中世紀的城市被城牆保護著,陌生人經過檢查後看門人才會讓他們進去。如今的現代大都市地區,不可能以這種方式加以保護。同樣,企業內網過去被視為堡壘,由防火牆提供保護,而VPN則作為看門人。在當今的分散式的工作及混合雲世界中,這種方法也有不足之處。相反,企業需要的是混合多雲世界的安全架構。
數位經濟蓬勃發展,數位化已經滲透到我們的工作環境。越來越依賴智慧設備、隨時連線的網路和雲服務——無論是在工作中還是在我們的日常生活中。疫情和由此引發的隔離進一步加速了這一演變,社群/通訊軟體讓人們適應了社交距離,而數位工作空間、線上協作和視訊會議則讓學校課程得以繼續,企業得以運轉。
一起協助Citrix完成調查就能夠獲得好禮
對於員工來說,此次疫情就像一個名副其實的渦輪增壓器:人們過去習慣於在辦公室工作,偶爾也在家辦公,但疫情已經讓行動、分散式工作成為很多企業的新常態。
從技術來看,這意味著將產生新的企業網路: 本地端的應用程式、Web應用程式與雲服務。端點的數量也有相當大的增長,大量私人擁有的筆電和行動設備被用於居家辦公。
工作環境已經變得更加現代化:從傳統轉變為無關地點的數位工作空間,工作變成是可以在任何地方從事的活動。
在疫情之前,專家們就認為,躲在數位城堡裡覺得自己很安全的做法早就行不通了。這場危機讓人們更加關注與數位轉型的風險。企業最關注的是資訊安全,想知道怎樣在分散式環境中保護內部企業資料(開發設計、產品設計藍圖、客戶與員工的資料),使其免受勒索軟體以及商業間諜或者其他濫用行為的侵害。
更糟糕的是,管理個人可識別資訊(PII)的法規越來越嚴格,迫使企業為保護資料設定更高的合規與主權標準,這些安全措施會帶來障礙,進而影響到員工工作效率與使用體驗,如今,企業的目的不只是資料安全或使用者體驗選其一,而是要同時兼顧。
企業決策者已經意識到,安全必須是數位策略的關鍵。根據端點安全專家卡巴斯基的一項調查,未來三分之一的IT預算將用於資安領域。
如此背景下,一種觀點逐漸顯現出來——如果越來越多的使用者和應用程式使用網路,而部分終端設備不再受內部IT的控制,那麼必須徹底改變安全概念,這就是為什麼零信任機制正在取代過時的城堡思維。
“零信任”是指IT安全系統將所有設備視為未知設備,並根據“最少特權”原則對待所有使用者,使用者只能存取那些在特定條件下獲得授權的資源。這意味著安全軟體檢查使用者是否有權進行每一次網路存取和應用程式請求。這與傳統的VPN形成了鮮明的對比:任何擁有VPN密碼的人都可以進入“城堡”,然後可以相對自由地移動。然而,在現代的零信任環境中,安全分析軟體一直在監視使用者和設備行為是否符合策略。使用人工智慧和機器學習技術可以自動分析異常現象和異常行為。當一個使用者突然表現出與平常非常不同的行為時,例如,帳戶被劫持,那麼這項功能便發揮作用了。
不僅僅是使用者和他們的設備需要被持續監測,越來越多的應用程式是以SaaS應用和基於雲的。相應的也面臨著各種風險:從DDoS到利用漏洞來竊取資料或者進行商業間諜活動。在這裡,重要的防禦機制是通過所謂的WAAP(Web應用程式和API保護)或ADC(應用程式交付控制器)在應用層進行資料流程控制。這些安全工具過去是企業內網中的設備,如今被動態部署為雲環境中。它們檢查與應用程式和雲服務的通訊是否存在惡意請求,然後會拒絕轉發這些請求。應用程式級防禦現在是雲的標準組成,也是企業安全的標準組成。
企業使用的雲資源越多,通訊流的變化就越大:資料流不再發生在企業資料中心的本地終端和伺服器之間,而是發生在行動用戶(無論他們在哪裡)和雲(無論資料中心在哪裡)之間。這反過來意味著,數位化和雲資源的使用越深入,傳統的VPN就越不合理。這是因為VPN通常會將使用者存取重定向到企業資料中心。然而,如果用使用者實際想要存取的是Microsoft 365等SaaS應用程式,VPN就相當於繞道而行,根據物理定律,這會增加延遲,從而減慢應用程式存取速度,損害使用者體驗。
畢竟,在遠端辦公/分散式工作模式中,企業也希望保持員工工作效率不變。Gartner表示,他們稱之為SASE(Secure Access Service Edge,安全存取服務邊緣)的安全架構將成為未來的安全概念:SASE將基於雲的網路和安全服務相結合,取代防火牆、VPN和其他本地安裝的安全設備。在網路方面,SD-WAN(軟體定義的廣域網路)優化使用者存取效能,例如,自動將Microsoft 365請求路由到最近的Azure Hub,為視訊會議選擇服務品質最好的連接。在安全方面,SASE通過一系列安全服務來完善這種混合雲優化網路:基本網路安全、CASB(雲訪問安全代理,即保護使用者訪問雲的實體)、零信任、安全Web閘道、FWaaS(防火牆即服務,即基於雲的防火牆功能),以及其他服務。
以新思科技 (Synopsys Inc.)為例。新思科技首席資訊長Sriram Sitaraman表示“我們正在不斷突破傳統VPN解決方案,如今能夠為我們的員工和合作夥伴提供零信任模式,從而賦能他們對公司託管設備或BYO設備上的基礎設施進行安全存取。”。
透過Citrix的解決方案,新思科技完美實現了這一點。Citrix為其提供了一套穩健的安全存取解決方案,該解決方案將全面的雲端交付安全棧與身份識別零信任網路存取(ZTNA)相結合,保護員工免受傷害,並提供一套全面的安全存取服務邊緣(SASE)服務棧,包括:
Citrix Secure Internet Access™ 一項覆蓋全球的一站式上網與上雲的安全服務平臺,可滿足現代企業的安全需求。這其中包括安全Web閘道、新世代防火牆、雲存取安全代理(CASB)、DLP、沙箱以及基於人AI驅動的攻擊檢測等。
Citrix Secure Workspace Access™ 一種VPN-less解決方案,對從管理和使用BYOD存取企業組織Web和SaaS提供零信任存取。
作為Citrix Workspace™的一部分,Citirx 安全存取解決方案使公司能夠:
通過對所有基於雲和網路的應用程式和虛擬桌面的身份識別和零信任存取,來提高安全性和工作效率;
利用機器學習和AI即時洞察使用者行為,並自動修復網路安全性漏洞;
使用內置取證分析工具以及對所有流量和使用者行為的詳細搜索,來識別特定的安全事件、非典型性活動和違反政策的行為;
借助100多個全球接入點(PoP),由超過10個威脅情報引擎提供動力,隨時隨地抵禦一切威脅;
為所有常用的雲端和SaaS資產、設備和作業系統提供全面的安全防護,在存取安全方面做到無懈可擊
通過單窗格視圖管理一切事務
簡言之,隨著應用程式出現在雲端,安全堆疊現在也將從本地部署轉移到雲中。然而,這一演進階段可能需要一段時間,一些安全功能還會保留在本地,至少暫時如此。一個例子是DLP(資料洩漏預防)以及驗證PII的處理是否符合規定。這是因為這些功能對瞭解要保護的資訊環境提出了很高的要求—從資料集的重要性到企業內部流程和檔案工作流。因此,在可預見的未來,IT安全仍將是混合的:本地安全和雲相輔相成。
因疫情下所推進的“行動辦公”建立可靠的安全生態系統是非常重要的,要涵蓋整個需求鏈:從生物特徵識別多重身份驗證以便可靠的證明使用者的身份管理,到應用程式和雲安全;從反勒索軟體到零信任和SASE;從確保工業控制系統的安全到發現威脅。
疫情推動了未來的工作,現在必須而且將來也一定會在“安全的未來”方向上實現類似的飛躍。企業IT進入雲端的旅程已經歷時數年了,而且仍在進行中:大部分企業仍處於雲轉型的過程中——而且最近由於應對疫情而加快了進度。儘管如此,2020年是第一個投資於雲的資金超過本地IT基礎設施的年份。下一演進階段將是讓雲更加安全。這也很可能是令很多企業舉步維艱的一個階段。因此,未來的安全也將是混合的。
早在中世紀,隨著城市居民冒險走出城牆,與遠方的商業夥伴進行貿易和交流知識,人們提升了生產力,不斷繁榮發展。如今,企業可以將他們的城牆拋在身後,所要做的就是確保企業的數位工作場所集成了現代安全機制。
一起協助Citrix完成調查就能夠獲得好禮