隨著雲端服務採用數量增長,員工工作地點不再限制於辦公室環境,企業網路安全策略正在過渡到零信任原則,改以用戶與裝置為核心實作控管,因此基於雲端平台設計的SASE(Secure Access Service Edge)框架,成為資安廠商共同的發展方向。Fortinet自2020年收購OPAQ Networks取得SASE雲端平台技術持續發展,如今的FortiSASE已提供零信任網路存取(ZTNA)、防火牆即服務(FWaaS)、網頁安全閘道(SWG)、雲端存取資安代理(CASB)等服務,建構零信任邊緣架構,貼近現代化應用場景。
Fortinet台灣技術顧問林裕祥指出,過去資安機制是部署在IT基礎架構之上,隨著雲端運算模式在各產業應用擴展,相對應的資安控管機制開始受到高度關注,地端的技術供應商紛紛朝向SASE框架為發展方向,Fortinet也不例外,以收購手段快速發布FortiSASE雲端服務,並且整合既有地端解決方案通用的作業系統,最新推出的FortiOS 7.2版本,提供了由人工智慧驅動的全新FortiGuard安全服務,成為整合網路和安全的平台,建構連結雲端、地端、邊緣端、終端的安全織網(Security Fabric),幫助企業數位化應用場景增添抵抗威脅入侵的能力。
疫情催化雲端服務模式落地
當前的數位創新、應用雲端化、混合辦公趨勢,徹底改變了網路結構。隨著應用程式與檔案存放環境從資料中心遷移到雲端平台的比重增加,用戶可在任何時間、任何地點、任何裝置執行操作存取公司資源,傳統資安解決方案已無法涵蓋現代化應用場域所需的安全存取控管機制。新興的SASE框架融合了SD-WAN、網路微分段,以及原本地端部署的資安技術,則可確保多雲/混合雲架構的存取安全。 林裕祥觀察,實際上早在五年前國際間就已有廠商(例如Zscaler)開始提出基於雲端平台提供資安防護的服務,只是當時本土企業態度較為保守,仍習慣於投資部署實體設備。如今的SASE模式之所以接受度提高,主因在於應用遷移上雲端平台或改用SaaS服務的數量增長,例如台灣多數企業已改用Microsoft 365雲端服務,過去郵件伺服器自建部署在資料中心,需要IT人員維運,改採雲端服務後,企業開始理解雲端服務可降低維運負擔的價值,隨之探討安全性問題,SASE才逐漸浮上檯面。COVID-19疫情大流行更是讓SASE迅速成為焦點,欲藉此讓員工隨處辦公,皆可如同辦公室環境,擁有多層式防護機制。
林裕祥強調,改變台灣企業採用雲端服務思維的幕後推手正是COVID-19。過去企業預算投入思維是總部的IT基礎架構必須建構整套多層式防禦體系,但IT管理者根本無力精通各家廠商的操作配置模式,須仰賴外部專業技術人員協助維運,轉換成SASE雲端安全服務後,IT管理者只要確保地端網路得以連通即可增添防護機制,相當適用於跨國或外部據點眾多的企業。例如銀行業的外部據點相當多,再加上金管會已核准有限度開放銀行業採用雲端服務,只要SASE服務在島內落地,即可用以簡化部署的複雜度,同時降低後續維運負擔。透過單一控管介面制定政策,再套用到各式工作流程,採以一致性資安管理措施降低風險。
微分段實作ZTNA限縮存取權限
以台灣多數企業現況來看,在數位轉型過程中地端與雲端勢必並存,既有辦公室建構的多層式防護體系仍可發揮效益,至於遠端工作者,則借助SASE雲端安全服務提高防護層級與保障用戶體驗,避免混合辦公模式擴大攻擊面,讓駭客惡意程式趁機滲透入侵。
Fortinet提供的FortiSASE基於雲端原生平台建構,不論應用系統部署在雲端、地端資料中心、邊緣環境,皆可保障安全存取,讓管理者可藉此掌握連接狀態、配置控管措施。林裕祥說明,既有FortiGate設備提供的安全防護機制均已納入FortiSASE平台,具備防火牆與Proxy技術,可執行防毒、入侵偵測防護、網頁過濾、資料外洩防護等功能。IT或資安人員可透過單一平台執行設定配置政策措施,用戶連線存取產生的日誌也可存放在雲端原生平台,持續地改善機器學習演算模型準確度,增進對隱匿惡意行為的辨識能力。
至於遠端工作者的公務裝置安裝FortiClient,除了既有端點安全機制,可基於機器學習演算偵測已知與未知病毒,更擴展到零信任網路存取防護能力,讓VPN連線登入公司內網,身分驗證通過後配置最小權限存取地端資料中心或雲端應用資源,可透過微分段(Micro-Segmentation)技術實作,限制Session、應用系統的存取行為,讓控管措施得以更細緻,萬一不幸遭滲透成功,亦可限縮感染範圍,讓損害降到最低。
FortiCASB保障SaaS應用安全與合規
除了持續擴展FortiSASE安全框架,Fortinet針對地端自建部署的方案,最新發布FortiOS 7.2作業系統版本,增添採以人工智慧驅動的全新FortiGuard安全服務,整合串聯跨網路、端點、雲端的方案,增進FortiOS能夠在攻擊手法不斷翻新的威脅環境中發揮防禦力。
FortiOS 7.2版本新加入雲端存取安全代理服務的FortiCASB,藉由FortiGate與FortiClient整合偵測流量狀態,為關鍵業務SaaS應用提供保護機制,例如Salesforce.com、Office365、Box、Dropbox等,同時整合了AWS、Microsoft Azure、Google Cloud Platform等主流的公有雲平台,讓存放在雲端平台上的機敏資料得以具備可視性,IT或資安人員可藉由統一儀表板監控用戶存取、使用行為模式,以免遭惡意程式感染導致資料外洩,並符合SOX、GDPR、PCI、HIPAA、NIST、SO27001等合規性要求。