以Security-First網路基礎架構打造製造業的安全基石

長期以來，製造業者依賴 VPN 等傳統安全措施來保護其企業網路。然而，隨著遠距工作和雲端應用的普及，以及製造現場包含各式新舊機具設備和作業平台，這些解決方案已無法滿足現代企業的需求。VPN 的安全性與效能限制逐漸浮現，加上網路威脅日益複雜，使得企業在分散式工作環境中順暢且安全地存取應用程式與資料的需求，面臨更大的挑戰。

根據《 2024 年 VPN 風險報告》，97% 的企業曾遭受VPN相關攻擊，81% 的使用者對VPN的使用體驗感到不滿，92% 的組織對VPN的安全風險感到憂心。曾被視為遠端存取標準的 VPN，如今卻成了企業資安防線的隱憂。

製造業資安挑戰：從傳統架構到雲端轉型

企業對現有資安措施的不滿來自多重因素。製造環境的設備種類繁多，而且設備必須隨時保持最新狀態，使得安全維護工作極具挑戰性。生產設備的特殊性也是一大難題。從運行舊版作業系統的機械控制器，到內部最新型的筆記型電腦，各類設備的安全更新與維護往往困難重重。

另一方面，製造業正加速採用雲端優先策略，將運算資源從邊緣端（生產現場）擴展至雲端。最常見的就是在雲端訓練機器學習模型，再部署至邊緣端使用。這種分散式的資料環境不僅使企業必須在多處建立防護機制，同時大幅擴大了駭客攻擊面，使製造業成為勒索軟體攻擊的首要目標。

面對日益嚴峻的網路威脅環境，企業需要認清應用程式、資料與員工已高度分散的事實。因此，企業和資安團隊應該採用現代化的安全策略，，納入零信任、安全服務邊緣(SSE, Security Service Edge)應用，才能做到全方位的防護。

零信任是現代化的資安策略之一，其強調全面的網路分段，包括微分段（microsegmentation）以及在動態分段和零信任安全架構中採用的身分識別存取控制。這些控制機制同時適用於資訊技術（IT）和營運技術（OT）環境，並採取零信任的立場，嚴格審查每個資產，而不像以往一樣，只仰賴多層防火牆等傳統的邊界防護。這種模式讓權限管理更有彈性，舉例來說，外部廠商可以遠端維修機器，相較於傳統 VPN 方式，不僅更有效率，也降低了潛在的安全風險。此外，透過細部、最小權限原則和角色型存取控制等機制，企業可有效防範惡意程式在內網或製程網路中橫向擴散。

另一個重要的資安策略是安全服務邊緣（SSE），是 Gartner 於 2019 年提出的概念，也是安全存取服務邊緣（Secure Access Service Edge, SASE）的一環。 SSE 將安全服務擴展至實際的需求端，包括員工、數據資料與應用程式所在位置，透過部署大量的存在節點（Points of Presence, PoPs）建構安全架構，提供安全網頁過濾、SaaS 與資料控管，以及風險導向的身份驗證等服務。這些安全功能在過往大多獨立運行於私有資料中心，且缺乏整合。

SSE 透過整合的雲端平台將這些服務現代化，從集中式架構轉變為全球化的分散式架構。透過 SSE，網路流量可經由全球網路傳輸，不僅提升資料傳輸效率與安全性，還結合零信任原則，確保員工與外部合作夥伴僅能存取必要的應用與資料，進一步強化整體資安防禦。Cybersecurity Insider《2024年安全服務邊緣（SSE）採用報告》指出， 57% 的企業計劃透過 SSE 平台實施 SASE 策略，69% 的企業則預計在 24 個月內導入 SSE。顯見 SSE 的發展態勢相當強勁，已成為現代企業保護混合工作環境的關鍵解決方案。

安全優先的網路架構：製造業創新與防護的新驅動力

無論是實現混合工作環境還是拓展新商業模式，網路在連線與安全方面扮演關鍵角色。透過「安全優先（Security-First）」的網路架構，採用結合 SSE 和零信任的統一 SASE 平台，將網路功能與安全功能整合到單一的雲端服務中，不僅簡化網路安全管理，也提升了使用者體驗。有助於提供製造業堅實的連線效能和網路安全策略基礎，確保營運效率和面對未來挑戰所需的韌性，進而協助組織推動創新成果、實現業務目標。

本文為投稿文章，不代表社方立場。原稿作者：HPE Aruba Networking 台灣區總經理 蔡政修。