[專訪] 雙網隔離從IT架構上根本解決資安問題

2017 / 07 / 17

編輯部

面對無所不在的網路威脅與愈來愈多的行動設備，資安人員要認清一個事實：你無法擋住所有的入侵攻擊。而當企業IT部門希望能引進自動化的IT管理產品減少資安威脅時，管理階層又認為無法為企業帶來收益而不願投資。

以勒索病毒為例，企業如果透過管理軟體進行更新，就能有效阻擋WannaCry的爆發。但台灣的企業主寧願IT人員熬夜加班重灌電腦，也不願購買IT管理平台，Citrix技術顧問張晉瑞點出其中關鍵在於「台灣員工薪資便宜」。購買管理軟體相同的花費，企業可以雇用2、3個大學畢業生，除了做電腦更新、重灌的工作外，還能做其他的庶務工作，結果就是企業IT管理自動化的導入困難。因此張晉瑞強調「要從資安面去著手」，讓管理階層明白這些花費能為企業解決資安問題，進一步減少因營運停頓造成的企業損失，才能說服企業主花錢投資。

以虛擬化技術做到實體隔離的效果
為了因應不斷更新的網路攻擊手法，國內有些政府機關或金融單位會採用實體隔離的方式，將對內與對外網路以實體線路區隔；即便內網遭到攻擊入侵，機敏資料也不會因連結外網而導致機敏資料外洩。但Citrix香港/台灣區技術經理楊耀輝指出，這種實體隔離的方式不只要準備2台PC，連線路、插座，甚至用電成本都會加倍。且除了增加設備支出外，佔用額外的辦公空間，也會對使用者造成不便。他更提醒，「如果還有其他需要隔離的區域，是否還得建置第3、第4套設備嗎？」

針對企業遭遇的資安問題，Citrix提出雙網隔離的解決方案，簡單的說，就是以虛擬化的技術做到實體隔離的效果。把PC當作終端設備，然後透過加密連線連接到NetScaler網路設備上，對使用者進行認證，並按使用者身份來決定可存取的應用服務。而在後端進行虛擬化的資料中心，企業可依使用需求，部署單一應用程式虛擬化的XenApp，將應用程式安裝在server上供多人使用。或是選擇XenDesktop，把整個桌面虛擬化，就像把Win7 / Win10這些個人用作業系統安裝在server上，讓使用者經過網路連接到資料中心的虛擬桌面後，就像在自己的電腦上工作，執行整個桌面的各項功能。

雙網隔離資料不落地
以實際運作為例，使用者只需保留用來連接Intranet的PC即可，而原來連接Internet的PC則透過虛擬化來取代。當使用者要連到Internet時，則是利用資料中心的VM去連接外網，此時辦公室內的PC就像一台終端機，利用鍵盤、滑鼠進行操作，但實際上卻是在遠端資料中心執行，然後再將結果利用網路傳送畫面到使用者的螢幕上。

這樣作法的好處是使用者即使因為瀏覽網站，或執行惡意程式中毒，所影響的也只是資料中心的虛擬機器，不致擴及到存放重要資料的內部網路中。另外，因為虛擬機器都是集中在後台資料中心內，方便IT人員進行管理更新。楊耀輝以Citrix為例，像這次WannaCry在週六發動攻擊，IT人員只需利用週日在後台對所有VM統一集中更新，員工週一上班時完全不用擔心感染病毒。

當公司人員從外部連進內部時也是以加密連線，經由NetScaler進行身份認證後，連結到資料中心的虛擬桌面，執行使用者工作所需的各項應用程式。此時員工前端所使用的可以是任何裝置，像是NB、手機、平版，甚至是機場或其他公用的PC都無所謂。因為只是將操作的滑鼠、鍵盤訊號透過加密網路送到資料中心內的VM上，然後再將結果畫面傳回到外部員工的螢幕上，整個運算過都在資料中心內執行，不會有任何機密資料傳送到使用者遠端的裝置上，以「資料不落地」的方式確保資料不會外洩。

兼具安全與管理彈性的效益
現在許多公司都會配發NB、平版，甚至是手機給員工，但常因對品牌型號，或使用者管理權限上有不同意見。虛擬化隔離後，企業可以直接用定額補助的方式，不用限制員工連線裝置為何，甚至是很舊的電腦也不會影響網路連線的效能。萬一員工行動裝置感染惡意程式，或是出差旅行在外使用公共電腦，也不必擔心企業內部資料外洩。即使是員工選用Apple的Mac筆電，透過虛擬化桌面的功能，也能迅速切換成Windows桌面的生產環境，彷彿置身辦公室內，不但從IT架構根本解決企業資安問題，更兼具彈性管理的效益。