面對隨處辦公成為現代工作的常態,如何保障員工可在穩定且安全的網路環境中執行公務,避免遭惡意程式滲透或機敏資料外洩,可說是企業當務之急。用以實作零信任控管模式的SASE(安全存取邊緣)解決方案,Palo Alto Networks稱為Prisma SASE,可保障員工在任何地方,使用任何裝置存取任何應用程式,皆可擁有保護力,同時兼顧使用體驗,以提高生產力。
Palo Alto Networks台灣區技術總監蕭松瀛指出,實際上在SASE發展之前,網路安全技術皆由不同的供應商獨立提供,例如CASB(雲端存取安全代理)、SWG(網頁安全閘道)、WAAP(網頁應用程式與API防護)、FWaaS(防火牆即服務)等。Gartner自2019年提出的SASE框架,用意即是把原本獨立的解決方案整合在一起,並透過雲端平台,以服務模式來提供。「這正符合2024年開始資安領域所提倡的『平台化』概念——由單一廠商提供涵蓋網路與安全的整體服務,讓不同程度的數位化應用場景可彈性地運用來提高營運效率。」
蕭松瀛以防火牆技術領域舉例,過去企業使用的防火牆經歷了多次演變,最初的防火牆僅提供基本的封包過濾功能,隨著威脅日益複雜,逐漸發展出次世代防火牆(NGFW)和統一威脅管理(UTM)技術,最終走向SASE架構。此趨勢顯示了網路安全技術的演進與融合,而這股融合的驅動力主要源於企業持續地發展數位化轉型應用推升的需求。
Prisma Access Browser防機密外流
企業IT架構的演變促使Palo Alto Networks透過收購手段來完善其產品線,以提供涵蓋網路連線加速與安全防護的完整服務。如今在遠端工作日益普及的推展下,如何確保企業資料不外洩成為IT與資安團隊的首要挑戰之一。Palo Alto Networks新發布的Prisma Access Browser,提供了一種無需在終端安裝代理程式的方法,使用者可以透過專屬瀏覽器進行受控的資料存取,並且具備資料外洩防護(DLP)功能,如自動加上浮水印、限制文件的複製、列印等控制措施。
此外,Prisma Access Browser在企業資安策略中的應用不僅限於資料防護,它還具有靈活的權限管理功能,企業可以根據員工身份來授予不同的存取權限。例如,外部承包商或臨時工作者可以被限制只能透過PAB來存取企業特定的應用程式,而不需安裝其他的代理程式。這樣的彈性使得企業在面對不同角色與應用場景時,能夠更為精細地管理存取權限。
根據Palo Alto Networks日前發布的《現代組織的安全狀況》報告指出,在未來的24個月內,網路和SaaS應用服務的使用量預計將增加50%。隨著工作環境的不斷擴展和日益複雜,企業必須重新思考其資安措施,特別是如何在瀏覽器中有效保護機敏資料。
報告中提出,目前員工有85%的工作時間是在網頁瀏覽器中進行的,其中約11%的時間用於個人活動。由此統計數據顯示,擁有安全防護機制的瀏覽器已成為保護新型態工作環境的工具。不僅需要保障資料的安全性,還必須主動提升對瀏覽器活動的可視性,以及早發現潛在的威脅,進而保護數位資產。
此外,超過90%的企業允許員工和外包廠商工程師使用個人裝置存取企業應用程式。這種個人裝置的普遍使用,成為潛在的資安漏洞。為了避免機敏資料外洩或遭受惡意程式感染,企業必須改善控管政策與運用工具,確保未受保護的裝置上也能維護資料安全性。Palo Alto Networks新發布的Prisma Access Browser即是為了解決此問題。
蕭松瀛說明,Prisma Access Browser源自於Palo Alto Networks在2023年收購的以色列新創公司Talon Cyber Security技術。這項技術目前可以獨立運作,預期未來將會整合到Prisma Access平台來提供服務。傳統上,使用者需要在端點作業系統上安裝代理程式,或透過Proxy模式進行網路安全管控,然而,現代資安方案則更傾向於透過專屬瀏覽器來進行控管,並且支援資料外洩防護(DLP)機制。
RBI代為存取阻絕潛在風險
企業可基於現有的Prisma Access平台提供的遠端瀏覽隔離(RBI)技術,透過動態、基於風險觸發的瀏覽器隔離政策,協助企業IT與資安團隊,得以在使用者體驗與安全之間取得平衡。該技術具備動態調整能力,能根據使用者的風險狀況實施適當的隔離策略,確保安全性同時不犧牲流暢的瀏覽體驗。
RBI技術近年來廣受關注,蕭松瀛認為,其中一個因素在於它有潛力取代虛擬桌面基礎設施(VDI)的角色。RBI伺服器的角色是充當應用系統與使用者之間的橋樑,當使用者發起存取請求時,實際操作是由RBI伺服器執行,然後以串流方式將結果傳送到使用者設備上呈現。問題是,當企業員工數量多達成千上百名時,RBI伺服器需要具備足夠的資源來支援這些操作。
Palo Alto Networks台灣區技術總監蕭松瀛指出,Palo Alto Networks致力於透過平台化的方式,整合所有的網路安全功能,並提供統一的操作介面,這也是SASE解決方案的發展方向,讓企業IT與資安團隊降低管理複雜度。
「Prisma Access Browser提供的功能不僅限於一般的瀏覽安全性,它還能為文件自動加上浮水印,並限制使用者的複製、貼上和列印等操作,以此加強資料外洩的防護能力。不過,Prisma Access Browser並不是為了取代RBI技術,而是作為一種選擇,讓使用者能根據具體的應用場景靈活選擇資安控管機制,而不必啟用所有功能。」蕭松瀛說。
數位體驗管理釐清網路效能瓶頸
在企業進行數位轉型的過程中,資安團隊較專注於偵測與防禦能力,IT維運團隊所關注的焦點則往往是網路存取的延遲。Palo Alto Networks通過購併技術公司,推出自發性數位體驗管理(ADEM)解決方案,幫助企業監控網路連線品質與使用者體驗。ADEM可以透過端點安裝代理程式掌握每個網路節點的效能,並自動診斷網路延遲或設備性能問題,讓IT人員能夠快速找出問題的根源,減少因性能瓶頸而導致的使用者抱怨。
蕭松瀛指出,在Palo Alto Networks的SASE解決方案中,ADEM為重要的用戶體驗監控工具,尤其是在遠端工作的環境下,確保網路連線的穩定性是企業IT面臨的一大挑戰。ADEM可以定時收集使用者設備的運行效能數據,如CPU負載、記憶體使用情況、Wi-Fi連線狀態等,幫助IT人員針對個別用戶的網路體驗問題進行排查與優化,有助於保障使用者滿意度。「Palo Alto Networks在網路與安全兩個領域都有深耕,因此在設計研發平台化服務時,能夠更好地結合這兩個領域的技術優勢,滿足企業日益多樣化的安全與合規需求。」