政策的配置,並運用單一的控制台進行故障排除、報告、分析及配置管理。

蕭松瀛說明,由於單一供應商提供的SASE雲端服務,執行單次解析加密封包,即可分析比對惡意特徵指標與機敏資料,有助於提升運行效率。在安全性方面,SASE採用零信任安全架構,並根據使用者的身分與權限執行的操作行為,持續評估動態的風險和信任等級。無論是遠端工作者、外部據點、營運總部的裝置,皆可套用零信任控管模式來存取數位資產。一旦連線建立,系統會持續監控設備狀態、溝通方式、執行的行為,並根據風險自適應地調整存取權限。

與此同時,使用者體驗將保持一致,無論其所處位置或使用的設備,皆可享有相同的存取與安全控制體驗。SASE架構整合數位體驗監控(DEM),可跨廣域網路進行端到端測量與優化使用者的數位體驗。並且借助機器學習與人工智慧(AI)應用輔助,讓IT或資安管理者掌握穩定性與安全性的指標,避免因基礎設施故障而導致停機。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!