Check Point資安傳教士楊敦凱指出,SASE框架橫跨異質技術領域,須由SSE(Secure Service Edge)與網路相關技術(例如SD-WAN、微分段等)相互結合來實現。針對SSE範疇主要是由零信任網路存取(ZTNA)、網頁閘道器(SWG)、雲端存取安全代理(CASB)等資安相關技術所整合建構,便可能由單一專精業者提供解決方案,讓IT或資安人員無須學習眾多廠商提供的操作介面,降低維運複雜度、盡速調查與回應高風險活動。
保障遠端工作者網路存取與裝置安全
根據Check Point日前發布「2022年勞動力安全報告(The 2022 Workforce Security Report)」,針對1,200名IT或資安專家進行問卷調查統計,57%企業或組織的員工每週至少2天遠端工作,70%員工採用私人電腦或行動裝置存取公司內部檔案與應用系統執行任務,顯見增進保護遠端工作者的網路存取與裝置安全,已是當務之急。
楊敦凱以實際接觸客戶的經驗來看,多數企業普遍疏於控管委外廠商與業務人員,例如金融業針對客服與業務人員開放存取的核心應用系統有限,在辦公室已制定控管措施執行把關,如今因應疫情改為遠端工作模式,使資安風險指數升高,安全政策得更加嚴謹,問題是執行面變得較以往複雜,IT人員得同時維運辦公室內部控管政策與遠端工作控管政策,相當耗時費力。
隨著SASE受到企業青睞,Check Point於2020年收購新創公司Odo Security取得SASE框架中的零信任網路存取領域技術,納入Check Point Harmony解決方案,以提供端點安全、無代理程式連線、VPN Remote Access、郵件安全、瀏覽器安全隔離、行動安全等六大安全機制,讓企業可基於Harmony Connect雲端安全平台,為遠端工作者存取內部應用系統與上網行為提高防護等級。
楊敦凱舉例,IT基礎架構本就是異質技術供應商整合搭建,通常得仰賴原廠或系統整合商的技術支援工程師到現場協助排除問題,在COVID-19疫情較緊張期間全數禁止,只能提供廠商專用的VPN連線遠端登入操作來解決,此時即可透過Harmony Connect提供網址連結,讓委外工程師驗證身分後取得存取權限,無須開放VPN連線,避免衍生資安風險。
局端節點Connector代為執行存取
Harmony Connect雲端安全平台目前已整合防火牆、進階威脅防護(ATP)、網頁閘道安全(SWG)、資料外洩防護(DLP)、零信任網路存取、郵件安全、瀏覽器防護等機制。楊敦凱指出,較特別的是終端與企業閘道端之間建立通道傳輸的VPN連線,雲端平台提供VPN as a Service讓登入數量可彈性擴充,員工透過代理程式或網頁操作介面執行,先接取到Check Point提供部署在各地區ISP局端節點的Connector,其可依據員工角色套用允許連線存取的應用服務,並且代為執行操作,藉此達到完整的監控與追蹤。
員工居家辦公採用私人電腦處理工作事務,即可透過瀏覽器介面登入,通過身分驗證後,依據員工角色列出允許存取的地端應用系統或雲端服務,直接點選開啟操作。
Harmony Connect雲端安全平台已整合完成的多因素身分驗證機制,確認身分別後再配置相對應的Profile,依據Profile允許存取應用服務。針對內部應用服務逐步遷移部署到雲端平台,抑或是直接改用SaaS服務的企業,便無須強制要求員工VPN連線回到總部再導向雲端服務,透過Harmony Connect雲端安全平台協助即可落實資安風險控管。楊敦凱強調,Harmony可說把用戶端發起連線與存取行為分開,有助於降低帳密遭盜取、私人裝置感染病毒擴散影響企業內部系統等資安風險。
NGFW將納入SD-WAN 完善SASE框架
前述提到Harmony提供網頁安全閘道服務,讓用戶端可透過連線代理程式接取防火牆即服務(FWaaS)增進防護力,或是地端部署Check Point防火牆辨識發起存取連線位址若為內網IP則無須導向雲端安全平台,楊敦凱指出,對於IT或資安人員而言,關鍵是雲端與地端皆可採用相同政策達到控管目的。
假設公司不開放用戶採用FWaaS,想要在端點增進網頁控管能力,可透過瀏覽器安全執行防護,藉由擴充功能嵌入Harmony套件即可運行檢查機制,例如沙箱、內容威脅解除與重組(CDR)、抗釣魚網站或郵件安全。
楊敦凱進一步說明,Check Point郵件安全技術是2021年收購雲端郵件安全廠商Avanan取得,如今已成為Harmony郵件與協作套件安全性(Email & Collaboration)機制,Avanan較特別的是擁有API專利技術,可整合Microsoft 365、Google Workspace等SaaS服務,在郵件收取到端點之前先運行掃描偵測,以免攻擊者內嵌惡意程式繞過攔阻。即便攻擊者清楚企業採用的是Microsoft 365,也已掌握繞過偵測機制的手法,但因無法從外部得知雲端郵件服務後端介接的檢查技術,相較於在郵件服務前方偵測攔阻,更能有效避免釣魚郵件進入使用者郵件信箱。
就整體SASE框架來看,組成元件以雲端平台服務方式提供,Check Point過去較少著墨,大多是基於次世代防火牆延伸發展新防禦技術。如今資安管理模式主軸為零信任,Check Point也開始積極布局,透過收購Odo Security取得ZTNA技術,至於CASB則是採用Avanan的郵件與協作安全套件、資料外洩防護,整合Check Point既有的FWaaS、SWG,讓SASE更趨完整。
甚至連SASE涵蓋的SD-WAN網路技術,Check Point也已計畫在既有的次世代防火牆上納入,若企業本就已經導入SD-WAN,則可介接整合Check Pont的SASE雲端安全服務。「當初面對SD-WAN技術興起時,Check Point認為SD-WAN理應由網路技術供應商才可完整發揮,資安方案則是輔助建立安全防護,近幾年企業應用需求變化快速,選用單一技術廠商解決問題已成趨勢,有助於讓人力本就吃緊的IT部門得以簡化維運複雜度。」楊敦凱說。