何謂安全存取服務邊緣 (SASE)?

安全存取服務邊緣(Secure Access Service Edge,簡稱 SASE) 是零信任架構的一環,用來保護傳統網路邊界內部及外部的網路元素。隨著企業邁向數位轉型、增加遠距上班比例,以及使用雲端服務來執行應用程式,資安也正移轉至雲端,而 SASE 的任務就是提供其所需要的防護。

改變網路拓樸

過去,電腦網路是由一個辦公室網路再加上一個企業專屬的資料中心所組成。員工一進辦公室就先登入電腦,然後存取在資料中心內執行的應用程式。所有的企業交易都發生在網路邊界的內部。

傳統的網路防護方法,是架設一道防火牆來將網路包在裡面。使用者一旦能夠進入防火牆內,其電腦就會獲得資安措施的信任,接下來,使用者在網路上的活動就不會再受到檢查。

然而數位轉型徹底改變了員工的工作方式,許多員工現在會在辦公室內或從遠端存取位於網際網路上的應用程式,不再受到企業資料中心的保護。例如,員工可能在廚房餐桌的筆電上存取 Salesforce 應用程式,而應用程式有可能位於網際網路上。或者,員工也有可能是從遠端存取位於企業資料中心內的應用程式。

在今日的工作環境當中,我們過去所保護的網路邊界已不存在,因為到處都能上網,而且網際網路是目前人們傳輸資訊的主要媒介。在這樣的環境下,企業主要的挑戰在於保護通往企業內部環境的閘道口,也就是所謂的「邊緣」。

為了要在這樣一個分散式環境當中改善邊界資安控管的不足,IT 團隊採用了各種資安產品、政策與管理主控台,試圖確保資料的安全,但成效卻不甚理想。SASE 是一種新的解決方案可降低網路資安的複雜性,同時改善分散式存取環境的資安成效。

SASE 模型

SASE 是一群技術的集合,結合了網路功能 (SD-WAN、VPN) 與資安功能 (SWG、CASB、FWaaS、ZTNA)。傳統上,這些技術都分散在各種單一面向解決方案當中。SASE (或稱為 Zero Trust Edge 零信任邊緣) 將這些技術集結成單一整合的雲端服務。

SASE 模型元素

  • 軟體定義廣域網路 (SD-WAN)
  • 虛擬私人網路 (VPN)
  • 安全網站閘道 (SWG)
  • 雲端存取安全代理 (CASB)
  • 防火牆服務 (FwaaS)
  • 零信任網路存取 (ZTNA)

SASE 模型讓企業能夠將其網路整合並強化分散式使用者與裝置的安全性。

SASE 對企業來說有多重好處:

  • 降低成本。
  • 減少複雜性。
  • 讓網路與資安政策能夠一致。
  • 減少資安事件。
  • 不論任何地方的使用者都能獲得一種無縫接軌的體驗。

新的資安架構

一些想要改善使用者導向網路以及網路管理資安措施的企業,都在導入 SASE 架構來提供零信任網路存取。零信任模型的基本原則就是:絕不信任、隨時檢驗,以及預先假設裝置已經遭到入侵,除非事後證明值得信任。在一切都靠網際網路來連結的情況下,沒有一個裝置是天生值得信任,因為這是一個開放的資訊平台。

SASE 是零信任架構的一個基本要素。SASE 整體來說並非一項全新的技術而是新、舊技術的結合。SASE 為使用者、裝置或邊緣運算地點提供了資安控管。以前的網路資安作法是為資料中心架設一道防火牆來加以保護,但 SASE 架構是依據數位身分、當下情境以及企業政策作為其認證的基礎。

SASE 有三項關鍵元素:

  1. 安全網站閘道
  2. 雲端存取安全代理
  3. 零信任網路存取

安全網站閘道

安全網站閘道 (SWG) 負責掌控網際網路存取,管理使用者可以存取什麼、不能存取什麼。如果使用者試圖瀏覽某個可疑網站或從該網站下載某些東西,或者試圖瀏覽被禁止的網站 (例如賭博網站),那就會被閘道攔截。

今日的網路攻擊已變得非常精密,正當我們開始學會透過一些錯字與彆扭的句子來分辨傳統的網路釣魚郵件時,駭客早已進化。現在,我們幾乎不太能夠分辨哪些是正常的電子郵件、哪些是駭客所寫的,甚至就連經驗豐富的使用者也很難辦到。

網路資安內部教育訓練絕對是提升資安不可或缺的一環,但即使接受了訓練,使用者還是可能看走眼。SWG 是另一個可讓您資安團隊用來檢視網路進出流量的工具。而且一旦出現任何威脅,資安團隊還可利用 SWG 來加以防範。

SWG 提供了多種功能:

  • 網址過濾
  • 進階威脅防禦
  • 傳統惡意程式防護
  • 強制貫徹網際網路政策

不論環境大小都可能對網站瀏覽做出一些管制:

  • 政府可能會控制人民可看到的內容。
  • 網際網路服務供應商可能封鎖掉某些內容。
  • 企業可能管制員工可存取的內容。
  • 學校可能過濾學生可看到的網站。
  • 圖書館可能會篩選要讓讀者看到的內容。

雲端存取安全代理

雲端存取安全代理 (CASB) 讓您重新掌握 SaaS 應用程式的可視性。當使用者連上 Salesforce、Office 365 或其他應用程式時,您的資安團隊將可看到您的使用者正在傳輸什麼資料、上傳了哪些檔案到 OneDrive 或 SharePoint,或者下載了哪些檔案,還有誰做了這些動作、在什麼時間點等等。

CASB 是一個本地端或雲端內的軟體。它是使用者與雲端服務之間的斡旋者,負責貫徹雲端存取資安政策,並且追蹤網路上的行動。

CASB 由幾項資安元素所構成:

  • 警示
  • 記錄與認證
  • 單一簽入
  • 授權
  • 登入憑證對應
  • 裝置分析
  • 加密
  • 記號化 (Tokenization)
  • 惡意程式偵測及防範

設定 CASB 通報的第一個步驟就是為企業內的每一個使用者群組設定組態選項。某個群組或許有權限可以上傳,但不能下載。另一個群組或許可以編輯文件,但別的群組卻只能檢視文件。企業要制定這些政策。

此外,企業還要設定萬一出現禁止的動作時該採取什麼行動。您的資安團隊可以設定一套程序來自動攔截違規的活動,或者讓它發生再將事件通報到事件檢視器。

零信任網路存取

零信任網路存取 (ZTNA) 閘道是 SASE 的最新元素。ZTNA 是一套資安架構,在這架構之下,唯有經過認證的使用者、裝置和應用程式之間的流量可以獲得存取權限。它不信任任何流量,所有終端裝置在被證明可信任之前,都被懷疑可能含有惡意內容。ZTNA 正取代 VPN 用來認證來自遠端的使用者。

VPN 是企業傳統用來允許遠端使用者連上企業網路的技術。但 VPN 有幾個問題:它的成本很高,而且連線也經常不穩定。此外,遠端使用者經常因為連線不順暢而很難順利完成自己的工作,對企業帶來生產力損失與成本。

然而 VPN 最大的問題在於,它只透過少許的資安控管就賦予遠端存取權限。從家庭網路經由 VPN 存取企業網路的使用者只需通過認證,就能擁有整個網路 (包括前端與後端) 的存取權限。使用者就像平常一樣透過前端應用程式來工作,但萬一有某個惡意程式從網際網路駭入了使用者電腦,它就能進入到應用程式的後端偷走所有資料,進而導致資料外洩。

ZTNA 可消除惡意程式在網路內部遊走的能力,因為 ZTNA 會個別單獨認證每一個網路上的使用者、裝置和應用程式。

VPN 的弱點:

  • 廣大的攻擊面。
  • 駭客一旦進入網路,就能橫向移動,四處攻擊漏洞。
  • VPN 直接暴露在網際網路上,服務容易受到干擾。
  • 駭客會找到任何暴露在外的攻擊面,發掘其漏洞,然後發動攻擊。

採用零信任方法

企業邁向零信任的第一步就是要採用零信任架構,接著,IT 和資安團隊再慢慢建置不同的產品族群來讓它逐漸成熟。

一個不錯的著手點就是:了解您環境中有哪些可能影響企業日常營運的問題。例如,如果網際網路存取缺乏控管,人人都能隨便上網,使用者經常不小心下載到惡意程式,那麼安全網站閘道 (SWG) 就可以是您採用零信任技術的第一步。

接下來,您可以看看員工正在使用哪些 SaaS 應用程式,以及這些員工可以存取些什麼。對資安團隊來說,提升可視性絕對有所幫助,因為這樣他們才能提供充分的存取權限給一些經過授權的活動,並確保使用者隨時都處在政策所設定的框架當中。

零信任的基本目標就是保護您的資料

即使有了一些 SASE 資安元素,您的網路還不算是徹底的零信任,您只是正在朝著這個目標邁進。零信任是一趟提升網路資安的長途之旅,只要您持之以恆,資安肯定會逐漸變好。

保護實體資產 (如筆記型電腦或伺服器) 或數位資產 (如使用者帳號或應用程式) 並非網路資安的主要目標,網路資安的主要目標是保護企業營運所用到的資料,包括:使用者名稱、密碼、企業專屬資料、機密內容,以及支付資訊等等。

相關研究

相關文章