Cloud Access Security Broker Palo Alto Networks CirroSecure Forcepoint CloudLock Shadow IT Skyfence Aperture WildFire Adallom 影子IT CASB 思科 微軟

資安不能兩套標準 納入雲端實踐全面管控

2017-12-01
近年來持續投入擴展雲端相關服務方案的Palo Alto Networks,對於雲端應用服務安全性問題,早在兩年前就已透過收購取得CirroSecure於雲端存取代理(CASB)領域技術,也就是現在的Aperture服務,可說是資安市場上較早教育市場的供應商之一,並且仍持續發展中。
日前發布的新版擴展支援AWS EC2、IAM,以及Amazon S3雲端儲存空間,協助企業避免發生類似於近來多起因組態設定錯誤、控管不當造成的資料外洩事件。

台灣企業面對全球高度蓬勃發展的雲端應用服務,Palo Alto Networks台灣區總經理尤惠生觀察,「過去多年來大家探討雲端運算,認為似乎言之過早,又有許多法規規範限制,例如金融業,使得發展的腳步已較其他國家落後。但是今年較特別的是,在微軟大力推廣Office 365的影響之下,促使本土企業逐漸接受雲端應用服務,因而衍生出的整合應用商機甚至比國際龍頭AWS更多。」

微軟與AWS兩大公有雲平台之所以有所差異,尤惠生認為,「AWS最初是從消費端、個人開發者市場切入,強調自助式服務以及節省實際硬體建置費用;微軟則從Exchange郵件伺服器以來,皆透過綿密的專家服務,提供企業營運所需的核心應用,因此當微軟大力推動Office 365,我們亦可搭配微軟合作夥伴,共同經營本地市場。甚至可進一步搭配桌機、伺服器的經銷商,引入Palo Alto的端點安全與Aperture雲服務方案,畢竟現代企業應用環境已進入多雲架構,外部威脅又刁鑽難防,終端與雲端皆必須鞏固安全性,才可降低資料外洩的風險。」

次世代防火牆延伸雲服務建立可視化

▲ Palo Alto Networks台灣區總經理尤惠生認為,資安建置必須取得平衡點,規畫設計一套適合自家應用情境的框架,才得以在不影響使用者操作體驗下,落實資安治理政策。
整體雲端應用安全的發展方向,資安設備廠商最初是由IaaS領域切入,在主流雲服務平台中的Hypervisor環境,提供虛擬主機版本的部署,只要在雲服務平台的商城中選購即可。「因此Palo Alto對於雲端應用服務的發展並不陌生,近年來雲端應用服務逐漸為企業所接受,Palo Alto策略也緊跟需求的轉變,透過收購方式持續擴展延伸資安平台,推出Aperture服務。」Palo Alto Networks台灣區技術顧問藍博彥說。

在Palo Alto既有的次世代防火牆系統中,本就已具備各式網路應用服務、使用者行為模式的可視性能力,以此為基礎,搭配雲服務來輔助執行內容分析與檢測更具綜效,因此Aperture服務在定位上,並非為獨立存在的解決方案,而是次世代防火牆的延伸,讓客戶經由訂閱啟用服務後,規畫整合於既有的控管政策。

CASB市場的定義,功能機制須包含可視性、合規性、檔案加密、威脅防禦等項目,確實可強化雲端應用服務所欠缺的安全性,但藍博彥觀察,現今企業環境絕大多數仍保有內部應用系統,基於次世代防火牆建立可視性,更能達到整合控管的目的,畢竟雲端應用服務主要的場景,仍舊以企業內部居多,因此在閘道端就必須定義合法、非法、未知的應用行為,進而對應到使用者行為,才得以依據企業制定的控管政策實施措施,不應該在更換到雲端環境後有所妥協。

單一政策控管 雲端應用服務

至於探討多年的影子IT問題,藍博彥認為,主因在於初期發展的雲端網路應用服務,關注的焦點是以創新為主軸,雲服務供應商傾全力設計研發符合人性的操作介面、豐富的統計報表,卻忽略了安全保護機制,因而造就出新興的CASB市場。

「其實CASB解決方案的核心意義,在於幫助企業把商業應用系統切換到雲服務,因此可發現CASB市場近兩年成長速度相當快,當時的新創公司幾乎全數被既有IT解決方案供應商收購,原因即在於企業內部應用系統轉變為雲端應用服務的過程中,需要有可整合安全性的技術。」


▲ Palo Alto基於次世代防火牆平台所制定的統一控管政策,搭配Aperture服務控管雲端應用環境,一旦行為違反政策原則,將觸發Aperture啟動隔離檔案,防止資料外洩事件。(資料來源:Palo Alto Networks)

他進一步指出另一項觀點,當IT廠商在收購CASB技術後,不外乎成為獨立產品線,或者是整合到現有資安平台,例如Palo Alto。之所以須要整合到資安平台,主要因素是CASB原本較擅長的可能是內容偵測、權限控管、存取邏輯等面向,還需要進一步搭配資安技術才得以完善。假設由非資安廠商所併購,則難以運用CASB擅長的技術為基礎,整合雲端應用服務所需強化的安全性,例如因應新型態攻擊手法最關鍵的威脅情資。

藍博彥強調,「管理機制結合威脅防禦,才足以有效保障雲端應用服務可正常運行,因此Palo Alto發展新世代安全平台策略思維是以次世代防火牆為平台,延伸提供Aperture服務,而非為了爭取CASB市場而併購CirroSecure。」

就實際運作架構來看,Aperture服務已整合介接WildFire沙箱分析平台,輔助雲端應用服務環境偵測惡意程式攻擊威脅。WildFire雲端服務可說是Palo Alto解決方案的核心要角,所有產品線皆可藉此平台執行未知檔案的模擬分析,並且回饋蒐集取得的最新情資。

「WildFire自動化建立防禦機制,可說是Palo Alto較獨特之處。」藍博彥強調。只要在勒索病毒爆發後取得樣本,五分鐘之內即可基於機器學習引擎產生特徵碼,並且自動部署到次世代防火牆、端點、虛擬主機、行動裝置執行防護,毋須人力介入。 尤惠生也指出,當雲端應用服務更廣泛地被採用的同時,Palo Alto憑藉著伴隨企業IT走向雲端所累積的知識,下一步將以更宏觀的視野,從資安治理的思維勾勒出整體框架,以降低企業在數位轉型過程中可能面臨的各種資安風險。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!