新冠肺炎 Covid-19 遠端辦公 在家工作 網路安全 資安威脅 業務持續營運

非常時期工作環境巨變 正常運作維護工作聯繫

分流辦公遠距正夯 資訊業務生態面臨變革

2020-05-06
COVID-19疫情因素迫使所有人運用新科技、遠距及分流辦公。為了適應這種情況,各類組織面臨著如何首次使用遠距團隊來推動和運行業務,如何快速擴展其能力,如何最好地保護團隊健康,並確保資料安全,以及如何保持原有的業務效率。

 

對於世界各地的組織或企業而言,現階段COVID-19疫情因素迫使所有人運用新科技、新生活(遠距及分流辦公)。為了適應這種情況,各類組織面臨著如何首次使用遠距團隊來推動和運行業務,如何快速擴展其能力,如何最好地保護團隊健康,並確保資料安全,以及如何保持原有的業務效率。有鑑於此,思科高級副總裁暨協同合作事業部總經理Sri Srinivasan也表示:「思科正在為需要網路連接、協作,以及需要複雜業務流程應用的合作夥伴和客戶,提供前所未有的支援。」

思科希望藉由簡捷安全的遠距網路接入和全功能「居家∕遠距辦公」協同解決方案,為企業重塑管理、改變現有辦公習慣,滿足企業用戶各種部署環境的挑戰與要求,為包括中小企業、大型企業、教育領域、衛生保健等各個領域帶來助力,賦予團隊擁有足夠的工具,快速適應遠距辦公場景,從而更好的預測未來的變化,化企業挑戰為機遇。

而為了因應疫情因素而啟動業務連續計畫(Business Continuity Planning)的作法,也正從以資料為中心的本地化策略演變為全面了解如何保持業務「虛擬」運行的全局視野。企業可以總體運作概念,來因應業務連續及營運計畫。 依據以上四個基本的業務運作及資訊連續使用,可以概分為數個資訊業務策略及部署管理的思考,藉此因應現在的變化。

非常時期  非常安全

隨著遠距及分流辦公的業務因應變化,在這樣的新型態工作中,資訊安全為大家列為最優先考量的方向,但也因為這樣的工作型態,攻擊方法亦隨之變化。攻擊者加速攻擊基礎架構和分流辦公室或員工設備的速度和適應性,為安全管理偵測攻擊提出了新挑戰。

這樣的挑戰包括:一為電子郵件造假技術,因分流辦公或在家工作,員工不常面對面溝通,使用電子郵件便為最佳工作方式的首要工具,因此攻擊者繞過常規防禦措施並安裝勒索軟體和惡意軟體;二是分流辦公室使攻擊者暗渡陳倉式的攻擊(Low and Slow Attack),其逃避基礎網路的防禦,使攻擊者能夠滲透到基礎架構中,並在較長的時間內獲取未檢測到的流量。 以下為對總部、分支機構、分流辦公及在家工作的安全控制方法:

1. 遠距連線,讓安全工作無國界

使員工能夠在公司筆記型電腦或個人行動設備上的任何地方工作。在網路傳輸層啟用各式安全通道,在員工到辦公室、分流及分支到總部等啟動加密傳輸通道,如同在辦公室工作一樣。且提供可視性和控制安全團隊所需權限,以識別哪些使用者和設備正在使用其各項IT網路。

2. 多重地域(遠距及分流辦公)採多因素認證管理

在非常時期中的工作狀態,如何有效率及快速地控管使用者,一般會從使用者的使用認證著手,藉由DUO Security能夠有效管理各項認證帳號、驗證使用者,使組織能夠在授予對應用系統的使用權限之前驗證使用者的身分,並建立設備信任。透過採用多因素認證模型以行動電話、簡訊、電話或電子郵件等方式,認證設備及驗證使用者,可以減少帳號被盜取的機會與資安攻擊面,進而降低風險。

3. 設備做好防護,就能安心工作

分流辦公及在家工作之安全,首要注意使用設備上的安全控制;應避免設備的入侵。

Advanced Malware Protection(AMP)可深入查看網路層級與網路邊緣的威脅活動,並封鎖進階惡意程式。根據700多種行為指標,執行檔案的自動化靜態與動態分析。這些分析會發掘隱匿的威脅,並協助資安人員瞭解、優先處理及封鎖精細的攻擊。有利於在進入點封鎖惡意程式、查看檔案與可執行檔層級的活動,並有助於進入點封鎖惡意程式、查看檔案與可執行檔層級的活動,持續性保護設備。

4. 架設網路保護傘,安心分流辦公在家工作

部署30分鐘即可在任何地方保護網際網路連線,簡化在家工作安全性。無論是家中、分流辦公室或行動辦公室,Cisco Umbrella是保護所有員工的快速及簡便方法。沒有需要安裝的硬體,亦無須手動更新軟體,持續管理非常簡單。只需要將DNS重定向到Umbrella,透過加強DNS和IP層的安全性,阻止對惡意軟體、勒索軟體、網路釣魚和殭屍網路的請求;並且可以建立連接,阻止任何通訊上的威脅到達網路或端點之前。

5. 做好即時監控,避免趁虛而入

當完成因應疫情的各項安全控制的精進及部署後,在日常安全維運中仍需要時時偵測非常時期的非法活動。如何在VPN安全通道、網路異常流量、設備及應用服務存取的異常中,進一步偵測相關即時的威脅活動,已成為此時期最大的挑戰。此時,可運用Cisco Stealthwatch在現有基礎設施中偵測非法活動,以具有成本效益方式將整個網路轉化為一個感測器網。檢測異常網路行為,包括零時差惡意軟體、分散式阻斷服務(DDoS)、內部威脅和進階持續威脅(APT)等。運用理想的平台能夠在非常工作時期,全面增強可用性、全視界分析和早期威脅檢測,並提供非常工作的即時保護。

非常工作  一網順暢

網路是業務連續性的推動力,IT團隊在企業營運上也極為重要。儘管各行業之業務特性、使用分類或網路架構有所不同,但是在非常時期有高速、穩定的網路,對於維持業務連續性或安全連接都至關重要。同時在遠距工作上,IT團隊如何確保網路的順暢,並能做到即時的技術支援,也扮演著關鍵的角色。

四個基本的業務運作及資訊連續使用。

‧簡單、經濟、安全的無線網路

使用思科Office Extend Access Points(OEAP)之類的無線網路技術,可以快速部署遠距辦公的環境。IT部門可以從辦公室裏拉出數個Access Points,部署在家庭、分流辦公室等,如此一來,員工可以在幾分鐘之內,從分流辦公室或家裡安全地登入Wi-Fi網路,並使用企業原有的認證方式如802.1X、Radius認證,而且所有連接到公司的流量都加密,不需要登入VPN來存取資源,感覺就像是在公司內上班一樣。

‧無線網路應用於「社交距離」之管理

另外一個應用為使用Cisco無線解決方案加上Cisco DNA Spaces儀表板,可以公司平面圖的無線熱圖來展示出「社交距離」,因應疫情的管理。

‧透過Meraki的安全及SD-WAN解決方案做到統一控管

透過Meraki技術可以將企業網路很容易地擴展到臨時辦公室或家庭中,原因是該項技術有專門為遠距工作者設計的MX及Z3/Z3C設備。另外,Meraki Insight(MI)軟體可以讓IT團隊查看雲端應用如Webex、Office 365等的效能,而Meraki Systems Manager(SM)更能夠因應在學校、政府、企業臨時發布設備關閉時,確保其安全網路的使用。而這些的解決方案,除了零接觸(Zero Touch)的部署外,都可以在一個統一控管的介面提供IT團隊高度的可視性。

‧使用Cisco ISR 1000路由器建立遠距工作人員和小型辦公室

對於沒有網路的環境(如臨時性醫療檢測站、物流調度站或政府機構),Cisco ISR 1000路由器提供進階的LTE/Cellular選項,以擴展WAN覆蓋範圍、備份、故障轉移連接以及Active-Active配置。

協作世界  溝通無障礙

Webex在現在疫情流行時,是靈活的現代工具,為最佳遠距工作或分流辦公的好幫手,在一個協作系統中擁有這些功能,則可以輕鬆地在與遠距團隊或分流辦公的員工,進行不同通訊模式之間切換,而無須在多個電子郵件交換中使用。儘管電子郵件使用很輕鬆,但它並不是與團隊進行溝通對話的有效方式。

藉由數個資訊業務策略及部署管理的思考,來因應目前情況的變化。

再者,Webex能夠撥打和接聽語音和視訊電話、參加會議,與合作的個人和團隊發送消息、共享文件等。也可以在個人電腦設備上使用,或者在外出旅行時在智慧手機上使用。總歸來說,Webex應用服務可涵蓋以下功能:

‧全螢幕視訊會議、並排的畫面共用檢視模式

可以從智慧手機或平板上切換演講者、共用桌面或應用程式、一同在文件中新增註解、在虛擬白板上勾勒想法、錄製會議及發起或加入會議,而這些只是網路會議的重點功能而已。

‧適用於活動、網路研討會、訓練及遠距支援的優質工具

協同合作的操作相當簡單,有助於擺脫技術層面的麻煩,採用更具生產力的方式進行會議和協同合作。

遠端工作  隨需部署

如何快速滿足遠距或是分流辦公的需求,同時能結合企業既有資源降低成本,至為重要。透過簡化、安全與可擴展的解決方案,將能夠讓企業可以隨需求部署並且降低IT人員的維運負擔。

維持應用效能  資訊傳送不斷

為保障遠距工作及分流辦公室的工作效率及應用效能,AppDynamics是在此時期管理應用服務之最佳工具,由於業務連續(Business Continuity)計畫的啟動,組織及企業更需要以聰明智慧的方式,促使應用系統能可靠、穩定的提供服務。

AppDynamics可協助管理應用服務的特點包括:從測試環境到正式營運環境的統一視覺,查看應用服務及程式效能;自動生成應用程式流程圖,可在每個圖像及儀表板上動態更新;使用機器學習的演算監測應用,服務業務正常和異常的功能或效能;故障或異常警報,確保應用服務的持續運作。

如此一來,無論是全球大企業、小型企業、國家或地方政府、醫院還是學校,都可以全天候工作,以確保工作效率和安全性,並透過提供免費優惠來實踐遠距及分流辦公,滿足現階段疫情應變和業務運作安全性要求。

思科如何持續業務和在家工作

思科全球IT部門啟動了業務連續性計畫(Business Continuity Planning)以及應變方式,在疫情狀況下,為整個公司提供分流辦公與在家工作的能力,及其所需採取的措施。針對員工進行了廣泛的全球遠距使用,並開發四層框架來部署業務和IT功能。四個層面分別為:

1. 基本網路安全連線的VPN連接

需要支持亞洲各地在家工作的員工,VPN的擴展最近開始大量的使用,擴大了網路資源(例如頻寬、IP資源等等);在歐洲、中東和非洲,總體網路資源容量已足夠,但需要更多的彈性。還可以將VPN接入點設置為根據需要自動重新定向,並全域式分發分配流量。思科甚至研究一種稱為「Split Tunneling」的配置更改,以最佳化流量。現行透過VPN連接時,所有流量都返回到Cisco。對於已知的優質Internet連接服務,例如Office 365、Webex和Salesforce,可以直接透過Internet發送該流量,而無須先將其發送給Cisco。

2. 協作工具確保可靠性

思科與Webex之間有大量流量往返。除了標準的Webex會議流量之外,Webex還利用了Cisco的Call Control Infrastructure。目前僅使用Cisco和Webex之間總容量的12%,如果需要,還達成了透過使用附加頻寬來增加互連的協議,儘管速率更高,但由於已經將Webex用於大多數Cisco會議,因此,若同仁在家工作,預計流量模式不會發生重大變化。對Webex團隊而言,這種用於消息互動的低頻寬應用系統,也可以直接透過Internet獲得。Split Tunneling VPN可以進一步減少到Cisco的部分流量。 至於電子郵件,由於使用Office 365,可以透過Internet直接存取,這總體上是一種低頻寬應用系統,而Split Tunneling VPN將進一步地減少到Cisco的流量。而關於語音的應用,大多數員工都可能使用行動電話或是家用電話。CVO或IP語音用戶端要普遍得多。

透過公司平面圖上的無線熱圖顯示「社交距離」,來因應疫情的管理。

3. 關鍵應用系統適當使用權限

譬如工程系統、銷售系統和客戶服務等領域的功能,確保關鍵業務應用系統可以在彈性的基礎架構中安全地執行,思科正在為每個功能(包括工程,銷售和CX)佈建關鍵的應用系統列表。初步評估是大多數關鍵業務應用程式將透過VPN提供。

4. 與合作夥伴對客戶服務和技術支援之間的連通性及即時性

思科全球團隊還有很多工作要做,讓Call Center的工作人員能夠遠距使用,以便可以將Call Center的使用直接路由到在家工作的客服代表。另一方面,由於最近許多會議和活動已被取消,且部分人士的旅行已受到限制,因此正尋找舉辦大型虛擬活動並協助客戶完成需求的最佳方法。

<本文作者:游証硯現為思科台灣首席資安顧問>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!