看重遠距辦公成為辦公室環境轉型的潮流,Check Point最新發布以Harmony整合端點安全防護、郵件安全、行動裝置安全、VPN遠端存取、瀏覽安全防護、Clientless連接性等六大機制,防堵遠距辦公可能衍生的資安破口。
根據Check Point內部調查數據,目前全球81%企業已大規模轉型為遠距辦公,其中有74%更計畫永久實行,讓員工無須進入辦公室,即可遠端連線登入內部網路或直接存取雲端服務,問題是只有29%企業已為員工家用電腦環境部署端點防護機制,恐難以抵禦運用社交工程手法透過郵件發動的漏洞攻擊。
Check Point台灣區技術總監傅國書指出,再加上遠距辦公採用的雲端服務數量增多,促使資安供應商紛紛採取Gartner提出的SASE框架概念,依各自擅長的領域切入,協助保護用戶存取安全。以次世代防火牆起家的Check Point,地端部署本就是建置在x86主機,主流的Azure、AWS、GCP等公有雲平台也是基於x86技術整合資源,Check Point NGFW部署在雲端平台上提供的防火牆即服務(FWaaS)同樣可保證效能品質。隨著2020年下半年用戶存取安全需求量大增,Check Point發展因應對策,參照SASE框架提出Harmony解決方案,正符合企業遠距辦公應用所需,先從設備控管著手防護,進而降低網路連線與存取模式資安風險。
Clientless認證取代VPN
以現代的遠距辦公型態來看,用戶須存取外部網站、雲端服務、公司資料中心的應用系統,不僅郵件安全、防毒、機敏資料防護已是必備,同時,針對不同地點、不同設備發起的連線存取請求,僅提供VPN加密傳輸通道遠遠不夠,還必須確保設備本身的軟硬體環境皆無漏洞風險。 Check Point最新發布的Harmony方案即旨在解決前述問題,可涵蓋端點安全防護、郵件安全、行動裝置安全、VPN遠端存取、瀏覽安全防護、Clientless連接性。傅國書說明,其中Clientless連接性技術,來自2020年收購新創公司Odo Security取得零信任框架中的遠端存取技術,可對應到SASE框架中的零信任網路存取(ZTNA)。
他進一步說明,傳統Client-based連接主要是VPN通道傳輸,適合用於應用場景有部署閘道器的環境,例如SD-WAN實體設備路由指向公司內部網路。問題是現代應用系統逐漸遷移到外部雲端平台,前端操作介面改為App,讓用戶的行動設備在任何地點透過帳密登入即可存取,如此一來,無法套用以往VPN連線接取內部網路設定配置的多層式防護。欲補強新型態工作模式衍生的資安風險,管理辦法得轉換為零信任配置,運用Clientless(網頁模式)機制進行認證。
Harmony Connect雲平台代為存取
Clientless可讓使用者在任何地點皆透過單一登入方式存取。傅國書說明,當使用者成功登入認證並且套用權限,系統可主動提供允許存取的App清單,當使用者點選開啟時,實際上是透過Proxy模式介接到後端應用服務執行存取。該存取模式關鍵在於後端應用服務部署位置不管是公有雲服務供應商的虛擬私有雲(VPC)或是自建資料中心,都有一個Application Connector扮演Proxy角色介接後端應用服務,也就是Harmony Connect雲端平台。
當使用者的Windows、Linux、macOS、iOS、Android等作業系統發起連線時,會先接取到Harmony Connect雲端平台,登入成功取得認證,只要點選App,透過Proxy建立傳輸通道存取後端應用系統。相較於傳統VPN建立加密傳輸通道,只要通過閘道器認證即可配發內部IP位址,若VPN控管政策設定不夠嚴謹,極可能被利用來存取機敏性關鍵系統。
Check Point設計的零信任控管方式,則是讓連線存取交由Harmony Connect代為執行,即便是使用者身份被盜用,惡意人士也根本無從得知後端究竟有多少應用系統。「我們發展的零信任網路存取(ZTNA),提供最小存取權限,結合Treat Prevention運行WAF、IPS等防禦機制,再加上Harmony Connect做為Application Connector,外部攻擊者無法掌握對外提供服務的應用系統,自然也無從發動DDoS攻擊。」
整合NanoAgent防堵攻擊程式滲透
目前市場上把SASE定位為存取模式,若以這個角度來看,Check Point區分為Internet存取與企業應用存取,企業應用存取較好理解的是原本VPN連線功能,建議可採用Harmony雲端平台服務實作,以確保可管理性與安全性,同時不至於增添維運負擔。Internet存取則可提供上網檢測,透過代理程式建立加密連線通道。
針對遠距工作者瀏覽網際網路的行為,Harmony可藉由瀏覽器中嵌入NanoAgent進行防護,可偵測SSL封包,無須透過Harmony Connect雲端平台防護,使用者下載的文件檔案皆須遞送到Threat Emulation(威脅模擬)沙箱技術運行解析以免存在惡意攻擊程式,並且透過SandBlast Threat Extraction(威脅萃取)技術運行清理,在毫秒內即可讓使用者收到乾淨的文件,以免遭遇零時差攻擊。同時亦可保護使用者的歷史瀏覽記錄,確保遵守資料隱私法規。
至於整體端點和設備安全性,Harmony Endpoint能夠保護使用者的電腦免遭勒索軟體、網路釣魚及惡意軟體的侵害,並可通過自動檢測和應變能力降低資料外洩的影響;而Harmony Mobile則能保護員工的行動裝置免於惡意應用程式及網路或作業系統攻擊。在郵件安全方面,則可支援Microsoft Office 365、Exchange、Google G Suite等。
新加入的功能亦包含Harmony Endpoint,即使在離線模式下,也可防範勒索軟體運用無檔案式(Fileless)攻擊手法的襲擊, 一旦檢測到異常或惡意行為,Endpoint Behavioral Guard將逕行阻斷,並且藉由辨識勒索軟體行為,例如加密文件或破壞作業系統核心檔案,運用備份還原機制恢復,不讓勒索軟體得逞。
當全球企業大規模地採取遠距辦公模式,改變既定的工作流程,因而產生出許多難以掌握的安全漏洞,這些漏洞實際上無法輕易地透過以往各自獨立分散的專屬方案來有效遏制。Harmony雲端平台採用統一、多層次的安全與防禦技術補足資安缺口,正可阻止刁鑽的攻擊手法利用系統或工作流程漏洞進行滲透,有效保護使用者端到端的安全性,並且藉由雲端服務可降低部署與維運複雜度,透過單一管理介面,為新型態的遠距辦公建立防護措施。