網路資安威脅
為何 63% 的企業都在捨棄 VPN 而改用零信任網路存取 (ZTNA)-安全的遠距工作與遠端存取 – SASE 系列(2)
SaaS 與雲端應用程式所導致的資料外洩,是今日企業一項日益升高的風險因子。看看 SASE 功能如何協助您防範資料外傳並降低整體受攻擊面的資安風險。
現代化企業需要現代化的網路防護與存取控管解決方案,以提供集中控管與全方位可視性,涵蓋混合環境與遠端環境。
在過去,企業通常會將網路連線全部匯集到資料中心,因為這是所有企業應用程式所在之處。但現在,您大部分的應用程式都在雲端,或是分散在好幾個雲端。所以,當企業採用的是混合雲或多重雲端環境時,針對傳統網路架構設計的 VPN 再也無法提供企業所要的防護。不僅如此,VPN 還會增加不必要的複雜性、衝擊效能、造成資源浪費,更何況還有昂貴的維護成本。
本文將繼續深入探討 SASE 議題,看看為何 63% 的企業都在捨棄 VPN 而改用零信任網路存取 (Zero Trust Network Access,簡稱 ZTNA) 來降低受攻擊面風險,而這也是整體零信任策略的一環。
何謂零信任網路存取 (ZTNA)?
ZTNA 是一種以使用者和應用程式為中心的技術,能確保個別應用程式與個別使用者之間的遠端存取安全,它以精細定義的存取控管政策為基礎,能同時涵蓋雲端與企業內環境。有了 ZTNA,經過授權的使用者就能獲得無縫接軌的安全連線,不必開放整個網路,也不需要將應用程式暴露在網際網路上,進而提升網路安全與使用者體驗。
ZTNA 與 SASE
SASE 架構是用來對資源進行存取管制,其涵蓋範圍包括:行動使用者、據點、雲端應用程式以及資料中心。而 SASE 當中的一項關鍵要素就是 ZTNA,它原本是用來保護企業所使用的部分網路連接點。但若應用在 SASE 架構當中,則可支援更豐富的資安服務,根據使用者所處的狀況 (地點、裝置安全狀態等等) 來決定該套用什麼資料移動控管政策。
SASE 架構
比方說,當現代化企業移轉至 SaaS 應用程式和雲端服務,企業需要管控其遠距上班人員的資料移動,這些人員會存取私有雲及公有雲上的應用程式。這就需要借助 ZTNA 和 SASE 功能來提供精細的控管政策,讓適當人員存取適當的資料。
ZTNA 對上 VPN
在一個純「企業內」環境,VPN 能完全發揮應有的作用,但隨著企業加速移轉至雲端,VPN 便開始顯得捉襟見肘。所以,一些新式技術紛紛出現,其中,ZTNA 在遠端存取方面被大多數人視為是 VPN 的進化版,原因有幾點:
縮小受攻擊面
VPN 讓網路能延伸到幅員廣大的各類據點,現在也延伸到安全性令人堪憂的家庭網路。這使得企業的受攻擊面因而擴大,讓安全與不安全的網路 (如家庭網路) 串連在一起。所以,當一名遠距上班人員一如往常地存取工作上的應用程式時,家庭網路上的其他使用者/裝置卻可能經由連上 VPN 的不安全電腦散播惡意程式。有鑑於 82% 的資料外洩都牽涉到「人」的因素,因此當有更多裝置和使用者可以存取整個企業網路時,資安風險也隨之增加。
另一方面,ZTNA 可精細控管什麼使用者可以存取什麼資源。它採取最低授權原則,只會建立「個別應用程式對個別使用者」的連線,讓受攻擊面限縮在更明確的範圍內。此外,有別於 VPN 讓使用者也可存取應用程式的後台,ZTNA 會持續檢驗使用者與裝置的可信任度,並且只允許存取應用程式提供的前端入口網頁。所以,即使某個使用者遭到駭客入侵,駭客也沒有足夠的存取權限來擴大其攻擊層面。
降低資安風險
VPN 屬於一次性認證,換句話說,使用者一旦獲得網路的存取權,就能長期 (甚至無限期) 連上網路,只要登入憑證還在有效期限內。理論上,只要有人偷了您的筆電,就能馬上進入您的企業網路。
ZTNA 除了在登入時進行認證之外,還會:
- 根據時間點來檢驗存取權限的有效性、檢查系統是否套用修補更新、應用程式是否連上網域等等。
- 透過多重認證 (MFA) 機制來認證使用者。
- 檢查使用者擁有哪些使用權,也會查看使用者的其他行為特徵,例如:使用者通常在哪些時段工作、工作的地點通常在哪裡等等。
在允許連線之後,ZTNA 還會持續評估各項風險:持續檢查使用者的身分、監控裝置是否符合資安政策等等。例如,如果某個帳號使用的某個裝置突然用 PowerShell 程式來傾印記憶體內容,那麼它的風險指數就會飆高,連線可能就會被切斷。類似的情況還有:如果因偵測到惡意程式而使得裝置的資安狀態發生改變,那麼存取也會被立即中止。
改善擴充性
VPN 會允許使用者存取所有資源,因此企業需要一定程度的頻寬才能維持工作流程的順暢。傳統的 VPN 技術會連接到一個企業內 VPN 防火牆或集中器 (concentrator),它們通常不具備擴充能力,也無法提供日益靈活的商業世界所需的使用者體驗。
反觀 ZTNA 只允許個別應用程式對個別使用者的連線,因此不需要像 VPN 那麼大的頻寬。而且它是專為能快速擴充、同時又維持高效可用性與持續供應能力而設計,既能滿足現代化資安解決方案的需求,又不影響使用者體驗。
評估 ZTNA 技術的祕訣
淘汰 VPN 並改用 ZTNA 看似困難,尤其光想到企業必須面對的應用程式、裝置和使用者數量就令人卻步。以下提供三個評估 ZTNA 技術的祕訣:
汰換 VPN 是一趟長途之旅
我們強烈反對砍掉重練的作法。您可以將遠端存取方案的汰換更新想像成一趟長途之旅,就像您將應用程式從企業內移轉至雲端一樣。一開始先從低風險的應用程式著手,看看有沒有問題,然後再量力而為慢慢擴大,直到完全淘汰 VPN 為止。
導入自動化
不論是任何規模的企業,由於 ZTNA 最終將納入所有的應用程式,因此手動設定絕對是一項浩大的工程。您可尋找一套能自動搜尋應用程式的 ZTNA 解決方案,它可藉由觀察網路流量來判斷應用程式的所在位置,以及應用程式的存取方式。此外,它還能讓棘手的 Shadow IT 現形,這是使用 VPN 無法做到的。
留意成本
最後,請小心一些可能失控的「隱藏」成本。許多 ZTNA 供應商都採用和 VPN 相同的定價方式,但這反而更糟。因為您不僅需要為每一位使用者付費,還要為每一個應用程式付費。而且,如果您是在雲端內使用,您還會被收取一筆移轉費用。您可尋找按用量計費的廠商,他們只會根據使用者身分來收費,不管使用者的連線裝置有多少。
使用 ZTNA 將 SOC 現代化
資安營運中心 (SOC) 現代化的其中一個環節就是要掌握整個 IT 基礎架構內部所發生的一切。由於 VPN 能讓使用者存取任何資源,因此您無法明確掌握高風險的使用者、裝置和應用程式行為,如此便缺乏可採取行動的有用資訊。
ZTNA 解決方案能提供更精細的資訊,因為這些資訊可直接對應到端點裝置及應用程式。而且 ZTNA 還會持續檢查所有流量,這樣就能協助資安營運團隊建立風險的基準線,從而降低非經授權存取的潛在危害。
下一步
提升資安的關鍵在於融合,雖然 ZTNA 可以獨立運作,但如果能套用到 SASE 架構,將發揮更大的效用。如果 ZTNA 能與安全網站閘道 (SWG) 以及雲端存取安全代理 (CASB) 整合,那就能為受攻擊面建立更精簡、更強大的防護。
如需有關 SASE 以及資安風險管理的更多資訊,請參閱以下文章: