正當本土COVID-19疫情全台擴散,防疫警戒提升為三級之際,全球不同區域仍持續發現病毒變異株,近期世界衛生組織(WHO)更提出,名為Delta變異株的傳染力更強,正在成為主要流行的變種病毒,人們暫時得與病毒共存看來已無法避免。
因應疫情嚴峻及防疫警戒升級,企業紛紛實施居家辦公措施,以維持正常營運,對於企業IT而言雖有挑戰但也是展現數位化價值的契機,讓同仁隨時隨地都可順暢地存取企業內網與雲端平台的資源,若加上同時運用SASE(安全存取服務邊緣)服務落實零信任控管措施,將能有效降低工作模式改變後衍生的資安風險。
Akamai技術支援經理王明輝指出,Akamai在各地區佈建的邊緣伺服器可掌握全球三分之一網路流量,在2020年COVID-19疫情爆發前,統計到全球網路流量峰值約為82Tbps,月平均約為60Tbps。疫情爆發後,全球網路尖峰流量成長翻倍,高達180Tbps,月平均皆超過100Tbps,且仍持續成長,到今年(2021)尖峰流量已經常超過200Tbps。這也反映出全球企業在疫情衝擊下,數位化的腳步正在快速地成長。
家用電腦處理公務恐成資安破口
去年以來本土疫情最嚴峻時期,約為今年5月中旬,王明輝觀察,自從台灣宣布三級警戒之後,網路流量幾乎每天都超過1Tbps,相較過去平均每天不超過600Gbps,成長接近翻倍。由網路傳輸量趨勢來看,COVID-19疫情勢必也將加快台灣數位轉型的發展速度。只是在此過程中,對IT人員而言極具挑戰性,不僅要確保營運如常運轉,同時得加強業務端的數位發展,即使是尚未全面啟動數位轉型計畫,疫情期間勢必得有所作為,才得以為企業鞏固競爭力。
此外,由於大量同仁都啟動居家辦公模式,IT人員還必須確保資安風險可管可控。近幾年勒索軟體事件頻傳,疫情期間更是蠢蠢欲動,王明輝引述Akamai內部統計報告指出,從去年疫情爆發後,惡意軟體的活動狀態大幅增長400倍,顯然駭客組織已經嗅到可趁之機。畢竟以往員工在辦公室環境有防火牆等實體資安防護,如今緊急實施分散在各處工作,資安管理政策與措施尚未齊備,各式終端設備皆可能成為破口。尤其是連線回到公司內網的VPN軟體,攻擊者已成功挖掘出新漏洞,可藉以進入企業內網橫向擴散,IT人員須有所防備。
Cato Networks銷售總監石漢成觀察,過去一年多來台灣疫情較為平穩,直至近期才爆發大規模感染,儘管企業多已初步制定居家辦公管理辦法,但真正緊急啟動實施後,難免打亂員工既有工作程序,需要一段時間調適。甚至亦有管理文化較為保守、尚未開始發展數位化工作模式的企業,仍舊必須進辦公室工作才得以執行任務,主要因素即在於資料仍集中存放在企業內部資料中心,導致無法全員開放居家辦公。反觀其他國家深受疫情影響的時間較長,應用系統上雲的需求已明顯增長,甚至包含ERP等關鍵應用系統,已可接受改採用雲端服務。所幸本土企業在疫情衝擊下,也開始轉變態度,願意把應用系統遷移到雲端平台,只把機敏資料保留在地端資料中心。
目前多數企業的混合或居家辦公工作模式,遠端連線仍舊透過VPN,基於防火牆提供的VPN來建立連線,接取到公司內網存取資源。這類型的工作模式,石漢成指出,經常會遇到境外據點的員工透過VPN連線回到總部,網路傳輸節點過多造成的傳輸延遲等狀況,連線品質完全難以掌控。隨著許多員工皆實施居家辦公,IT人員排除故障的難度變得更高,為了解決網路傳輸效能瓶頸,企業開始願意把全球各地員工日常必須存取的系統部署到雲端平台。當網路連線問題解決之後,緊接著要面臨的問題是員工在家辦公,裝置可能是非公司配發的自家桌機或筆電,IT人員勢必得強化控管,才得以降低衍生的資安風險。
基於雲端原生整合跨領域資安技術
論及網路安全架構,過去是以地端資料中心建置部署為主軸,發展到當前的數位化應用場景,混合雲架構已是大勢所趨。為了確保用戶隨處存取應用系統或檔案的體驗,以及提高安全等級,國際市調機構Gartner於2019年提出SASE(安全存取服務邊緣)框架概念,在2020年COVID-19全球大流行時期,迅速地成為網路設備與資安廠商不約而同的發展方向。例如SD-WAN(軟體定義廣域網路)、NGFW(次世代防火牆)、CDN(內容遞送網路)、雲端服務供應商等跨領域的IT技術廠商,相繼提出SASE雲端安全服務。 SASE主要是基於雲端原生平台,整合SWG(網頁安全閘道)、DLP(資料外洩防護)、CASB(雲端存取安全代理)等企業IT既有採用的資安技術,建構起零信任網路(ZTNA),以便對來自四面八方發起的存取請求,就近透過邊緣環境檢測其終端裝置安全性與身分驗證,再依據存取角色配置最小權限,最後以網路隔離通道搭配廣域網路加速技術遞送到地端或雲端的目的地位址。
實際上,早在Gartner提出SASE一詞之前,2007年創立的Zscaler,就是以雲端安全服務平台為主軸自主研發,其推出的Zscaler Internet Access服務,整合了傳統地端部署的次世代防火牆、資料外洩防護、網頁安全閘道等技術,改以雲端原生平台提供,全球部署在超過150個網路接入點(Point of Presence,PoP)。利用雲端架構特有的彈性擴充能力,徹底解決實體設備經常遭遇連線數量過多導致運算效能瓶頸的問題,讓用戶無論在何處工作,都可就近接取雲端安全服務偵測網路封包。 在居家辦公時期,亦可採用Zscaler Private Access服務來取代VPN連線,當用戶端發起連線存取公司內部應用系統請求時,網路封包會被導向到Zero Trust Exchange雲端原生平台,經過身分驗證確認才遞送到地端部署的Connector代為存取,藉此隔絕用戶端直接觸及企業內部應用,降低系統遭受終端設備感染的風險性。
至於2015年創立的Cato Networks,亦早有雲端原生打造的Cato Cloud安全服務,已部署在全球網路65個接入點,並且持續增加中。石漢成說明,Cato Networks初期的研發設計的雲端安全服務,即是以保障廣域網路傳輸品質與安全性為目標所發展,正符合後來Gartner提出SASE框架的定義。他指出,Cato Networks較其他服務供應商的差異,在於全球私有骨幹網路會持續監控延遲時間、封包遺失、抖動(Jitter),讓每筆封包以最佳路徑遞送,保證傳輸品質與實施安全控管措施。
Cato Cloud平台整合路由、MPLS連線、廣域網路加速、網路安全等技術,建立多層式檢測機制,以服務方式提供。員工在家工作的私人桌機或筆電,只需下載Cato Networks開發的App,即可就近連線接取到Cato Cloud,並基於私有骨幹網路存取公有雲服務或登入自家資料中心,皆無須透過VPN傳輸,讓企業可及時因應疫情起伏不定,彈性地調配員工辦公地點,同時杜絕衍生的資安風險問題。