技術專欄
有人說帶動這波數位轉型的不是 CIO,不是 CXO,而是 Covid-19
面對這後疫情時代突然竄起的遠距或行動辦公需求,各大原廠無不絞盡腦汁推出不同遠距辦公方案,如 VDI 或 VPN,然而這些方案儘管方便安全,卻仍然受限於硬體及地理位置,並且在這個雲端發展篷勃的時代,如何把安全與便利同時兼顧且應用在雲服務上也是一個重要的課題,甚至在執行遠距辦公的同時,是不是還能達到零時差攻擊 (APT) 的防護,也是我們需要注意一大重點。
實際上 Gartner 在 2019 年開始就提出了一個全新的安全服務定義--SASE,全名是 Secure Access Service Edge:
在 SASE 的架構下,將應用分成兩大類別,分別是「網際網路」及「安全」,同時它具備了以下重點:
(1) 彈性:雲基礎,可部署任何安全防護如 APT、 DNS 安全機制、帳號保護、DLP 及防火牆政策。
(2) 節省成本:不用再買一堆硬體產品,同時也大幅減少人工管理成本,而且設備少了,架構更單純。
(3) 效能提升:服務可依地理位置隨時隨地存取,全球化服務。
(4) 支援零信任基礎:不論是使用者或裝置,SASE 都能提供完整防護,無論是不是在公司內部。
身為全球資安服務領頭羊,Check Point 推出了自己的 SASE 解決方案:
Check Point 的 Secure Web Gateway 就是來保護客戶免於已知和未知 (APT) 的攻擊,它進一步檢查用戶上網及存取 SaaS 服務時的流量,功能包含了入侵防禦系統 (IPS)、上網行為控管、防止釣魚及沙箱防護。
身為 SASE 網路基礎的一份子,CloudGuard Edge 及 CloudGuard Connect 也能夠為 SD-WAN 流量提供一般次世代防火牆的防護,而且對客戶而言不分原生 SD-WAN 品牌,隨時隨地免除安全疑慮。
強大的 API 整合能力提供市面上超過八種的主流 SaaS 服務 (如 O365、G-suite 等) 更進階又實惠的威脅防護,不論是 E-mail 或網路硬碟空間,讓您安心使用免煩惱!
(1) E-mail:利用AI引擎偵測惡意內容,並阻擋釣魚信件穿越傳統 E-mail 安全方案。
(2) DNS安全:防止存取惡意網域,以及 DNS tunneling 穿牆技術。
(3) 身份保護:獨特的身份保護技術超越原生 SaaS 提供的 2 階段驗證技術,完美整合身份防護到資安政策中。
(4) 雲端硬碟:先進的世次代表掃毒引擎及沙箱技術讓網路企業網路硬碟不再是惡意軟體溫床。
遠端存取為遠距用戶最主要的需求,傳統上利用 VPN 來達成,此方式需要一台閘道,而且對於權限細部控管也會有比較高的要求,透過 CloudGuard Connect 以及專屬輕量化 Agent 的應用,遠距用戶在存取公司資源之前就已經預套用所有存取規則,輕鬆達到零信件基礎、使用者及裝置驗證、BYOD 以及進階威脅防禦 (包含 SSL 解密) 功能,同時這個 Agent 也支援完整的 DNS 防護以及 Internet 流量本地下車,讓使用者能暢遊 Internet 同時確保安全性。
〔總結〕
SASE 提供了客戶另一種完全不同的雲端架構使用體驗,免去地端昂貴的投資,而且更加安全與具有彈性,Check Point 相信 SASE 接下來將會被廣為接受且成為主流,屆時大多數地端的遠距存取方案將會被取代。
SASE 也幫助 SD-WAN 強化了存取 SaaS 服務時的安全性,並保護了漫遊用戶,同時此文中所討論的產品也都能夠在 Check Point 獨家的 Infinity Portal 做到單一控管以及報表產出,讓管理者使用上更得心應手,而不是疊床架屋,就如同 Check Point 的精神一樣:One Step Ahead,secure your everything。
