面對雲端服務的興起,本土企業態度大多趨向保守,唯恐衍生無法掌握的資安風險,尤其是為數眾多的製造業。然而思科全球副總裁暨資安長Bret Hartman近日實際拜訪客戶卻觀察到,當前台灣高科技製造業正在積極地規畫,要把業務端的應用系統轉型由雲端平台來提供。
網路通訊技術起家的思科,針對資料中心與園區網路皆持續不斷地因應新興應用需求發展各式解決方案,例如近年來提供的SD-WAN(軟體定義廣域網路)即扮演相當重要的角色,讓不同地點辦公的最終用戶得以簡單、方便地存取雲端服務。
另一方面,資安技術更是思科近年來挹注相當多資源擴展的領域。「從思科於今年8月份正式公布的財報來看,資安方面的收益已開始出現雙位數成長,足以顯見資安業務在思科整體發展藍圖中的重要性。」Bret Hartman強調。
針對近來台灣產業逐步採納的雲端服務應用,思科也已備妥多種解決方案來確保雲端安全性。例如思科資安防護傘(Umbrella),可確保用戶在符合企業控管政策下存取,做法是解析並且偵測DNS服務請求的封包,防堵端點連線到惡意網站或IP位址;其次是StealWatch Cloud,已經部署在AWS、Azure、GCP等公有雲平台之上,可用於監控部署微服務架構彼此之間的連線溝通,以確認行為模式不至於出現異常,防範遭受惡意軟體感染。
至於發展到雲端應用後須具備的控管政策,Bret Hartman建議,首要是建立零信任工作模式(Zero Trust for Workforce),必須有確認真實身分與合法裝置存取的機制,以套用預先依據角色制定的權限。思科旗下的Duo Security多因素認證(Multi-Factor Authentication),常見的應用場景即是在用戶啟動裝置執行登入時,發送手機簡訊的驗證碼,藉此核對真實身分。
當用戶完成登入後開始執行雲端服務,為了確保連線網址符合控管政策,不至於存取到惡意網站,此時存在於用戶與雲端服務之間的Umbrella服務,便可成為雲端存取安全代理(CASB)的角色,透過流量導向Umbrella服務防範DNS服務漏洞攻擊,並以Proxy來過濾惡意網域或攻擊中繼站的連線位址,幫助組織落實雲端應用存取控管措施,尤其是當企業為了提升協同工作效率,開始採用雲端硬碟存放內部機敏文件,即可藉由Umbrella服務的安全配置避免資料外洩。
此外,為了協助企業自主控管部署於公有雲平台的應用,思科亦提供兩種實作方法,其一是透過StealWatch Cloud,基於思科長期累積的領域知識來訓練行為模型與機器學習演算分析,掌握原生雲端服務中各個元件之間的溝通行為,以確認應用服務在安全無虞之下運行;其次是Tetration,可讓雲端平台上的元件彼此溝通過程中強制實施微切分(Micro-segmentation)政策,基於無監督式機器學習演算分析實作,即使工作負載遷移,同樣得以保障控管政策的一致性。