過去這幾年,安全存取服務邊緣 (SASE) 大受歡迎,而且這股熱潮絲毫沒有在短期內退燒的跡象。
鑑於安全團隊不斷推進政策執行,以防範威脅,提供更優異的使用者體驗,因此 SASE 一直是簡化執行與維護安全策略方式的首選。
SASE 簡介
SASE 將連網和安全解決方案以及功能,整合為單一雲端交付型服務模式。這些功能整合後,可降低成本、提升應用程式效能,為組織提供更強大的防護。
Gartner® 最初於 2019 年提出 SASE 的概念,而疫情全球大流行則成了加速採用的推手,因為 IT 團隊不斷尋求為日益分散的工作團隊和 IT 網路提供支援。
短短幾年,SASE 便從學術概念發展為網路安全界領袖支持的最普遍架構。Gartner 預計,與 2023 年中相比,2025 年提供市售單一供應商 SASE 產品的供應商數目將增加 50%。
將網路和安全性相互結合,讓 SASE 實現直接連線雲端,而非透過中央資料中心回傳流量進行檢查,加速終端使用者的效能。 同樣地,整合式的安全服務為員工和工作所需的應用程式互動提供更簡便的使用者體驗。
組織正推出新的解決方案,用 SASE 取代過時的技術,例如虛擬私人網路(VPN)存取。Zero Trust Network Access (ZTNA) 是 SASE 的要件,不僅可讓組織免受 VPN 造成的延遲,同時還能為內部應用程式驗證使用者與裝置。
因為有太多人居家辦公,從世界各地會聚在一起共用網路,要保持生產力,確保組織的雲端安全機制穩定可靠,就絕對少不了 SASE 解決方案。SASE 可授權遠端工作、增強擴縮性,讓「自攜裝置」(BYOD) 政策更安全。
SASE 架構運作方式
SASE 的安全機制與連網方式,分別稱為 Security Service Edge (SSE) 及 Software-Defined Wide Area Networking (SD-WAN)。
兩者由單一供應商供應時,構成了 Gartner® 定義中效果最強的 SASE 模式,同時也是目前最常見的模式:
Security Service Edge
SSE 保護三個關鍵存取點:網路、雲端和私有應用程式。其強項是阻絕攻擊者,不讓敏感資料外洩。
組織落實這項安全功能後,可以將存取控制、資料安全機制、威脅防護措施與監控整合到單一平台。SSE 的個別元件可視需求整合至安全策略,最終將元件通通整合在一起。
SASE 最佳化連線能力並減少延遲,以便 SSE 可以能高效運作並提供優質使用者體驗
軟體定義的廣域網路
SD-WAN 讓組織能夠以更有效率的方式路由傳送及管理流量,而且無論使用者身在何處,組織都能輕輕鬆鬆建立及延伸網路政策。
可使用任意連線類型組合 (包括 MPLS、LTE 與寬頻網路服務) 降低連網成本,讓使用者以最快的速度存取應用程式和企業資源。SD-WAN 技術還可以更有效率的方式路由傳送流量,將頻寬用量最佳化,改善效能。
Secure SD-WAN 解決方案內建若干安全功能,例如 IPS 與 Advanced Malware Detection,結合安全導向的 SASE 平台相得益彰,可確保使用者體驗安全順暢
組織採用傳統安全模式時,為了防範混合型工作團隊受到威脅,使用了各種單點產品。然而,截然不同的安全模式卻導致覆蓋範圍差距、誤報警報、以及使用者的使用效能不佳。因此,不僅威脅會不知不覺趁虛而入,還會造成員工規避規則,使得組織面臨更多風險
SASE 改變了這一切。就安全性而言,它在單一主控台完善整合政策配置與執行,讓管理與維護更輕鬆。雲端交付型安全服務和改良的連網方式,為雲端應用程式提供了更優異的效能和安全機制,加上覆蓋方式並未使用代理程式,使用者體驗更加順暢。
SASE 的五大要素
若要成功實作 SASE,您必須採用五個基本元件。包括:
Secure Web Gateway (SWG)
SWG 提供防範惡意網站的安全措施,利用內容檢查篩選器執行公司網頁瀏覽政策,保護使用者發起的流量。它可能使用雲端 Proxy,也可能直接在端點執行。Forcepoint ONE SWG 是 Zero Trust Web Access (ZTWA) 的一部分,透過兩項主要產品與功能增強 SASE 安全性:
- Remote Browser Isolation (RBI):RBI 將有風險的網站交給遠端虛擬容器處理,防範惡意程式碼感染端點
- Zero Trust Content Disarm & Reconstruction (CDR):Zero Trust CDR 從檔案中擷取有效的業務資訊,驗證資訊是否安全,然後建置新檔案傳達該資訊,甚至還可防範進階零日攻擊與漏洞
Cloud Access Security Broker (CASB)
CASB 保護存取雲端應用程式的過程,並且在程式內執行資料安全政策。Forcepoint ONE CASB 提供代理程式技術和無代理程式的覆蓋機制,將防護延伸至任何裝置。它還會自動發現雲端應用程式的使用情形(獲批准或未獲批准)、分析風險、並針對逾 800,000 個 SaaS 和產品應用程式執行適當管控。
Zero Trust Network Access (ZTNA)
無論從何處存取私有網路應用程式,ZTNA 都能控制存取權限,支援為管理型或非管理型裝置的使用中資料提供進階管控措施。Forcepoint ONE ZTNA 根據使用者具體環境,採用最少權限原則提供存取權限,通常提供多重要素驗證 (MFA) 與單一登入 (SSO)
等功能。防火牆即服務 (FWaaS)/ 雲端防火牆
雖然 SSE 由 SWG、CASB 與 ZTNA 共同組成,但防火牆技術則是安全機制與連網方式的交集。Next-Generation Firewall (NGFW) 技術以實體裝置與虛擬裝置方式提供,但如果管理員要在 SASE 架構擴充遠端工作,則可能主要依賴基於雲端的解決方案,也就是俗稱的防火牆即服務 (FWaaS)。這些方案可透過雲端從世界上任何地方部署,利用集中式管理與自動化提供可見度與管控措施。
Software-Defined Wide Area Networking (SD-WAN)
Secure SD-WAN 內建各種安全功能,例如多層檢查、入侵防護和 DNS 沉洞,除了免安裝硬體,還可彈性使用任何可用的連線方式。
利用 SASE 隨時隨地安全存取
近年突飛猛進的安全架構不只有 SASE。Zero Trust 同樣值得關注,這個架構要求所有使用者與裝置不斷接受驗證,才能存取網路內的 IT 資源。這種方法與傳統的網路安全措施截然不同;傳統措施認定安全網路邊界內的任何人或物都值得信賴。
不過,選擇 SASE 還是 Zero Trust 架構並非重點所在。事實上,任何值得考慮的 SASE 平台皆採用 Zero Trust 原則。兩者融合為符合未來需求的資料安全措施奠定了基礎。
Forcepoint 首創的Data-first SASE 概念便是奠基於這種整合式資料安全措施。
Data-first SASE 不僅保護存取。在使用業務資料的過程持續提供防護,簡化了安全機制,不僅將生產力最大化,同時還降低了營運成本。Data-first SASE 的主要優勢包括:
- Data Security Everywhere:只要點幾下滑鼠,就能將資料安全政策無縫延伸至網頁、雲端、電子郵件、網路和端點
- 分散式執行:在雲端、邊緣和端點執行政策,而且效能更高
- 可靠的擴充性:AWS 大型公有雲平台越靈活彈性,擴充性越大
利用 Data-first SASE 提升資料安全
Data-first SASE 奠基於Forcepoint ONE。這個多合一雲端原生安全平台,在單一主控台結合了效能與安全機制。
Forcepoint ONE 提供模組化架構,組織可視需求增加服務,儘量減少組態和訓練所耗費的時間。安全團隊利用這個平台,可以逐步打造 Data-first SASE 架構,在SSE 和 SD-WAN 加入額外的 Zero Trust Data Security 元素。
Forcepoint ONE 透過整合 Forcepoint ONE 與 Forcepoint DLP 的方式,提供 Data Security Everywhere。只需要按幾下滑鼠,就能在雲端、網頁、電子郵件、網路和端點複製政策組態。它充分利用 SASE 所實現的統一化,無論使用者身在何處,都能提供更安全的資料存取方式。
Data-first SASE 的主要功能與使用案例
Gartner 在2023 年《Gartner® 單一供應商 SASE 的重要功能》中,說明了三大使用案例:Basic SASE、Network-Driven SASE 與 SASE with Advanced Security。
Gartner 指出:「across all offerings, most vendors provide strong branch networking and branch security capabilities. However, the level of advanced security features across all offerings is only mediocre for most enterprises.」*
這份報告將 Forcepoint 評為 Advanced Security Use Case 的最佳供應商。
哪些組織應該考慮採用 SASE with Advanced Security?Gartner 明確指出:「This is typically a highly regulated enterprise or one that deals with sensitive information, such as financial services, insurance and healthcare. It is an organization that requires advanced security capabilities, not simply “good-enough” security.」
Data-first SASE 的益處與優勢
移轉與實作最佳實務
採用新的安全模式固然會讓公司有所疑慮,但如何實作這類新系統的秘訣和最佳實務俯拾即是。以下是 Forcepoint 編制了兩份指南,可以幫助您更順暢地移轉。
個別產品屬於同一個供應商,而且是專為混用而設計時,輕而易舉就能實作 Data-first SASE 安全模式。《獨特的 Data-first SASE 平台 Forcepoint ONE》說明了單一供應商 SASE 的優勢、Forcepoint 與其他 SASE 供應商的差異,以及 Forcepoint ONE 如何讓簡化採用 Data-first 的流程。
法規遵循與 Data-first SASE
Data-first SASE 的強項是協助公司遵循全球資料法規。Forcepoint DLP 提供逾 1,700 個預先定義的分類器和政策範本,符合 80 多個國家的資料隱私規定。透過 Forcepoint ONE,這些政策可延伸至全組織各個角落,為審核提供全面的範圍和可見度。
組織必須瞭解相關法規,並採取各種行動,證明自己遵循這些法規。貴企業可能接觸的幾項重要法規包括:
資料隱私權法規遵循 – 簡化
在單一供應商 SASE 平台整合各項安全功能,組織輕輕鬆鬆便可在多個通道落實政策。這樣就可以輕鬆地靈活因應瞬息萬變或新適用的法規要求。
Data Security Everywhere 是 Forcepoint 提供的功能,可針對 SWG、CASB 和 ZTNA 以及端點和電子郵件設定政策,加快調整速度,節省人力。
利用 Data-first SASE 加速轉型
全球組織正致力於推動數位轉型,為了提高企業生產力和降低營運成本,尋找新的機會。漸趨分散的組織正在為網路和安全機制重新設計架構,將最有價值的資料和應用程式移至雲端,以更快速又經濟實惠的方式讓使用者取用公司資源。
許多組織利用 SASE 實現了雲端所需的可靠安全連線方式。SASE 提供諸多全組織都受惠的優勢,包括:
- 加速採用增加工作效率的 SaaS/雲端應用程式,提高生產力
- 在直接連接雲端的 SD-WAN 部署加入安全機制,防範入侵者,降低風險
- 不需要昂貴的 MPLS 連線方式,降低成本
- 整合數千個站台的連線方式和安全機制,簡化營運
資源和參考文獻
閱讀報告
閱讀報告
閱讀手冊
