疫情開啟全遠距時代,如今全新混合工作模式更可能取代居家上班成為辦公新常態。隨著工作模式的轉變、應用程式持續上雲,現今使用者可從任何地方、使用任何裝置進入雲端工作環境,卻也大大增加了攻擊發生的可能。與此同時,傳統的單點產品與解決方案卻不再有效,如何確保新模式下的連線穩定、應用順暢與資料安全?成為企業資訊長、資安長及 IT 網路人員最大挑戰。
「網路安全的未來就在雲端。」市調機構 Gartner 指出。由於遠端或混合工作使用者的增加,帶動了應用程式的持續上雲,進而改變網路與安全服務的交付方式。
雲端驅動的環境下,傳統單點產品不再有效,安全政策與工具需要整合一致並從其所應保護的雲端中交付,最終「安全存取服務邊緣」(Security Access Service Edge,SASE)解決方案便在當前最新時空背景及需求下應運而生。據 Gartner 推估,到 2025 年,80% 的企業將採用 SASE/SSE 架構的新策略來整合 Web、雲端服務及私有應用程式存取,遠高於 2021 年的 20%。
撇開單點產品部署思維,建置 SASE 全面擁抱混合工作
實際走入場域就能發現,居家遠距或混合辦公雖可以發揮隨時隨地透過不同裝置彈性辦公的效益,但企業要如何讓分散各地並身處企業防火牆保護傘之外的使用者邊緣裝置,在存取不受企業既有傳統安全機制控管的雲端 App 時,也能落實和企業內網一致的安全政策與防護等級?卻是眼下的一大考驗。
尤其許多企業員工在家已開始建置智慧家庭連網,家中另有不同成員的端點裝置,甚至充斥許多毫無安全保護措施的 IoT 裝置,這些都讓智慧家庭網路的安全曝險係數大增,於是乎網路釣魚、勒索軟體會成為疫情期間最泛濫的惡意攻擊也就毫不意外了。
而混合式辦公因身處不同地點及網路環境,相較單純的企業內網環境更加複雜多變,再加上雲端 App 的普及,雲端系統組態設定錯誤的問題也開始浮上檯面,進而導致員工邊緣裝置出現更多防護上的可能弱點。
再就網路效能與擴充性而言,企業要如何讓居家/混合辦公的所有員工也能享受一致的連網品質、更佳的應用服務效能,以及不中斷的存取權限,進而確保遠端同仁的工作效率不受影響。如為求安全,讓遠端邊緣流量回傳至企業資料中心進行安全掃描或執行安全政策,勢必讓使用者體驗與工作效率因網路延遲而大打折扣。更值得一提的是,針對混合工作與雲端,當前傳統軸輻式(Hub-and-Spoke)網路架構與安全堆疊並無法滿足彈性擴充的需求。
面對居家/混合辦公所引發的新興網路效能與安全問題,企業已不可能再以過去單點產品的部署模式來解決,因為這不僅只會徒增複雜性、管理負荷與成本,也難以保障完整的保護。眼下最可能的做法,是將軟體定義廣域網路(SD-WAN)及安全服務邊緣(Security Service Edge,SSE)等各種網路安全服務整合至單一雲端交付服務模型中的 SASE,才是在保障安全性、擴充性、可用性下,兼具生產力與最佳體驗的解決方案。
然而,這也是另一個讓企業資訊長、資安長或 IT 網路人員頭痛的地方,因為 SASE 解決方案涉及的範圍相當廣泛,難以單靠 in house 的人力及資源來落實,勢必得仰賴外部資安廠商。
全面整合 SD-WAN 與 SSE,擬定短長期策略性 SASE 移轉計畫
SASE 一詞最早由 Gartner 在 2019 年發表的《網路安全的未來就在雲端》報告中提出,「SASE 是一種新興服務,結合了全方位的 WAN 功能,以及像是安全網路閘道(SWG)、雲端存取安全性代理程式(CASB)、防火牆即服務(FWaaS)與零信任網路存取(ZTNA)等完備的網路安全功能,以支援數位企業對於動態安全存取的需求,」Gartner 進一步定義指出。「SASE 功能是根據實體的身分、即時脈絡、企業安全性/合規性政策以及在整個工作階段中對風險/信任進行的持續評估而提供的服務。」
從前述論文標題可以看出,Gartner 特別強調雲端式網路安全的重要,因為唯有透過雲端來提供網路安全,才能有效確保任何位置使用者、應用程式與資料的安全。再者,從 Gartner 的定義中可以簡單歸納出「SASE = SD-WAN + SSE」。目前市面上各家 SASE 解決方案中所整合的 SSE 功能,多半皆囊括 Gartner 所建議的 SWG、CASB、FWaaS 及 ZTNA 等功能。
目前不乏一些廠商如 Amazon AWS、Microsoft 等另將資料外洩防護(DLP)功能納入,至於像資安廠商 Palo Alto 不但率先支援 ZTNA 2.0,更整合了自主數位體驗管理(Autonomous Digital Experience Managemen,ADEM)、人工智慧營運(AIOps)及 SaaS 安全狀況管理(SaaS Security Posture Management,SSPM)等進階功能,進而打造適用所有使用者、所有應用程式及所有資料的多元整合安全產品。
為了成功部署 SASE 解決方案,Gartner 在《2022 年 SASE 融合發展策略路線圖》報告中建議,企業應儘快擬定「從舊型周邊以及以硬體為中心的產品到 SASE 架構」的短、長期策略性移轉計畫,因為這是成功部署 SASE 解決方案的第一步。
全功能整合單一平台,Prisma SD-WAN 與 Prisma Acces雙重出擊!
看好混合工作環境安全與雲端式網路安全市場前景,當前有許多廠商紛紛推出自家的 SASE 產品,其中,以獨家 App-ID 識別技術受到企業青睞的 Palo Alto Networks,推出號稱業界最完整的 SASE 解決方案 Prisma SASE,目前已獲得超過 2,500 家企業的採用。該方案包括兩大產品:一為由機器學習和自動化支援的新世代 Prisma SD-WAN,另一個是將原生 SSE 平台統合在單一平台上的 Prisma Access。
首先,採用 AIOps 和機器學習方法的 Prisma SD-WAN,能自主簡化網路營運作業並減少 99% 的網路問題。該產品並能將機器學習威脅防禦及雲端交付安全服務的安全性原生套用至分公司,進而阻擋 95% 的內嵌網路威脅,大幅降低資料外洩風險。透過 CloudBlades API 平台的加持,能將全面性的 SSE 平台安全性與 SD-WAN 完美地原生整合,並可在零服務中斷的情況下為分公司新增額外服務。此外,該產品提供企業可依本身使用頻寬量購買 SD-WAN 的隨需頻寬授權機制(最低單位 Mbps),有助企業優化成本與頻寬管理。
Prisma SD-WAN 推出至今頗受業界青睞與肯定,也讓 Palo Alto Networks 因此從 2020 年起連續三年獲選為 Gartner SD-WAN 魔力象限領導者。此外,該公司並獲頒 Frost & Sullivan 全球安全 SD-WAN 產業領域之 2022 年度最佳實務公司獎項。整體而言,Prisma SD-WAN 能為從傳統 MPLS 路由方式移轉到 SD-WAN 的客戶增加 10 倍頻寬,在市調機構 Forrester Research 所發表的《Total Economic Impact Spotlight》研究報告中,統計 Prisma SD-WAN 客戶的平均投資報酬率達到可觀的 243%。
再就 Prisma Access 而言,其為雲端原生的整合式 SSE 平台,支援舉凡 ZTNA 2.0、SWG、新世代 CASB(NG-CASB)、FWaaS、DLP 及 ADEM 等 SSE 功能。在業界 SASE 方案還停留在 ZTNA 1.0 階段之際,Prisma Access 成為當前唯一提供 ZTNA 2.0 服務的解決方案,透過最低權限存取進而確保所有居家/行動/企業辦公室工作者之各種應用程式流量、邊緣裝置、網路存取與資料的持續安全,有效阻止零時差威脅。
Prisma Access 並支援具備主動可視性與即時數據保護機制的新世代 CASB,企業可以安全無虞地使用數以千計的 SaaS 應用程式。2021 年,Prisma Access 開始支援業界唯一的 SASE 原生 ADEM 功能,透過單一管理主控台提供對端點、WAN 連結、雲端資源、應用程式及流量級別的端到端可視性,進而為不同地點使用者解決效能問題、提升最佳使用體驗。至於 SWG 功能,讓企業能透過靜態分析與機器學習來防禦各種網路威脅。除此之外,針對 SaaS 應用程式錯誤配置的常見問題,Prisma SASE 並提供 SSPM 功能來協助客戶快速識別與修正這個讓企業困擾已久的問題。
據官方資料顯示,Prisma Access 能提供 99.999% 正常運行時間、小於 10ms 安全處理延遲及 SaaS 效能。與其他 SSE 競爭對相比,Prisma Access 協助企業減少資料外洩風險達 45%、提供更高 10 倍效能之 SLA 保證、支援更快的遠距連結和每天 430 萬次資安更新,提供比競爭對手高出 25 倍的資安更新速度。(詳見 Palo Alto Networks 白皮書報告)
Gartner 早先預計,比起 2018 年底不到 1% 的採用率,2024 年至少有 40% 的企業會明確導入 SASE 策略。該市調機構隨後更新指出,相較 2021 年的 20%,2025 年將有高達 8 成的企業會透過採用 SASE/SSE 架構的新策略來整合 Web、雲端服務及私有應用程式存取。現在正是企業擬訂 SASE 移轉計畫的時候。
無論如何,隨著新模式轉變而來的新型態資安戰,比起過往思考如何內部建置,現今的資安人員需要更多轉向向外的資源部署,新的資安建構與合作模式也勢必成為一大挑戰。
(圖片來源:Palo Alto)
科技新報粉絲團
加入好友
訂閱免費電子報
