經歷COVID-19疫情大流行之後,現代人的工作模式已然改變,遠距辦公或分散辦公將成為常態,更多應用開始加速採用雲端服務,混合雲架構相關的安全防護機制也隨之成為關注焦點。
既有IT架構轉型到混合雲,除了資安管理政策須調整成以零信任(Zero Trust)為預設,國際調研機構Gartner於2019年亦針對雲端應用模式提出了SASE(Secure Access Service Edge)實作框架,幾乎已成為網路安全技術相關廠商發展的目標,其中包含企業IT基礎架構必要的次世代防火牆(NGFW)業者等,正陸續齊備SASE解決方案,把過去防禦邊界的技術推向用戶端應用場景,讓遠端工作者不論任何時間、任何地點、任何存取行為,皆得以具備安全防護。
自從2009年前後NGFW概念興起,如今NGFW已是資料中心不可或缺的防禦設備,主要功能是基於深度封包檢測(DPI)技術,阻斷Layer 4到Layer 7攻擊流量。著眼於企業應用系統部署在IaaS或基於PaaS開發微服務架構的數量激增,NGFW技術供應商近年來皆已在主流公有雲平台環境提供防火牆即服務(FWaaS),提供URL Filtering、進階威脅防護(ATP)、入侵防禦系統(IPS)、DNS Security等機制。只是台灣本土企業以往對於雲端服務採用率不高,FWaaS未能有所發揮。
隨著疫情催化數位轉型腳步加速,不論發展方向是智慧製造、智慧城市、智慧醫療等,雲端服務皆扮演關鍵的要角,資安風險控管議題亦隨之受到高度重視,如今國際間最新的雲端安全防護框架已演進到SASE,組成元素不僅只有FWaaS,其他包括網頁安全閘道器(SWG)、雲端存取安全代理(CASB)、零信任網路存取(ZTNA)皆屬於SASE範疇,同時藉由底層的軟體定義網域網路(SD-WAN)確保連接的可靠度,以完善地保護遠端工作者在任何地點發起的連線與存取安全。台灣市場上活躍的NGFW廠商,例如Check Point、Forcepoint、Palo Alto Networks等,也自去年(2020)開始紛紛基於自家擅長技術發展SASE解決方案。
IT轉型滿足遠距辦公應用需求
疫情促使IT轉型刻不容緩,Palo Alto Networks台灣技術顧問總監蕭松瀛觀察,首要的轉變是網路環境,須同時滿足辦公室與遠距辦公所需的網路頻寬、安全保護措施,意味著既有企業內部已建置部署的控管措施,遠距辦公也得套用。其次是資料中心,當多數員工開始遠距辦公,網際網路的存取行為不再全數連回資料中心,應用系統未必得集中建置在企業內部,開始有更多企業考慮採用公有雲服務,演變成混合雲架構。第三是工作流程中納入自動化工具,例如近年來興起的機器人流程自動化(RPA)、資安協調、自動化與回應(SOAR)等工具。
從產業面來看,台灣高科技製造業的發展腳步較快,特別是海外設立據點的企業,已經開始採用雲端安全防護服務,背後驅動力即為了防疫,雖然台灣疫情控制得當,並未強制實施遠距辦公,但國外地區員工幾乎無法進入辦公室,IT部門自然必須調整現行架構以滿足遠距辦公需求。
疫情迄今一年多後各國開始施打疫苗,但實際成效仍有待觀察,在達到全球性群體免疫之前,多數的工作者勢必會逐漸適應混合辦公模式,企業也考慮縮小辦公室規模的可能性,節省下成本轉換為針對居家辦公的員工給予額外補助、添購工作所需的硬體設備,蕭松瀛認為,長期來看,這種型態工作模式將會續存。Forcepoint北亞區技術總監莊添發同樣觀察到,IT近幾年發展趨勢原本就在逐步轉型階段,只是疫情爆發後加快轉型速度,像是雲端運算應用模式,台灣企業採用的速度雖相對其他地區來得慢,但受到疫情影響,企業已加速制定採用雲端相關服務的策略,進而讓零信任、SASE防護方法受到關注。
SASE整合防護框架降低複雜度
實際上,自從筆記型電腦與智慧型手機發展至今,用戶端已經可以在任何地點、任何設備、存取任何應用服務,才能在2020年疫情爆發時,緊急實施在家工作以維持營運不中斷。Check Point台灣區技術總監傅國書說明,過去辦公模式需要VPN連線回到公司內網存取資源的員工並不多,COVID-19爆發後,IT部門第一時間只能緊急採購增加VPN授權數量,讓全數員工得以在家使用私人桌機或公司配發的筆電來執行工作,尚未能顧及資安方面的疑慮。
傅國書強調,不論是私人或公司配發的設備,若同時有權限啟用VPN連線登入應用系統與直接瀏覽外部網站,則設備本身的風險等級過高,勢必得有所控管以強化存取行為的安全性。只是如此一來,須涉及範圍相當廣泛,首先是連線裝置最基本得安裝端點安全軟體,其次是網路傳輸得有能力偵測惡意攻擊。再加上現代的混合工作型態,須存取外部網站、雲端服務、公司資料中心的應用系統,以資安的角度來看,必須增添郵件安全、防毒、機敏資料防護等機制,同時兼顧合規性,複雜度相當高,這正是資安業界普遍認同建立SASE整合防護框架的重要因素。
NGFW大廠相繼收購強化技術
Check Point於去年(2020)收購Odo Security取得Clientless SASE技術,整合Infinity威脅防護架構,日前發布了Harmony端點解決方案,具備零信任存取、易於操作的單一介面,保護企業配發或自攜裝置(BYOD)網路連線免於遭受已知與未知的攻擊。
近期Palo Alto Networks亦推出全面的雲端交付平台Prisma Access 2.0,確保遠距工作安全,搭配日前收購Sinefa取得的自主數位體驗管理(DEM)技術以自動修復網路問題,同時CloudGenix提供的CloudBlades API,可讓第三方技術得以整合到CloudGenix SD-WAN環境,近期更發布遠端瀏覽器隔離(RBI)技術,用以限縮使用者的操作功能,降低資安風險疑慮。
Forcepoint北亞區網路安全專家洪肇隆指出,Forcepoint的SASE解決方案整體運行架構核心技術為資料外洩防護,藉由遠端瀏覽器隔離技術可代理用戶端瀏覽外部網站,運用檔案清洗技術過濾掉可能被利用來發動零時差攻擊的程式,再遞送回到用戶端瀏覽器呈現,可在不影響用戶端操作體驗的前提下保障安全性。他說明,Forcepoint擅長的網頁安全防護技術,可抵禦九成以上的外部威脅,針對無法判別的網站,若欲更加嚴謹地防範使用者瀏覽時遭遇惡意滲透,RBI技術即可達到保證安全無虞。
蕭松瀛認為,從各家技術供應商加快發展雲端服務的速度可發現,企業內部控管既有網路邊界防護,已延伸推向員工設備與連網行為,對於IT人員來說,能提供統一控管平台的SASE解決方案將更顯重要,讓地端與雲端應用環境採以相同政策,基於單一平台配置與監控沙箱、IPS、防毒等防護措施,藉此解決傳統資料中心由於不同供應商皆提供專屬管理介面,而導致維運效率難以提升的問題。