為因應企業數位轉型導致IT架構從集中走向分散部署,使得資安控管策略必須調整跟進,Cato Networks於2015年成立後,便開始基於雲端原生技術,自主研發Cato SASE Cloud平台,整合了安全服務邊緣(SSE)與軟體定義網路(SD-WAN)技術,以軟硬整合架構部署到全球各地網路接入點(PoP),搭建Cato全球私有骨幹網路(Global Private Backbone)來提供服務,加速網路封包遞送,同時確保企業機敏資料免於外洩或遭遇惡意程式入侵。
零壹科技資深經理謝季樺指出,自從新冠疫情爆發以來,安全存取服務邊緣(Secure Access Service Edge,SASE)成為業界的熱議話題,因為在遠端工作與雲端應用需求的驅動下,企業對於網路安全管理的需求大幅提升。隨著政府對於上雲政策的限制逐漸鬆綁,台灣的企業也開始加速雲端服務的採用。然而,在這樣的混合環境中,如何確保雲端與地端的安全控管成為一大挑戰,而SASE則被認為是解決這些挑戰的重要方案。
Cato Networks身為雲端原生的SASE解決方案供應商,自成立之初就以提供雲端原生的安全控管機制為目標。Cato的SASE解決方案包含了網路即服務(Network-as-a-Service)與安全即服務(Security-as-a-Service)的核心特性,整合了多種安全功能,如軟體定義廣域網路、網頁安全閘道(SWG)、雲端存取安全代理(CASB)、次世代防火牆(NGFW)以及零信任網路存取(ZTNA)等,將這些功能匯集於單一平台,提供企業高效的網路連結與安全策略。
全球部署建構私有骨幹網路
Cato SASE Cloud的網路即服務核心是SD-WAN技術,透過SD-WAN將企業的所有據點,無論是總部、分公司、遠端工作者,甚至是在公有雲平台上部署的應用服務,都串接為一個大型的廣域網路(WAN)。每個據點對Cato而言都是一個站點(Site),這些站點之間利用Cato的SD-WAN技術串聯成一個統一的網路環境。另一方面,安全即服務則是在這些站點之間的專屬WAN環境中部署安全控管策略,如基本的防火牆、上網管理規則、雲端存取安全規則等,確保每個站點的網路連接都受到充分的安全保護。
謝季樺說明,Cato SASE Cloud解決方案完全符合Gartner所描述的SASE架構。Gartner定義的SASE架構就是要將企業每個站點透過廣域網路技術連接起來,並且在這個網路環境中執行各種安全控管措施,包括防火牆、網頁安全閘道、CASB等服務。Cato透過全球部署的網路接入點,企業的網路流量會經由Cato的全球私有骨幹網路(Global Private Backbone)遞送到距離目的位址最近的接入點,確保網路的傳輸效率與連接品質。這些接入點之間已具備路由的優化,以避免廣域網路架構中節點過多可能導致的傳輸延遲問題,藉此達到加速的效果。
針對企業最關心的延遲問題,Cato藉由在全球超過80個國家的網路接入點部署自家設備,並進行自主管理,以減少因租用公有雲平台而產生的延遲風險。謝季樺認為,Cato提供的SASE解決方案與其他服務供應商不同,Cato是把自家設計的軟硬整合主機部署到每個網路接入點,這些主機不僅包含實體資源,作業系統與應用層更是自主研發,可確保整體的運行效能與安全性。
SSE平台實作零信任控管
在資安領域,Cato SASE Cloud解決方案採用了稱為SSE 360的安全服務邊緣技術堆疊,並結合Cato Socket SD-WAN設備,提供完整的SASE解決方案。謝季樺指出,Cato建議的最佳建置實務是企業應在終端裝置上部署Cato Client,以便對居家或遠端辦公的員工進行管理與控管。此外,對於無法安裝代理程式的私人裝置或委外廠商,Cato也提供了無代理程式的存取方式,以確保企業網路的安全性。
對於企業來說,無論是新增營業據點,或是首次導入SASE服務,都可以透過部署Cato Socket SD-WAN設備連接至Cato的全球私有骨幹網路,並透過SSE 360平台進行資安偵測與回應,達成有效且一致性的安全管理措施。
針對尚未採用SASE雲端服務的企業,謝季樺建議循序漸進,首先應清點現有的網路架構與外部據點數量,並根據現有線路的頻寬來選擇適合的Cato Socket SD-WAN設備。在解決網路層面的問題後,企業需於Cato的管理介面中配置節點路由規則,這個過程也可同時進行零信任存取的設計,而零信任需要具備識別存取者身分的機制。因此,統一身分認證平台,如Okta、Active Directory或Azure Active Directory(Entra ID)等,成為實現零信任的關鍵前提。
畢竟Cato本身並非身分認證平台,而是存取平台與存取安全策略的提供者,因此須能整合企業既有的身分認證機制。Cato透過標準的SAML(安全斷言標記式語言)與身分提供者(IdP)進行串接,實現身分整合與存取控制。在確認身分之後,Cato還能透過代理程式的部署,掌握裝置的安全狀態,幫助企業實現零信任的控管模式。
在代理程式的部署方面,Cato Client支援目前主流的作業系統,包括Windows、macOS、iOS、Android和Linux,藉此自動連接到Cato SASE Cloud平台。Cato建議在這些作業系統分別部署對應的代理程式,以確保終端裝置的安全性。身分認證通過之後,代理程式可以進一步檢測裝置的狀態,確保其符合企業的安全規範。
另一方面,無代理程式(Clientless)存取方式則允許使用者透過瀏覽器,以最佳化且安全的方式存取選定的應用程式。使用者只需透過瀏覽器登入網站,便可通過Cato的全球私有骨幹網路存取應用程式,並透過單一登入(SSO)進行身分驗證,隨即顯示已核准的應用程式。
單通道雲端引擎保障檢測運行效能
近兩年企業相當關注AI與機器學習應用,謝季樺指出,實際上在Cato SASE Cloud平台運行的大數據分析中,AI早已被用於強化資料處理能力,如防毒引擎、入侵指標比對等。這些分析結果會自動應用到企業的安全策略中,進一步提高防護的有效性。
Cato SASE Cloud運用的單通道雲端引擎(Single Pass Cloud Engine,SPACE)可說是獨特的機制之一。謝季樺進一步說明,SPACE能在單一解析引擎中完成所有安全規則的檢查與控制,避免了傳統上多個安全引擎之間的資料傳遞延遲,大幅提高了運作效率。在此架構下,所有安全檢查均在同一階段完成,無須經過多次的封包拆解與組合,使得Cato SASE Cloud解決方案,得以在效能與安全性方面展現優勢。