觀點

[專訪] 雙網隔離 從IT架構上根本解決資安問題

2017 / 07 / 17
編輯部
[專訪] 雙網隔離 從IT架構上根本解決資安問題
面對無所不在的網路威脅與愈來愈多的行動設備,資安人員要認清一個事實:你無法擋住所有的入侵攻擊。而當企業IT部門希望能引進自動化的IT管理產品減少資安威脅時,管理階層又認為無法為企業帶來收益而不願投資。

以勒索病毒為例,企業如果透過管理軟體進行更新,就能有效阻擋WannaCry的爆發。但台灣的企業主寧願IT人員熬夜加班重灌電腦,也不願購買IT管理平台,Citrix技術顧問張晉瑞點出其中關鍵在於「台灣員工薪資便宜」。購買管理軟體相同的花費,企業可以雇用2、3個大學畢業生,除了做電腦更新、重灌的工作外,還能做其他的庶務工作,結果就是企業IT管理自動化的導入困難。因此張晉瑞強調「要從資安面去著手」,讓管理階層明白這些花費能為企業解決資安問題,進一步減少因營運停頓造成的企業損失,才能說服企業主花錢投資。

以虛擬化技術做到實體隔離的效果
為了因應不斷更新的網路攻擊手法,國內有些政府機關或金融單位會採用實體隔離的方式,將對內與對外網路以實體線路區隔;即便內網遭到攻擊入侵,機敏資料也不會因連結外網而導致機敏資料外洩。但Citrix香港/台灣區技術經理楊耀輝指出,這種實體隔離的方式不只要準備2台PC,連線路、插座,甚至用電成本都會加倍。且除了增加設備支出外,佔用額外的辦公空間,也會對使用者造成不便。他更提醒,「如果還有其他需要隔離的區域,是否還得建置第3、第4套設備嗎?」

針對企業遭遇的資安問題,Citrix提出雙網隔離的解決方案,簡單的說,就是以虛擬化的技術做到實體隔離的效果。把PC當作終端設備,然後透過加密連線連接到NetScaler網路設備上,對使用者進行認證,並按使用者身份來決定可存取的應用服務。而在後端進行虛擬化的資料中心,企業可依使用需求,部署單一應用程式虛擬化的XenApp,將應用程式安裝在server上供多人使用。或是選擇XenDesktop,把整個桌面虛擬化,就像把Win7 / Win10這些個人用作業系統安裝在server上,讓使用者經過網路連接到資料中心的虛擬桌面後,就像在自己的電腦上工作,執行整個桌面的各項功能。

雙網隔離 資料不落地
以實際運作為例,使用者只需保留用來連接Intranet的PC即可,而原來連接Internet的PC則透過虛擬化來取代。當使用者要連到Internet時,則是利用資料中心的VM去連接外網,此時辦公室內的PC就像一台終端機,利用鍵盤、滑鼠進行操作,但實際上卻是在遠端資料中心執行,然後再將結果利用網路傳送畫面到使用者的螢幕上。

這樣作法的好處是使用者即使因為瀏覽網站,或執行惡意程式中毒,所影響的也只是資料中心的虛擬機器,不致擴及到存放重要資料的內部網路中。另外,因為虛擬機器都是集中在後台資料中心內,方便IT人員進行管理更新。楊耀輝以Citrix為例,像這次WannaCry在週六發動攻擊,IT人員只需利用週日在後台對所有VM統一集中更新,員工週一上班時完全不用擔心感染病毒。

當公司人員從外部連進內部時也是以加密連線,經由NetScaler進行身份認證後,連結到資料中心的虛擬桌面,執行使用者工作所需的各項應用程式。此時員工前端所使用的可以是任何裝置,像是NB、手機、平版,甚至是機場或其他公用的PC都無所謂。因為只是將操作的滑鼠、鍵盤訊號透過加密網路送到資料中心內的VM上,然後再將結果畫面傳回到外部員工的螢幕上,整個運算過都在資料中心內執行,不會有任何機密資料傳送到使用者遠端的裝置上,以「資料不落地」的方式確保資料不會外洩。 

兼具安全與管理彈性的效益
現在許多公司都會配發NB、平版,甚至是手機給員工,但常因對品牌型號,或使用者管理權限上有不同意見。虛擬化隔離後,企業可以直接用定額補助的方式,不用限制員工連線裝置為何,甚至是很舊的電腦也不會影響網路連線的效能。萬一員工行動裝置感染惡意程式,或是出差旅行在外使用公共電腦,也不必擔心企業內部資料外洩。即使是員工選用Apple的Mac筆電,透過虛擬化桌面的功能,也能迅速切換成Windows桌面的生產環境,彷彿置身辦公室內,不但從IT架構根本解決企業資安問題,更兼具彈性管理的效益。


 圖:透過虛擬化技術,達成企業內、外雙網隔離的安全網路架構