技術專欄
持平而論,資通安全從來就不是輕鬆任務,只因它要防護的範圍太大,涵蓋了網路、系統、應用程式、帳號密碼、電子郵件…等等。正因如此,過去企業面對資安事件,大多致力於基礎設施防護、維運服務系統安全性 。近年隨著網路、勒索病毒攻擊等資安事件頻傳,各界對於資訊安全議題的關注程度,開始起了莫大變化。
除此之外,進入萬物聯網、5G 崛起的時代,加上因疫情影響而衍生 WFH(Work From Home)新常態,導致數位轉型浪潮愈演愈烈,迫使企業必須跟隨數位化大勢,改變網路連線方式與應用架構,讓資通安全的防禦邊界變得更加模糊、難以掌握,完全逾越了原先資安架構設計的範疇。
舉例而言,由於疫情效應,許多企業紛紛採取混合工作模式,造成遠端連線的需求急遽增加;問題來了,針對員工在企業之外存取 Internet 的過程,應當如何加以保護?與此同時,是否有簡單、一致、可擴充的方法,有效降低員工的連線安全風險?不可諱言,企業必須妥善解決這些難題,才能在沒有後顧之憂的前提下、朝向數位轉型目標全速推進;因此現今已有越來越多企業選擇導入 Cisco SASE 解決方案,期望借助其中蘊含的「連接」(Connect)、「控制」(Control)、「融合」(Converge)等 3C 核心功能,協助企業突破重重難關。
以「3C」當中的控制功能為例,企業可以透過 Cisco Umbrella 雲端平臺,一舉掌握 DNS 層安全防護、SWG 網站安全閘道、FWaaS 雲端防火牆、CASB 雲端存取代理、RBI 遠端瀏覽器隔離等多重資安功能與技術,進而能夠在短時間內快速簡單地完成部署,即時防護企業的重要基礎服務設施,避免遭受釣魚、挖礦或惡意程式等威脅的侵擾。接下來,我們將帶領您逐一理解 Cisco SASE 解決方案的各項功能內涵。
DNS 層安全防護:主要提供惡意程式、釣魚網站、殭屍網路及高風險網站的連線防護,可將它安裝在內含漫遊軟體或 已整合 Cisco Anyconnect 軟體的裝置上,藉此直接阻擋惡意中繼站連線,確保裝置安全。
SWG 網站安全閘道:透過網頁連線代理,協助檢查幾件事,包括使用者所瀏覽的網頁、是否為企業核可的網站?使用者下載的檔案時,是否為惡意程式?值得一提的,SWG 提供雲端沙盒(Sandbox)機制,可用於分析未知檔案,並持續監控所有未知檔案的狀態。
RBI 遠端瀏覽器隔離:主要負責隔離帶有風險的網站、網站應用程式或網址,以保護連線的裝置。
FWasS雲端防火牆:可從 OSI 第三層及第四層進行流量控制,阻擋不被允許的埠、協定。此外,它也能從 OSI 第七層進行流量控制,檢查是否有使用者執行企業不需要的應用程式行為。同時提供入侵防禦系統,用以偵測與過濾異常的流量封包。
CASB雲端存取代理:能夠根據企業需求,協助設定雲端應用程式存取政策,藉此控制資料檔案上傳,並且掃描與移除雲端硬碟當中的惡意程式。
不僅如此,Cisco Umbrella 也能提供可視化、防護、控制等等攸關企業資安防護的關鍵功能。首先談到「可視化」,能夠顯示所有網際網路連線流量、應用程式和設備,乃至於加密或非加密的網路流量,便於資訊人員獲取足夠資訊,有效確認現階段的網路傳輸狀態。其次,「防護」指的是當使用者或基礎設施進行域名查詢時,可以根據 Cisco Umbrella 情資資料庫,有效確認該連線是否為異常連線?有無夾帶惡意的網站內容或檔案內容?如果有,即能主動阻擋這個連線存取與檔案下載行為。再來是「控制」,意在提供給企業足夠的政策設定彈性,以針對網址、埠、協定或應用程式,產生允許存取或阻檔存取的列表。
Cisco Umbrella係於 2006 年上線,始終維持全年無休的不中斷運作,每日處理來自全球 190 個地區、逾 1 億名使用者所發動的 2 千億筆以上 DNS 請求。而 Cisco 深知,面對日新月異的資安威脅,唯有主動防禦才是王道;因而不斷強化 Cisco Umbrella 功能,除了結合 DNS 預測情報與統計模型來阻擋惡意軟體外,亦結合全球最大的威脅情報團隊 Cisco Talos 做為堅強後盾,借助其中全球網際網路活動的統計資料與機器學習模型,持續精進 Cisco Umbrella 的能力,得以即時發現各種惡意網址,也能識破用於執行攻擊的文件檔案。
Cisco 發現到,2020 年來自雲端軟體服務的網際網路流量激增 33%,這個現象的背後,潛藏了許多嚴峻課題;比方說,當前不管是遠端辦公、自帶設備上班,都逐漸形成常態,面對隨之而來產生的流量,企業 IT 團隊能否有效管控?除此之外,當企業漸漸把更多內部資料上傳雲端,如何控制這些資料沒有外洩之虞,而且避免將這些資料輕易分享給未獲授權的存取者?
為此,Cisco Umbrella 提供多元化部署方式,好讓企業 IT 團隊能夠依據自身實際需求,彈性地選擇適合的部署模式。主要的選項有三,首先是把企業內部的DNS查詢轉換為 Cisco Umbrella;其次於企業內部部署 Cisco Umbrella Virtual Appliance,用以查看內部主機的 IP 位址,乃至進一步整合 Microsoft AD 以理解使用者名稱;再者可在遠端辦公者的裝置上,安裝漫遊軟體、或是整合 Cisco Anyconnect 軟體。
綜觀 Cisco Umbrella 一路走來的進化史,已明顯從期初的 DNS 情資資料庫,先後蛻變為第一道防火牆的角色(DNS 查詢時的連線保護)、網路安全閘道的角色,如今更躍升為 SASE 核心。
時至今日,Cisco Umbrella 不但能提供多樣化的資安防護功能、以及豐富的網路威脅情資,亦能透過簡單快速的方便,整合 Cisco SecureX 雲端資安維運平臺,為用戶提供橫跨不同產品線的可視性、便於集中分析資安事件脈絡,亦有助於企業 IT 團隊輕鬆理解內部與遠端辦公者的所有網路連線資訊,舉凡每一個人啟用了哪些應用程式、連線到什麼樣的網域、傳送了哪些檔案,通通一清二楚。Cisco Umbrella 預設保留一個月的日誌資料,並藉由 API 直接整合 SecureX;如此一來,當企業 IT 團隊察覺到不正常的連線時,即可運用 SecureX 來協助 Umbrella、迅速阻擋該網域,以期牢牢地守護企業的數位資產。
