從Juniper分拆後獨立的Pulse Secure,以SSL VPN為核心技術並擴展至網路存取控管(Network Access Control,NAC)領域,將該產品線稱為Pulse Policy Secure,隨即又於分拆完成後併購了新創公司MobileSpaces,開始整合提供企業行動化管理(Enterprise Mobility Management,EMM)方案,此產品則命名為Pulse Workspace。
Pulse Secure大中華區高級技術經理林佶駿觀察,台灣市場早期之所以關注NAC,主要是為了避免病毒感染後導致內網癱瘓,例如學校單位可能會在宿舍網路環境,透過VLAN方式來隔絕,以防大肆破壞。而NAC本就具備IP與MAC對應功能,可協助尋找中毒的電腦。
導入建置後才發現,內建的主機檢查(Host Check)功能相當實用,可在連線行為發生時,先行檢查接取設備環境是否符合安全條件,例如有無安裝防毒軟體、更新病毒碼與修補程式。為了避免使用者規避資安政策,主機檢查亦可執行定期檢查,一旦發現違反政策者,即可暫停該用戶的連網功能,並通知違反事項。
|
▲Pulse Secure大中華區高級技術經理林佶駿指出,以往企業大多採用NAC控管內網連線存取行為,進入行動化應用後,裝置系統數量變多且複雜,欲降低資安風險,勢必得隨著時代轉變建立因應措施。 |
隨著行動裝置應用模式的普及,IT人員為了得以確實控管安全性,又考量避免干擾使用者操作行為,如今的NAC大多已增添Onboarding機制,讓使用者透過登入入口網站後才能連線上網,藉此達到控管目的。
其實部署NAC機制前的企業用戶,通常根本無法掌握網路環境中終端用戶的總數,其中可能包含IoT連網裝置、印表機等辦公室設備,因此Pulse Secure設計納入剖繪(Profiler)機制。「IT人員在無法掌握網路接取設備下,根本無法實施NAC管控,而Profiler機制有不同實作方式,例如透過SNMP、聆聽(Listen)DHCP的封包,甚至可運用Nmap指令主動執行Port Scan掃描,以便得知網路環境中所有存在的設備。之後即可根據不同的應用加以分類加以管控,例如印表機,只能在所屬的VLAN活動,無法對外連接。」林佶駿說。
至於併購MobileSpaces取得的Pulse Workspace,主要著眼於現代辦公室環境已普遍為BYOD應用模式,除了可採用NAC納管,亦可透過MDM來實施,基於行動作業系統開放的API執行。然而,儘管企業主願意開放BYOD,但員工私人裝置卻不願意接受公司強制控管,欲取得方便性與安全性的平衡,即可採用Pulse Workspace解決方案,藉由Container技術來集中存放公司提供的應用資源,萬一員工手機遺失或離職,只要遠端移除Container,即可確保資料不致外流。
此外,Workspace方案中亦具備Per-app VPN機制。目前的應用情境大多為先啟用VPN連線,登入成功之後,才能開始使用公司的資源。Per-app VPN則是可讓用戶端直接點選App時,自動觸發VPN連線,同時亦可整合後端應用系統的NTLM、Kerberos單一登入機制,甚至是主流雲端服務業者皆支援的SAML協議,提高用戶端存取App時的便利性。