網路資安威脅
為何安全網站閘道 (SWG) 可有效保護雲端資源安全,並降低資安風險。 SASE 系列(3)
本文探討為何安全網站閘道 (SWG) 對於有效保護雲端資源安全並降低受攻擊面整體資安風險非常重要。
另請參閱本系列前 2 篇:
隨著遠距上班人口的增加及 SaaS 應用程式的迅速普及,企業的受攻擊面也因而擴大,同時也連帶衍生出資料保護與使用者體驗上的資安漏洞。企業變得很難在員工存取雲端應用程式或上網的時候確保員工免於資安威脅,尤其當員工離開了 VPN 連線、直接暴露於風險時。
企業經常同時採用多套單一面向的資安產品,這些產品不僅會增加資安營運的複雜度,而且不同產品之間也很容易形成防護死角。所以,企業需要一套整合、靈活的資安方法來因應業務需求的變化以及日益複雜的環境。簡單來說,傳統的資安方法再也不能有效率偵測及回應今日的威脅。
在過去,架設在使用者瀏覽器與企業實際網站之間的網站代理器 (proxy) 就足以讓企業保護其對外連線裝置免於大多數威脅。然而,隨著網際網路、SaaS 應用程式、遠距上班以及網路攻擊的爆炸性成長,企業需要一種更靈活的資安控管以免影響使用者體驗。所以,安全網站閘道 (Secure Web Gateway,簡稱 SWG) 便應運而生。
本文將持續深入探討 SASE 的議題,分析 SWG 對於有效保護雲端資源並降低企業受攻擊面整體資安風險有何重要。
何謂安全網站閘道 (Secure Web Gateway,SWG)?
SWG 是 SASE 架構的主要構成元素之一。根據 Gartner 的定義:「它是一套用來過濾使用者網站/網際網路流量中的不當軟體/惡意程式的解決方案,並可強制貫徹企業政策與法規要求。」
這套解決方案將所有的 SWG 防護功能整合起來,為受管理及未受管理的裝置提供一種端對端應用程式流量管理、資料安全分類,以及資料外洩防護。它可持續評估存取流程,透過使用者與裝置的認證及存取控管來降低網站/網際網路流量的相關風險。
這套解決方案可部署在企業內或雲端,通常包含幾項基本功能,例如:網址過濾、應用程式控管、資料外洩防護 (DLP)、防毒以及 HTTPS 流量檢查。
SWG 的效益包括:
- 偵測及回應威脅,包含加密流量的威脅。
- 了解使用者正在存取哪些應用程式。
- 切斷或封鎖有危險的流量,扮演管控點的角色。
- 禁用一些非必要或危險的網站/應用程式。
- 限定只有需要的使用者才能存取一些必要的網站應用程式。
- 強制貫徹企業上網政策
- 遵從法規要求。
- 隨時、隨地保護遠距上班人員。
SWG 與 SASE
傳統上,SWG 與其他資安解決方案是獨立運作的。SASE 結合了網路服務及資安服務,包括:零信任網路存取 (ZTNA)、SWG 以及雲端存取安全代理 (CASB),形成一套完整、全方位、從雲端供應的整合式防護。
這一切如何運作?首先,您必須了解您的使用者和環境,然後部署一些感測器,直接與常見的 SaaS 應用程式整合,例如:Microsoft Office、Google Workspace 以及各種身分管理服務 (Azure AD、Active Directory、Okta 等等),這樣就能掌握使用者和整體環境的狀況,例如使用者和應用程式的行為模式,進而知道企業正面臨哪些風險,該制定哪些控管政策。
然後,ZTNA 的流量會自動流向 SWG,接著由 CASB 功能負責控管 SaaS 應用程式的存取權限,以及使用者可存取哪些應用程式功能。例如,使用者也許可瀏覽 Twitter 來蒐集資料做研究,但不能在 Twitter 上貼文。此外,CASB 功能還能為企業提供雲端應用程式的完整狀況,以及這些應用程式可能帶來的風險。
在 SASE 架構底下,ZTNA 負責保護企業資源的存取,SWG 則負責攔截來自內送與外送網站流量以及來自非企業自家內容的威脅。這樣就能完整涵蓋使用者存取各種資源的方式,提供全面的防護與管控。
SWG 對上 防火牆
人們經常會問的一個問題是:SWG 跟防火牆所做的事似乎很像,那它們有何不同?
防火牆會檢查內送的資料封包,然後在網路層次與已知威脅的特徵 (封鎖清單) 做比對。雖然防火牆能為企業提供一些基本防護,但卻無法提供監控及通報危險使用者行為所需的可視性。
反觀 SWG 是在應用程式層次運作,可檢查流量、設定並貫徹使用者存取規則,還可根據企業政策來攔截或允許連線。這是透過攔截清單或允許清單來達成,這些清單會指定要攔截或允許的連線和關鍵字,或是應用程式內的某些功能。例如,若企業設定了網際網路上傳檔案的大小限制,就有助於防止駭客將大量資料外傳,因為這會超過日常營運所需資料量。這類限制可以針對整個系統或是針對個別使用者來設定。
新一代防火牆 (NGFW) 是現代版的防火牆,裡面包含了多種應用程式,如 DLP、IPS、VPN 連接器,以及 SWG。一些大型企業通常會自行打造 NGFW,一方面可降低成本,另一方面可透過分散廠商來避免單一故障點。
然而要讓 NGFW 同時運行這麼多應用程式,整體效能會是個問題,所以很重要的是要仔細研究這所有應用程式總共需要多大的吞吐量。
評估 SASE 技術的祕訣
為了發揮 SWG 解決方案與 SASE 架構的最大效益,以下是您在挑選現代化 SWG 廠商時的一些主要考量:
部署策略
有越來越多企業開始選擇雲端閘道而非實體的企業內硬體閘道。而且由於大多數企業都不只採用了一家雲端廠商,因此,確保 SWG 解決方案能有效支援混合雲和多重雲端環境非常重要,如此才能為您的資安架構提供一個穩固的基礎。
威脅情報
的強弱取決於威脅情報來源的品質。許多 NGFW 的 SWG 元件都仰賴公開來源列表,這些資訊不僅缺乏整理,而且通常不會隨時更新,因此容易產生誤判的情況。此外,移除和匯入新的公開來源列表對於已經負擔過重的 IT 團隊來說,也是一項耗時的工作。
請尋找一家擁有卓越全球威脅情報以及完整自動化流程來整理和更新 SWG 所需威脅資料的廠商。廠商的威脅情報蒐集來源越多,其資料的全球化與在地化程度就越高,如此就能提供更優異的防護,減少資安團隊必須處理誤判的情況。
同時,您也可以尋找一家本身就擁有全球化研究團隊負責整理和更新這些列表的廠商,以確保您獲得更符合當地情況的最新資訊 (而非過時又模稜兩可的資料),讓您即時偵測最新威脅。
效能、擴充性與可用性
雲端營運的效能取決於閘道的遠近,如果雲端廠商設置了大量的網路連接點 (Points of Presence,簡稱 POP) 來提供廣泛的可用性,那使用者將有更大機率位於雲端閘道附近,這樣連線速度就更快。此外,萬一網路的負載增加,其自動擴充能力也可確保效能不受影響。
平台式網路資安方法
最後一點,不論您是否打算分散資安廠商,請切勿建置一堆零零散散的單一面向產品。請尋找一套具備廣泛第三方整合能力的全方位網路資安平台來提供良好的可視性與通報能力以保護您的受攻擊面。此外,一套具備延伸式偵測及回應 (XDR) 功能的平台,可提供單一主控台來讓您掌握威脅資料、提高資安成效,並且降低資安管理的相關成本。
下一步
資安的關鍵在於融合,雖然 SWG 可以獨立運作,但如果能套用到 SASE 架構或作為 NGFW 的一環,將發揮更大的效用。將 SWG 與 ZTNA 及 CASB 整合,那就能為受攻擊面建立更精簡、更強大的防護。
如需有關 SASE 以及資安風險管理的更多資訊,請參閱以下文章: