技術專欄
本文作者:蘇俞安 Rick Su | MetaAge 邁達特(更名前:聚碩科技) Cisco Secure 產品經理
「數位轉型」議題在全球產業界延燒不止,臺灣當然不能自身於外。時至今年(2021),臺灣因為疫情升溫,導致愈來愈多企業加速簇擁數位轉型,積極迎向遠端協作模式,並且大量採用雲端應用服務,期望有效因應居家辦公或異地分流的新常態。
與此同時,隨著混合式工作環境崛起,也讓企業應用的集結樞紐,逐漸不再定於一處,從以往集中式資料中心移轉到了個別的用戶、裝置及應用,它們散居在不同地理位置,彼此的串連行為更加錯綜複雜。影響所及,企業難以繼續沿用傳統的邊界式防護機制,因應數位轉型時代的資通訊安全管控,勢必要順應時勢所趨。
有鑑於此,Gartner 於 2019 年 12 月提出「安全存取服務前端」(Secure Access Service Edge;SASE)的新型態資安架構,其整合 VPN、WAN 乃至雲端原生資安功能,意即藉由雲端來提供安全網路閘道、雲端存取安全代理程式、防火牆與零信任網路存取等功能,協助企業建構一個足以面對未來的資通安全模式。如此企業就能化繁為簡,運用單一整合的雲端服務,集中提供所有網路及資安功能,得以更安全、更輕鬆地串連分散各地的營業據點與遠距工作者。
思科(Cisco)領先業界呼應 SASE 概念,打造出真正把網路及資安功能整合於單一雲端原生服務的 SASE 架構,確保企業能針對散佈各處的使用者、裝置或應用程式,如影隨形地防護存取權限。換言之有了 Cisco SASE 做為安全靠山,企業即可在數位轉型旅途中全速推進,從容迎向遠距與雲端作業的新常態。
去年期間,思科提出《2020亞太地區中小企業數位化成熟度研究》報告,結果顯示,亞太區有高達七成中小企業,因為疫情關係而加速推動業務數位化發展。此外更有高達 86% 的中小企業,認為在面對諸如 COVID-19 等重大危機下,數位化確實能幫助企業強化應變能力;當企業迎向 WFH 新常態之際,若沒有堅強的數位化根基、就無從展現敏捷性及靈活度,使組織難以因應環境變遷而迅速調整策略。
而在臺灣,也有多達 74% 中小企業正在尋求數位轉型,期望引入更多新產品與新服務,提高市場競爭力;另一方面,51% 中小企業已意識到全球競爭態勢正在改變,唯有與時俱進投入數位化,才能因應變局。顯見多數臺灣中小企業皆體認到數位轉型的重要性,也願意在疫情期間趁勢投資數位轉型,但不可否認在轉型的速度、廣度等方面,仍有莫大進步空間。
著眼於眾多企業急欲迎向數位轉型,並希望因應居家辦公需求、部署適當而有效的解決方案;思科已備妥豐富的解決方案內容,協助企業在安全、高效、靈活的基調下,從容面對未來可能的數位化挑戰。
如針對防疫期間迫切需要的遠端存取議題,思科提供「Cisco Secure Remote Worker」方案,訴求可藉由其中的 Cisco AnyConnect 提供安全遠端連線,解決 WFH 員工存取企業內部資料的需求;藉由 Cisco DUO 提供使用者身份的二次驗證功能,嚴格驗證連線者是否真的是公司同仁;藉由 Cisco Umbrella 強化上網連線的安全性,讓 WFH 員工無需擔心連線到釣魚網站或挖礦網站。
透過上述解決方案,基本上已能協助企業妥善保護遠距辦公電腦;且對於 IT 或資安管理者而言,亦可利用單一平台管理多項工具,使操作體驗更加簡單流暢。
思科發現,企業要想安然迎向後疫情時期的數位化挑戰,還需認真思考一些更深層的問題,並尋求釜底抽薪的解方。
這些問題包括:
1. 處於遠端工作、居家上班的辦公方式,同仁在公司外部連上Internet搜尋資料、下載資料的過程,能否得到保護?
2. 現今員工頻繁利用家中 ADSL、手機4G/5G 存取資料,意謂員工接觸公司數位資產的管道大幅擴增,是否出現管理盲點?
3. 傳統隔離網路邊界的做法,將企業內部視為信任網路、企業外部視為不信任網路;如今安全邊界逐漸消失,應該如何因應?
4. 無論疫情關係或企業已經投入數位轉型,導致愈來愈多的數位資產或資料移至雲端平台;在此情況下,如何提高應用服務效能、同時確保資訊安全?
5. 綜上所述,不管員工、設備、數位資產都逐步轉移到企業外,傳統的邊界資安防護機制鞭長莫及;如何順應形勢的轉變,快速翻新資安架構?
思科認為,在數位時代下,資安管控不能墨守成規,需要透過一個全新架構來定義。
依據 Gartner提出的 SASE 新概念,將網路安全及 SD-WAN 整合為單一雲端服務,藉此支援 WAN、行動、邊緣運算等各種「Edge」,讓每個同仁、每台裝置隨時隨地都能安全高效地存取公司的數位資產,個人的身份及存取權限完全可攜。透過這般新架構,便能讓前述難題通通迎刃而解,無疑是值得企業付諸實踐的絕佳目標。
思科同時提醒企業用戶,欲建構完整的 SASE 新型資安架構,其間需要涵蓋必要的網路服務和資安服務。譬如網路服務範疇的 SD-WAN、WAN Optimization,及屬於資安服務範圍的雲端存取安全代理(CASB)、安全網路閘道(SWG)、零信任網路存取(ZTNA)、防火牆即服務(FWaaS)、網域系統(DNS)、遠端瀏覽器隔離上網系統(RBI)。
在理解 Gartner所提的 SASE概念意涵後,接著讓我們看看思科如何設計 SASE 網路安全架構。
思科期望用戶在嘗試理解 Cisco SASE 解決方案時,必須先認真檢視「三 C」指標;唯有扎實具備這三大元素,企業才能在快速、簡單的前提下,完美地導入 SASE 網路安全架構。這三個 C,包含Connect(連接)、Control(控制)、Converge(融合)。
所謂「Connect」,意指當前企業選用的數位資產連接方式,究竟是 VPN 還是 SD-WAN?企業須先釐清此問題,才能更有效實現 SASE,讓任何用戶都能透過任何裝置、簡單且自動地存取任何應用程式。
「Control」指的是用戶已經在哪些位置、採用哪些資安服務?例如若已採取 FWaaS (Firewall as a Service) 或 SWG (Secure Web Gateway),便可望為數位資產建立更強大的威脅防禦力、零信任存取控制力,堪稱最理想的模式。
「Converge」意指企業以什麼樣的狀態來整合網路安全服務?對此企業不妨藉由可視化、自動化及可維運等不同角度,來判定其資安防護的整合是否真正到位。
為協助企業在 Connect、Control 與 Converge 等三個構面,都能達到最佳水平,以便創造出最能落實整合協作的資安平台,思科在 Cisco SASE方案中設置了三大核心。
第一核心是「Connectivity」,重點在於提供多元連線方式,包含 SD-WAN、VPN 及 Remote Access 等。
第二核心為「Security」,主要透過雲端平台的形式,全面提供 DNS、SWG、L7 Firewall/IPS、CASB、DLP等資安防護功能。
第三核心是「Identity」,採用零信任方法,確保每一個使用者連線皆可受到信賴,斷絕駭客「以合法掩護非法」的操弄空間。
更重要的,思科在樹立 SASE 三大核心支柱之餘,在底層以可視性、政策、整合進行整體性的貫穿,使企業管理者能依循簡易、一致、可擴充的路徑,一步步實作 SASE 歷程。總之無論企業是否已經踏上或即將踏上數位轉型旅程,都可借助 Cisco Secure 團隊與MetaAge 邁達特(更名前:聚碩科技)的奧援,幫助企業實現資通安全新思維,強力守護現在與未來的創新進化成果。
