從防火牆到SASE新舊技術共保資安

編譯/戴偉丞

網路安全已於過去十年發生劇變,原本只需要依賴傳統防火牆的時代已不復返。隨著企業採用VPN技術,身處公司外部的員工即可透過VPN連線,獲得內部存取的大部分服務與資訊,加上雲端運算和遠端工作因疫情蓬勃發展,都催生「零信任技術」以及「安全存取服務邊緣(SASE)」兩種互補但不相同的網路安全模型。

隨著資安威脅的手法越來越多,傳統防火牆功能早就已經有鞭長莫及之感。圖/123RF

零信任模型的「性惡說」

在今非昔比的前提下,網路世界中的零信任以及SASE無所不在,網路的延伸範圍更廣泛,已經從公司公務電腦透過家中個人Wi-Fi數據機連接到私人電腦,到智慧型手機、筆記型電腦、平板電腦等不同裝置,因此網路安全人員必須全面保護所有資訊輸入與數據提取。值得注意的是,零信任模型假設每個裝置都可能存在安全風險且具有敵意的,乃至於工作場域中如果裝有智慧電視、智慧電冰箱等智慧家電,都可以被視為風險存在。

零信任模型不僅驗證身份,更要求使用者在進入新區域、嘗試存取新資源時再次進行身份驗證。Check Point 安全服務產品管理主管 Aviv Abramovich表示,在這兩分鐘內或許有人已經想方設法地在電腦上安裝惡意軟體,或是可能在開放空間下被侵入了,因此必須剝奪這種信任。由於零信任模型是以身份為驗證核心,因此在保護雲端內部資產方面得更為輕鬆與加固。

更多新聞:雲端環境日益複雜   雲端原生提供簡化方案

SASE與SSE不連遠方資料中心

安全存取服務邊緣以及安全服務邊緣(SSE)技術比零信任模型更專業,透過創建一個可以從雲端進行管理的廣域網路(SD-WAN),該技術將網路保護擴展到區域分散的不同存在點(PoP),讓使用者可以在地端而非遠在他處的資料中心連線。

為了保護此虛擬網絡,SASE的運作中融合不同的技術,包括以雲端為基礎的防火牆,該技術亦稱為「防火牆即服務 (FWaaS)」,透過安全網站閘道(SWG)監控使用者網路流量並阻止惡意軟體;當然也包括零信任網路存取技術。此外,部分SASE與SSĘ中,也添加了「資料遺失防護(DLP)」、「網域名稱系統(DNS)」以及「入侵預防或入侵偵測系統(IPS/IDS)」。

傳統技術融合交錯使用

最新的「雲端原生」技術也能夠追蹤每組資料、每個用戶等使用情況,並提供特定的保護。該技術除了包括雲端存取安全代理程式以及零信任安全模型外,還包括雲端安全性狀態管理(CSPM)、雲端工作負載保護平台(CWPP)、雲端原生應用程式保護平台(CNAPP)等。但是即便有這麼多新穎的網路安全工具,舊的網路安全工具也仍然有其所用,對於使用雲端以及傳統地端的組織而言,Abramovich表示,防火牆仍相當重要。

資料來源:SC Magazine

瀏覽 1,034 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button