安全存取服務邊緣(SASE)是零信任架構的一個組成部份,在傳統網絡範圍的內部及外部保護網絡部件。隨著業務數碼轉型、遙距工作增加及使用雲服務運行應用程式,保安亦已轉移至雲端,而安全存取服務邊緣就提供了這個保安。
以前的電腦網絡都包含一個辦公室網絡及企業專用的數據中心,而員工會進入辦公室、登入電腦並存取在數據中心運作的應用程式。所以公司交易都在網絡的周邊內進行。
而傳統的網絡保安會在網絡四周設立防火牆。當用戶進入防火牆內,保安協約會信任這部電腦,且不會檢查此用戶在網絡上的其他活動。
數碼轉型已戲劇性地改變員工的工作方式。很多員工都會在辦公室或遙距存取在網上的應用程式,例如員工可在家中利用手提電腦登入 Salesforce。應用程式可以是常駐於網上,或是員工遙距存取安裝在公司數據中心內的應用程式。
在今天,我們以往需要保護的網絡周邊已不再存在,因為在不同地方都有登入點,而互聯網更已成為傳送資訊的工具。在這情況下的挑戰就是要保護進入企業環境的閘道,亦即是「邊緣」。
要在這個分散的環境提昇周邊的防護,資訊科技團隊最終會用到很多廠商、政策及控制台,但仍未能完全成功保護資料。SASE 是一個新的方案,可減低網絡保安的複雜性及改善存取分散環境的效率。
SASE 模式
SASE 是一組結合網絡(SD-WAN、VPN)及保安(SWG、CASB、FWaaS、ZTNA)功能的科技,而傳統上這些科技都由分隔的單點方案提供。SASE — 或零信任邊緣 — 將它們結合為一個單一而整合的雲服務。
SASE 模式讓機構可以統一網絡,並強化分散用戶及裝置的保安。
希望完善其以用戶為中心的網絡及網絡管理保安協約的機構,都在採用 SASE 架構來啟動零信任網絡存取。零信任模式即是在一部機器被確認可信之前都永不被信任、經常要再驗證及假定已遭入侵。互聯網連繫了一切,而由於其開放的資訊平台,沒有一個裝置是天生可信賴的。
SASE 是零信任架構的重要元素,它並不是一個新科技,而是結合了很多新及現有的科技。SASE 為用戶、裝置及邊緣運算地點提供保安管控。以前的網絡保安程序都會為數據中心設立防火牆保護,但 SASE 則是基於數碼身份、實時背景及機構政策來進行認證。
SASE 有三個關鍵成份:
安全網站閘道管控互聯網登入及管理用戶能否存取某些資源。假如用戶嘗試從一個可疑網站下載東西或登入被禁制的地點如賭博網站,閘道會將之阻截。
網絡攻擊已變得十分精密,當我們開始意識到舊式釣魚電郵內的錯字及不當語言,歹徒亦更進一步變得更老練。現時,即使是知識廣博的用戶也幾乎沒可能分辨那些電郵是真實的,而那些是來自黑客的。
內部網絡保安培訓是建立強大防護的重要一環,但用戶即時在接受培訓以後仍然會犯錯。安全網站閘道是另一個保安團隊可以使用來視察網絡出入流量的工具,假如出現威脅,保安團隊可利用它來進行緩解。
雲端存取資訊保安代理將可視性轉交予 SaaS 應用程式。作為使用 Salesforce、Office 365 或其他應用程式的機構,您的保安團隊可以看到用戶傳輸的資料、從 OneDrive 或 SharePoint 上載及下載了甚麼檔案、誰進行了這些活動及在何時進行。
雲端存取資訊保安代理是一個可以駐場或放在雲端的軟件,它以雲端存取的保安政策來調解用戶與雲服務商之間的問題,並追蹤在網絡上的活動。
雲端存取資訊保安代理始於為機構內不同用戶群組配置不同選項。一個群組可以獲授權上載,但卻不能下載;而一個群組可能可以編輯文件,但另一群組可能只可以檢視文件。所有政策都由企業決定。
企業亦可決定在出現違禁事件時的處理行動。而保安團隊亦要設定規約來自動決定是否阻截或容許某些行為,並向有關人員報告事件。
零信任網絡存取閘道是 SASE 的最新成份,這個保安架構只會容許經過認證的用戶、裝置及應用程式的流量存取。因為所有流量都不會被信任,而所有端點裝置都被懷疑包含惡意,直至它們被驗證為止。它亦取代了 VPN 遙距認證用戶的地位。
傳統上,企業都會使用 VPN 來連接遙距用戶至機構網絡,但它有不少問題,例如比較昂貴及連接不穩定等。此外,效率欠佳的遙距連接令員工難以執行任務,令機構損失生產力及金錢。
VPN 的最大問題就是它的遙距存取只有很少的保安管控,用戶從獲認證的家居網絡以 VPN 登入機構網絡後,就可以取得網絡前端及後端的全面存取權。當用戶在應用程式的前端工作時,假如有一個惡意程式從網上進入了電腦,它就可以進入同一應用程式的後端盜取資料,造成數據洩漏。
零信任網絡存取移除了惡意程式在網絡內移動的能力,因為它會逐一認證及信任每一個用戶、裝置及應用程式。
VPN 漏洞:
採用零信任
邁向零信任的第一步就是機構需要堅定決心使用此架構。隨著時間推移,資訊科技及保安團隊都會逐漸應用不同產品及科技來完善架構。
了解日常影響機構環境的問題是一個很好的起點,例如,假如上網行為已經失控,每位員工都可以登入任何網站及不知情地下載惡意程式,安全網站閘道會是您即時需要的零信任技術。
下一步就要決定員工使用那一個 SaaS 應用程式及誰能存取。同時,亦應增加保安團隊的可視性,讓他們可以適當地授權活動及確保用戶維持在政策框架之內。
零信任的底線就是要保護資料。
即使已實施 SASE 安全參數,您的網絡仍不是完全零信任的,您仍要向這方向發展。零信任是一個隨著時間推移的旅程,目標為強化網絡保安。假如機構堅持邁進,保安亦會變得更好。
保護手提電腦或伺服器等實體資產及用戶帳號或應用程式等數碼資產,並非網絡保安的主要目標。它是關於保護業務運作使用的資料,包括用戶名稱、密碼、企業數據、機密資料及付款資料等。