有感於攻擊程式利用商用軟體漏洞執行滲透入侵,企業IT須頻繁地及時安裝修補更新,讓吃緊的人力更加重維運負擔,零壹科技自主研發推出AOD(Application On Demand)隨選雲,集中控管商用軟體與機敏資料,儲存空間預設為唯讀,用戶或勒索病毒無法執行變更,不僅降低資安風險,在新進員工配發的筆電或桌上型電腦作業系統環境中也無須預先安裝,可直接在AOD隨選雲介面上執行存取合法授權軟體,兼顧便利性。
零壹科技研發中心程式開發經理林冠儒說明,AOD隨選雲核心以ASP.NET開發,運行於Windows Server內建的IIS(Internet Information Services)網站服務,後端搭配SQL Server資料庫,初始安裝用戶端AOD隨選雲代理程式時可透過Active Directory統一派送MSI封裝檔案來執行。亦可整合於Azure PaaS平台環境,讓企業依據應用需求部署在地端或雲端。
「實際上,AOD隨選雲從開始著手研發至今已十年,過去主要偏重於協助學校單位減輕IT維運工作,針對企業最在意的運行效能、穩定性、安全性,經實際應用驗證已足夠成熟,才開始在2020年擴展到各產業。」林冠儒說。學校的電腦教室大多有安裝還原卡,不慎遭病毒入侵只要重新開機即可,問題是管理應用軟體則相當困擾,例如教學用軟體汰換或更新,必須協調挪動電腦教室空檔時間執行操作。針對此狀況,只要在AOD隨選雲的伺服器端設定,用戶端開機完成後即可取用最新版本的軟體。應用在企業辦公室環境,則是可省去IT人員得採購與部署商用軟體、安裝修補更新、依據工作流程調整設定參數等繁瑣的程序。
標準協定搭建端到端傳遞管道
回顧去年(2021)本土疫情變得嚴峻時期,企業大舉實施全體員工居家辦公,讓員工透過VPN連線回到內網執行工作,林冠儒觀察,實際運作後發現,許多員工電腦內的病毒也透過VPN連線傳輸感染公司內網,顯見企業並未備妥遠端工作的安全控管機制。
以軟體開發團隊為例,原本工作模式較為彈性,或許本就有制定遠端工作控管政策,但是其他內勤單位,例如會計、行政等部門,日常任務都得在辦公室桌上型電腦環境執行,疫情前未曾規畫在家工作的完備流程,更遑論在資料交換過程中建立安全控管措施。
企業IT得提供員工可彈性工作的方案,同時控管資安風險,AOD隨選雲正可提供協助解決企業IT控管難題,其運用WebSocket協定,讓用戶端與伺服器端完成交握(Handshaking)後進行雙向資料傳遞。林冠儒說明,員工透過VPN連線存取內部應用系統時,只須帳密驗證通過即可存取資料,應用系統無法得知前端操作者的意圖,但AOD隨選雲會依前端限制連線時採用的應用程式,例如員工存取ERP系統,後端資料庫必須得由ERP系統呼叫才允許建立連線,其他一律禁止,此為用於保護連線所設計的機制。
林冠儒進一步舉例,企業ERP系統產生報表的程式碼邏輯,主要是呼叫Word、Excel等Office方案提供的元件來彙整最終資料,執行緒是透過Windows作業系統負責啟動。透過AOD隨選雲操作介面,則無須改變既有應用程式運行模式,遠端工作者只要在公務配發或私人筆電環境安裝完成AOD隨選雲代理程式,作業系統會增添虛擬磁碟機,點選開啟AOD隨選雲便會列出擁有存取權限的應用系統,操作執行即可運行。
代為保留快取檔排除運行速度限制
AOD隨選雲的特性是,用戶端執行軟體時才會到伺服器取得並載入執行程式,可省去傳統漏洞修補、版本更新的本地端安裝問題,用戶亦可指定特定版本編號來開啟舊檔案,以解決新舊軟體版本的相容性問題。用戶端代理程式發起存取AOD隨選雲的請求時,可經由Proxy或直接連線到伺服器,抑或是搭配CDN(Content Delivery Network)服務,增進遠端工作存取效率。員工不論身在何處,取用內部檔案伺服器或資料庫系統存放的數據時,皆透過WebSocket伺服器扮演中介者進行溝通,以落實資安風險控管政策。
為了讓遠端工作者便利存取位於NAS的檔案,又不至於讓網路芳鄰暴露在網際網路,可藉由AOD隨選雲以標準協定介接企業內部的NAS儲存設備,遠端工作者既無須透過VPN連線,也不用掛載網路磁碟機,同樣可直接存取檔案。
「企業檔案伺服器常見由Samba軟體讓Linux與Windows作業系統之間,透過SMB/CIFS(Server Message Block/Common Internet File System)協定進行連結,第一人連線存取檔案會產生快取以提高處理速度,當第二人開啟相同檔案時,Windows則會把快取取消,所有指令都得回到伺服器運行,如此一來,檔案的操作行為就會變得非常慢。AOD隨選雲則可代為保留快取,輔助改善原生技術的限制。」林冠儒說。
軟體授權延伸擴展端點控管
至於AOD隨選雲部署方式,除了地端安裝的伺服器版本,亦可在Azure商城訂閱取用。林冠儒指出,對地端軟體部署模式接受度較高的可說是製造業,因工廠場域的網路環境往往設為獨立,以免遭遇資安風險。
在製造業領域,本土擁有自主開發能力的數位版權管理(DRM)廠商深耕許久,近幾年軟體業者獲得更多企業看重,除了技術已相當成熟,更重要的是許多製造業堅持機敏資料不得離開內網環境,在國際級商用軟體紛紛轉型改以雲端服務方式提供之際,台灣軟體廠商正可發揮。「AOD隨選雲特別設計的機制是讓前端程式碼部署可選用雲端平台,後端資料庫則維持部署在地端,讓高敏感度資料保留在內網,提升企業接受度。」林冠儒說。
AOD隨選雲扮演的角色類似於桌面虛擬化,差異在於桌面虛擬化技術是仰賴伺服器來提供執行程式所需的運算、儲存等實體資源,AOD隨選雲的架構則相反,程式碼執行環境耗用的實體資源位於用戶端,因此伺服器環境的實體規格需求無須過高。此外,AOD隨選雲兼具資料保護與DRM特性,藉由控管應用程式的使用權限,讓企業採購授權的總量可依據部門別配置,終端作業系統部署完成代理程式後,用戶點選開啟商業軟體的當下伺服器才即時派送執行程式,關閉後便釋出,避免搶先執行佔用授權不放的問題持續重演。