過往認知的網路邊界防護,隨著遠距辦公模式的興起,已延伸到員工上網行為。Palo Alto Networks最新發布的Prisma Access 2.0雲端安全平台,具備自主數位體驗管理(DEM)、網頁安全閘道(SWG)、機器學習分析安全性、CloudGenix CloudBlades等技術,讓IT管理者得以運用單一平台控管地端與雲端安全機制,為企業配置統一的政策措施。
Palo Alto Networks台灣技術顧問總監蕭松瀛指出,Palo Alto Networks以NGFW起家,近幾年持續發展建構雲端網路安全平台,來提供資料外洩防護(DLP)、進階威脅防護(ATP)、入侵偵測系統(IPS)、防毒等功能。Palo Alto Networks NGFW技術研發初期即選擇從Layer 7切入,較傳統防火牆基於Layer 4疊加的方式不同,原生就可辨識Layer 7產生的Metadata,其他廠商若不採取高效能晶片運算將難以達到此能力,否則如果只靠軟體技術解析網路封包,一旦啟用Layer 7防護功能恐影響整體運行效能,因此必須得仰仗軟硬整合來解決。
「基於Layer 7發展可免除舊包袱問題。當混合辦公模式成形,NGFW部署也不再只位於邊界,選用雲端平台來建立防護更能發揮效益,此時Palo Alto可彈性地調整,在目前主流的Google、Azure、AWS等公有雲平台上皆可訂閱啟用Palo Alto Networks提供的NGFW。」蕭松瀛說。
Palo Alto Networks新推出的Prisma Access 2.0雲端安全平台,是參考SASE防護框架所打造,可更進一步為遠距辦公建立完整安全防護。他舉例,若既有資料中心已經部署Palo Alto Networks提供的NGFW,但受到疫情影響,歐洲據點的員工在家辦公,則連線存取網際網路行為會先導向到當地的防火牆即服務(FWaaS)解析與檢測,不論地端或雲端的資安管理方式皆相同,IT人員無需為雲端存取行為額外制定管理政策,基於熟悉的操作平台即可讓地端控管措施延伸到雲端,即使員工不再先連線回到總部資料中心,亦可受到相同的防護。如此一來,可讓原有邊界防護往用戶方向延伸。
整合多種技術搭建網路安全平台
Palo Alto Networks基於既有的NGFW技術持續研發,目前已具備多種資安功能訂閱模式,包含防範已知威脅的Threat Prevention、URL Filtering偵測惡意網站、WildFire運用沙箱技術偵測未知攻擊、DNS Security、資料外洩防護等既有的機制,搭配GlobalProtect用戶端方案,以及2020年發布的IoT方案(2019年收購Zingbox取得技術)解析封包辨識連網裝置,再加上SD-WAN功能,完整搭建成為網路安全平台。其中IoT方案是運用非侵入方式,從流量中解析通訊協議,搭配機器學習演算法,可根據設備產生的流量進行辨識。
蕭松瀛進一步說明,之所以稱NGFW為網路安全平台,主要是因爲所有的機制都已轉換成為訂閱模式,企業可依據應用需求在NGFW環境中啟用功能。至於NGFW硬體式設備的發展,不僅提供虛擬主機版本,同時也開始支援部署在Kubernetes建立的容器環境,掌握微服務彼此之間溝通的流量,意味著網路安全平台已可完整控管硬體設備、虛擬與容器環境的網路封包。
具備可視化能力之後,針對合規性政策與風險控管措施,即可套用網路安全平台整合的技術進行配置。
Prisma Access 2.0保障傳輸與安全
受到疫情影響,目前台灣企業更加關注Prisma Access防護能力,希望藉此確保遠端人員執行工作任務的網路傳輸可靠度與安全性。Palo Alto Networks透過收購CloudGenix取得的SD-WAN技術,已納入Prisma Access 2.0雲端安全平台,基於單一平台即可滿足兩種應用需求,尤其是海外設立據點的企業,無須透過MPLS專線連線回到台灣總部,可保護就近取用雲端服務的行為。
「SASE框架的範疇涵蓋SD-WAN,企業採用後可保障服務等級(SLA),提升Office 365收發郵件等存取雲端服務的傳輸速度。員工在家工作時,只要電路接通,即可建立專屬傳輸通道,不需要跟別人分享相同頻寬,藉此達到保障傳輸速度。」蕭松瀛說。
Prisma Access 2.0協助判斷傳輸瓶頸的機制,仰仗新提供的自主數位體驗管理(DEM)實作,員工家裡的Wi-Fi透過電信業者線路傳輸存取公有雲服務或公司內部的資源,過程中經過的網路節點皆可能導致回應速度變慢,DEM機制即可協助釐清究竟是家裡的Wi-Fi出問題,抑或是外部傳輸節點。
DEM機制就如同資料中心邊界部署在最靠近用戶端的位置,蕭松瀛舉例,從澳洲透過VPN連線回到台灣,中間必須經過17個節點,傳輸延遲時間過長導致速度變慢,若採用Prisma Access 2.0運用SD-WAN技術來提升傳輸品質,可能只需經過3個節點即可到達目的地。整套雲端安全服務方案,僅需用戶端安裝GlobalProtect即可開始使用,無需額外增添設備。
統一控管平台兼容異質設備
為了提供企業全球據點的網路傳輸與安全更高服務等級,Palo Alto Networks已在全球ISP業者端部署了邊緣伺服器,蕭松瀛表示,Palo Alto Networks基於NGFW整合提供的網路安全平台優勢在於具備動態擴增能力,假設訂閱初期只有一百名員工,隨著營運規模增長而員工數量增加,相同的網路接取點即可動態擴充,以保障可提供的服務等級。
事實上,Gartner在2019年提出SASE框架時,未曾預料隔年將爆發疫情使得應用需求急速增長,例如學校改為線上教學,導致在外學生因網路傳輸品質不佳影響學習效果,Palo Alto Networks解決方案不僅可保證網路連線通道品質,同時亦可避免被國境內設置的防火牆阻斷。IT人員只要管理一套Prisma Access,即可確保全球據點的傳輸品質與安全等級。
此外,Prisma Access另一個強項是提供兩種介面可供選用,其一為網頁版本的管理模式,企業既有的建置若非為Palo Alto Networks NGFW,可建立Site-to-Site VPN傳輸通道,讓公司內部的設備納入Prisma Access管轄範圍;若既有導入部署Palo Alto Networks方案的客戶已建置了多層式防禦體系,則可運用原有的Panorama平台控管內部NGFW與Prisma Access。
蕭松瀛強調,Prisma Access可整合異質平台建立統一控管,對企業而言可說是相當重要的特性,藉此整合網路環境所有資料。如今Prisma Access在全球已部署超過160個據點,訂閱服務啟動後可專屬服務該企業,一旦連線數增多時,亦可自動擴充資源,有效確保傳輸品質與安全性。