近兩年來著重於提供企業行動化應用控管方案的廠商,皆相繼提出零信任模式的資安防護策略,VMware提出的實作框架,主要是以Workspace ONE統一端點管理(UEM)延伸到資料中心,可結合VMware NSX網路虛擬化技術執行實作,建立一致化控管各種端點裝置、條件式存取與多因素認證、Per-App VPN應用代理、應用系統與資料防護。特別是在裝置安全性方面,整合了最新收購取得的Carbon Black以強化安全防護能力。
VMware副總經理暨技術長吳子強觀察,近幾年發生的重大資安事故,讓人深刻意識到資安控管嚴謹程度再高,都無法避免攻擊病毒滲透成功,儘管企業已經導入建置如此多種類的資安防護工具,卻仍可能因為人為疏失操作錯誤、或是警覺心不足點選釣魚郵件,使得惡意程式滲透成功,讓攻擊者有機可趁。實際上有可能是過去的資安思維已不合時宜,必須重思考防護框架,更有效且精準地掌控風險,零信任模式的防護策略或許更適用於現代行動化應用環境。
統一端點管理平台簡化維運負擔
傳統的資安防禦,主要以黑名單判斷與處置危險訊號,換句話說,不屬於黑名單的檔案與執行程序,預設為可信任。隨著資安事故一再地登上社會新聞頭條,於是市場開始思考改以白名單機制,預設不信任所有的操作執行,只有在白名單上所列才得以運行。白名單的機制過去較常見應用於對外公開的網站系統,以正向表列的方式可防堵大部分惡意或出自於好奇所帶來的損害,同樣的概念也可套用到各式終端裝置。
「IT市場興起零信任模式,演進的路程同樣如此,當終端環境的惡意執行行為變得防不勝防時,不如預設全數禁止,必須得通過認證後配發合適權限,才可順利操作。為了避免遭遇如同白名單機制,遭到使用者抱怨後難以實施,零信任模式的前提是必須保障用戶體驗,才能夠讓用戶接受進而廣泛地應用。」吳子強說。
就整體架構來看,VMware提出的零信任方案,主要基於Workspace ONE UEM擴展,防護範疇包含設備、認證、傳輸、App與資料保護。其中設備控管方面是基於MDM所發展。因應行動應用興起,企業IT必須增添iOS、Android作業系統的控管能力,衍生出的MDM工具發展已有將近十年,如今辦公室環境應用行動裝置已相當普及,就連原本的手機作業系統也出現在筆電上,而桌機時代的Windows作業系統,更在行動優先的策略下以筆電為核心發展,使得終端管理工具逐漸融合,可基於統一端點管理平台,控管手機、平板、筆電、桌機裝置,包含現階段辦公室環境主流的Windows 10、macOS、Android、iOS等作業系統。
Carbon Black加持防禦進階威脅
行動工作者在存取應用系統與資料過程中,首先是終端裝置必須先確認合法性,以及身份認證確定為本人操作。完成後啟用VPN等加密通道技術保障網路傳輸安全性,連線進入到企業內部資料中心,實際接觸到應用系統或資料時,依據帳號身份配置的合法權限存取。
近期再增添源自2019年收購取得的Carbon Black端點防護技術,可讓防護等級達到預防效果。吳子強透露,VMware併購新技術的模式,通常是內部IT團隊先行採用,確認可行後先是以合作方式推廣,例如VMware初期在vSphere白金版中提出的AppDefense,就是協同Carbon Black提供的威脅情資,實際應用後衍生出整合策略才著手併購。
他進一步說明,Carbon Black較傳統端點安全防護不同,傳統安全防護運行是以特徵碼分析,不容易抵禦現代勒索病毒、未知型惡意程式的威脅,Carbon Black作法則是從使用者與應用程式的行為分析切入,運用機器學習演算法建構行為資料模型,釐清各種類型的存取行為,並且給予評分,依風險指數來判斷異常。「Carbon Black之所以能達到足夠精準,除了自主研發的演算技術,亦設立資安監控中心,可蒐集全球的即時威脅情資,餵入演算分析系統運行強化訓練,提高不同存取行為的評分準確度,並且建議IT管理者執行適當的回應。」
網路隔離傳輸限縮App相互感染
網路傳輸過程中,必須要採以加密等方式,此環節中的關鍵是Per-App VPN。吳子強舉例,手機安裝公司的App,以往要順利存取,首先裝置要接受公司納管,運用AirWatch確認作業系統環境未被破解,通過後開始建立VPN加密通道執行。問題是,本土企業行動化應用的裝置多數非公司配發,員工私人裝置只有部分處理公務,若欠缺AirWatch把關,手機作業系統被植入後門程式使用者也不自知,此時若是VPN連回企業內部資料中心,極可能成為跳板滲透進入。基於Per-App VPN執行,則只有在員工開啟App時才會觸發VPN傳輸,若非企業提供的App亦無法透過此通道傳輸,可降低惡意程式感染風險。
VMware在台灣累積的客戶群中,近期的實際案例是彰化銀行,會導入AirWatch主要是為了確保理財專員行動應用安全,評比項目中最大的優勢即為Per-App VPN。其次是必須假設Per-App VPN連線接取後仍舊發生資安事件,設立最後一道防線,當存取行為最終到達位於資料中心的應用系統,搭配NSX的微分段(Micro-segmentation)技術建立東西向防火牆,可將攻擊威脅限縮在單一App應用環境,不致因此造成大規模應用服務癱瘓。
至於行動化應用場域必備的單一登入機制,Workspace ONE也已具備。吳子強指出,過去不少企業IT曾經試圖導入單一登入機制,以便讓員工存取眾多異質系統時無須再次輸入帳密,但最終大約有半數以上的專案建置皆未能實踐。原因是本土企業內部自行開發的系統,未考慮技術被綁定的問題,即使可開放其他系統介接,實際上整合難度也相當高。
單一登入除了技術層面複雜度較高以外,還必須具有相當的決心,不會因為內部少數應用系統異動難度較高而放棄。如今企業IT演進到混合雲模式,則可基於Workspace ONE Access(前身為VMware Identity Manager)建置,藉由雲端應用服務的SAML標準實作,當App必須接取企業內部系統時,身份認證才切換為既有的Active Directory系統。此外,針對資料保護的機制在不同環節皆有設計提供,例如AirWatch提供的Content Locker功能,讓員工可運用較熟悉的Dropbox等雲端硬碟存放企業內部的資料,在安全可控的前提下保障用戶體驗。