隨著疫情迫使員工必須改成在家上班,多數的企業也開始採用 VPN 解決方案來保護連線至企業應用程式與資源的遠距使用者。
就在上班模式開始轉換的同時,企業的數位轉型計畫也紛紛將各種資源移轉到雲端,並導入 SaaS 應用程式來徹底消除必須管理基礎架構的麻煩。這些改變讓企業很快就發現 VPN 解決方案的效能、使用體驗、可用性及彈性越來越差,顯然它無法勝任這份工作。
所以,服務邊緣 (service edge) 開始受到大量關注,尤其是各種安全存取服務邊緣 (SASE) 技術,而其中的零信任網路存取 (ZTNA)、安全網站閘道 (SWG) 和雲端存取安全仲介 (CASB) 等三項技術可共同建構一套強大的解決方案,為這變遷中的世界帶來安全。
SASE 包含了兩大獨立的技術領域:網路 (SD-WAN、VPN) 與安全 (SWG、CASB、FWaaS、ZTNA),涵蓋底層網路基礎架構以及基礎架構之上的網路資安應用層。儘管這兩個領域都很重要,但他們通常分開處理,因為兩者的建置與成果基本上是互相獨立的。
原本一開始為了因應疫情而設的臨時解決方案,目前已成為長久之計。ESG 的 2021 年 SASE 趨勢報告指出,未來 62% 的受訪者將從遠端上班或採用混合上班。為了支撐這「新的常態」,絕大部分的企業都已擁抱雲端:98% 的受訪者表示他們正在使用公有雲服務。
現在,CISO 和資安領導人必須面臨一項挑戰,那就是在複雜、分散的網路環境下保護日益擴大的受攻擊面。使用者需要安全的連線好讓他們「隨時隨地」存取分散於各種公有與私有網路的關鍵應用程式,以滿足其業務上的需要。遠距工作者的這項擴充性需求,讓更多企業開始轉而採用 SASE 來保護這些幅員廣大分散的網際網路連線。
除此之外,根據 ESG 的報告,那些早期建置 SASE 的企業都表示自己獲得了巨大的成果,包括:
- 更快解決網路與資安問題
- 降低資安解決方案的成本
- 容易管理
- 網路與資安政策更為一致
- 更少發生資安事件
SASE 的核心要素
零信任網路存取 (Zero Trust Network Access,簡稱 ZTNA)
ZTNA 是 SASE 基礎架構的核心要素之一,遵守「絕不信任、持續驗證」或「假設已遭到入侵」的基本教義,因此所有的存取請求都必須經過認證及驗證,並持續監控使用者或裝置是否出現可疑行為。
基本上,ZTNA 閘道被認為是一種優於 VPN 的連線解決方案,提供更好的彈性、效能及精密的資安控管。事實上,ESG 報告指出有 62% 的受訪者表示他們「正在」或「打算」積極擴大 ZTNA 的使用範圍,並逐漸淘汰 VPN。
安全網站閘道 (Secure Web Gateway,簡稱 SWG)
企業經常面臨須在不衝擊裝置效能與使用者生產力的情況下攔截資安威脅的挑戰。SWG 解決方案的作法是防止無安全性的網際網路流量進入企業內部網路,結合精密的網址過濾、SSL/TLS 流量檢查以及其他威脅防禦。
SWG 通常獨立於其他資安產品之外運作,不過,若將這套解決方案整合至 SASE 架構下,將可支援自動化存取判斷、豐富的監測資料,以及報表可視性,同時還能提供簡單一致的政策控管。
雲端存取安全仲介 (Cloud Access Security Broker,簡稱 CASB)
儘管企業仰賴公有雲應用程式來執行日常營運作業已經成為常態,但資安的挑戰卻依然存在。其中最值得注意的問題是缺乏整體數位受攻擊面的可視性與控管,如此可能導致機敏資料經由營運關鍵 SaaS 應用程式外洩。CASB 解決方案能因應這些問題,擔任使用者和雲端之間的橋樑,自動監控與評估風險,並透過 API 來套用資安政策。
當 CASB 整合至 SASE 架構底下時,將提供比 SWG 的應用程式或流量攔截功能更精細的防護。CASB 可配合底層的 SWG 運作,判斷流量是否為高風險或惡意流量,偵測使用者與應用程式之間的流量,萬一出現潛在風險,還可透過 SWG 採取更深層的管控。
如何建置 SASE?
建置 SASE 架構的成功關鍵在於融合,儘管 ZTNA、SWG 與 CASB 解決方案能各自獨立運作,但若能將它們整合,就能提供更簡潔且更強大的數位受攻擊面防護。
SASE 的建置工作看似龐大,但CISO 可考慮從以下三個步驟著手:
- 制定一套 SASE 策略。技術的融合並非一切,ESG 發現,建置 SASE 的最大挑戰在於讓各個功能團隊都同意採用同一套策略與廠商。為了消除障礙,Gartner 建議成立一個聯合的網路與資安團隊來制定整體策略、導入時程以及 SMART 目標。
- 探索及評估基礎架構和技能上的落差。導入 SASE 不代表您必須全部砍掉重練,您可以藉由探索及評估您既有的網路基礎架構和資源來釐清哪些可以保留,以及需要何種新的邊緣解決方案。確認您的人員足以勝任 SASE 的建置與管理工作,不然也可考慮採用託管式服務來補強您內部人員的不足。
- 挑選適當的 SASE 廠商與解決方案。Gartner 表示,少了全方位的 SASE 產品與成熟的資安服務, SASE 建置將困難重重。CISO應尋找一家能了解自身期望資安多元化的合作夥伴,除了他們自家的資安產品要能內部整合之外,還要提供強大友善的第三方整合能力,以確保未來能擁有最完整的受攻擊面可視性。
本文節錄自趨勢科技部落格。