衝擊全球持續三年的COVID-19疫情,促使企業與組織提供員工在任何地點連網辦公的需求暴增,連帶推動安全存取服務邊緣(SASE)類型的解決方案在IT市場崛起,以網路與資安大廠思科(Cisco)為例,持續提供與拓展相關產品與服務,並予以統合。
他們先在2020年中主推2017併購Viptela而來的SD-WAN,整合多功能資安防護雲端服務服務Cisco Umbrella,提供囊括雲端管理SD-WAN與雲端供應資安等兩大面向的SASE架構。
2021年3月底於線上舉行的年度用戶大會期間,思科預告旗下多款資安產品統合在SecureX品牌,並宣布所有SASE產品將以單一解決方案的形式供應。而在涵蓋連網(SD-WAN)、控制(雲端資安)之餘,Cisco SASE擴充更多功能,例如前者增加支援基於Meraki雲端網路管理平臺而成的SD-WAN,後者能使用基於Cisco Umbrella而供應的多種防禦技術,像是:雲端存取安全代理(CASB)、資料外洩預防(DLP)、遠端瀏覽器隔離(RBI),以及雲端惡意軟體偵測(移除雲端檔案儲存環境存在的惡意軟體)等。
這套SASE解決方案還結合思科2018年8月買下的Duo,得以使用非密碼型態的身分認證(Passwordless authentication),並且在連網與控制這兩個層面當中,強化遠端安全存取及零信任網路存取(ZTNA),同時Cisco SASE也納入可觀測性(Observability)類型產品,而其技術源頭是思科2020年8月買下的ThousandEyes。
對於思科而言,他們發展的SASE解決方案包含兩大部分,其中的SSE負責守護企業連線安全,並且在這個模式下,提供多種網路與內容安全,以及零信任網路存取(ZTNA)的功能。
初期他們提供基於DNS防護的雲端資安解決方案Umbrella來對應SSE,後續Umbrella擴充「網際網路安全閘道(SIG)」層面的功能,當中涵蓋網頁安全閘道(SWG)、雲端防火牆(FWaaS)、雲端存取安全代理(CASB)、資料外洩預防(DLP),到了現在,增添基於App Connector的零信任網路存取、零信任存取中繼(ZTA Relay),從而進化成最新推出的Cisco Secure Acess來統籌所有的功能。
到了2023年6月舉行的年度用戶大會,思科立足於原本的SASE解決方案,發表新的安全服務邊緣(SSE)解決方案,名為Cisco Secure Access,提供單一平臺、可橫跨任何地點、裝置、應用程式的安全存取,7月開始限量供應,預計10月正式上線,
而在2024年1月,思科舉行Cisco Secure Access活動臺北場,也等於宣告這套解決方案進入臺灣市場。
思科強調,這套SSE系統具有三大特色。首先,提供通用的存取體驗,使用者可透過統一、簡單的作法,即可存取所有應用程式與資源,而且能在不需人為介入協助的狀態下,以聰明、安全的方式引導連至企業內部環境或公開網路的流量。
第二,提供單一、位於雲端服務的管理主控臺,思科SSE將多種功能合而為一,成為容易使用、而且能保護所有網路流量的解決方案,藉此簡化資安維運的工作。系統管理者、資安分析人員只需要從一個網站入口就能看到所有流量、設定全部政策,以及分析各種資安風險,而不需管理一大堆工具,能使IT環境的作業效率提升、成本降低,而且不失使用彈性。
對於思科而言,他們發展的SASE解決方案包含兩大部分,其中的SSE負責守護企業連線安全,並且在這個模式下,提供多種網路與內容安全,以及零信任網路存取(ZTNA)的功能。
思科安全服務邊緣解決方案包含4大功能:網頁安全閘道、雲端存取安全代理、零信任網路存取,以及防火牆即服務,再加上多種延伸的內容與網路保護功
能,像是資料外洩預防、DNS安全、沙箱檢測、遠端瀏覽器隔離,以及網路威脅情報服務,也能搭配思科SD-WAN、XDR、數位體驗監控系統、多因素驗
證身分管理系統。
第三,加快偵測與應變速度,此套解決方案提供分析功能,可提升調查事故的能力,而且幕後有思科Talos網路威脅情報服務幫忙,能夠偵測與阻擋更多惡意行為與駭客攻擊。
圖中是Cisco Secure Access的完整架構,從中可看到列管端點、非列管端點,以及企業內部環境的使用者與設備連至網際網路、公有雲或私有雲,以及資料中心或分支辦公室的流量,如何經過這套解決方案提供加密通道連線存取,以及網路、內容資安防護功能進行處理,下圖是細部政策處理流程,可看出針對不同類型的遠端存取流量,這套解決方案提供對應的步驟與流量。
值得注意的是,思科為了這個解決方案,也和行動裝置廠商共同發展兼具安全性與使用體驗的遠端工作存取方式。例如,他們目前已經與蘋果公司合作,將Cisco Secure Access提供的零信任存取功能併入iOS與macOS作業系統,提供原生操作體驗,促使安全存取應用程式能夠普及,而且能簡化IT人員的相關管理工作,也能提升每個使用者的保護力。
除了多種功能的整合、強化,以及端點裝置的原生支援,就服務層面而言,Cisco Secure Access本身也是Cisco Security Cloud資安雲平臺的一環,可延伸運用思科其他資安與網路產品,同時能整合第三方廠商的解決方案。
這套SSE系統底層的IT基礎架構也相當特別,思科表示,當中採用了混合型態的網路服務供應點(POP),由思科本身設置的多個資料中心與公有雲業者的環境來擔綱,可快速延伸至全球各個地區,以便就近服務用戶。
提供多種資安防護功能
對比市場上既有的SASE/SSE解決方案,Cisco Secure Access最大的差異在於,思科強調,可提供最有彈性的ZTNA存取方式,當中結合VPN即服務(VPNaaS),以及基於個人端程式(client-based)與無個人端程式(clientless)的ZTNA管道,並且能夠支援任何應用系統、網路連接埠,以及通訊協定,涵蓋基於網際網路、SaaS雲端服務,以及組織內部等環境的應用系統,希望使用者能以最有效率、安全的方法登入IT系統,進而快速開始工作。
以提供安全的遠端存取而言,首先,在運作架構的設計上,傳統SASE解決方案,往往採用反向代理(reverse proxy),Cisco Secure Access採用更先進的零信任存取中繼(relay),可對企業與組織的資料處理與檢測點,提供更多控制方式,進而減少可遭受攻擊的面向,提升企業隱私防護,對於用戶而言,思科認為他們的解決方案可以更容易建立政策,無論特定流量透過路由交給雲端安全服務處理,或直送至網路邊緣端的安全設備。
此圖是Cisco Secure Access細部的政策處理流程,可看出不同類型的遠端存取流量,這套解決方案會提供對應的步驟與流量。
根據思科去年8月發布的產品技術規格簡介文件,Cisco Secure Access在ZTNA呈現的特色,主要是透過應用程式代理(Application proxy),在不需將應用程式暴露在網際網路的架構下,可提供透明、安全的遠端存取管道,也能隱藏個人端存取內部應用程式的網路傳輸細節,因此,可預防駭客透過IP網路的勘察、甚至侵入個人端裝置,而得知任何資訊。
Cisco Secure Access的另一個大賣點,是同時提供多元的資安防護功能,以及統一的系統管理儀表板,兼顧簡化的操作方式、高度工作效率,以及理想的使用成效。
目前,Cisco Secure Access提供的資安防護功能如下:
零信任網路存取
針對企業與組織IT環境或雲端服務環境的內部應用系統,可藉由ZTNA提供細緻、個別程式專屬的存取方式,用戶可透過預先定義的存取政策,落實最小權限的原則,並獲得具有前後脈絡的存取行為洞察分析,更加精細地限制不當的存取,而且能在使用者存取應用程式取得明確許可,無論位在何處,均可居中代理。思科此處提供的ZTNA有兩種存取方式:採用個人端程式(Cisco Secure Client),以及無個人端程式(亦即經由瀏覽器來提供存取),可進行基於SAML的身分認證,也能運用內建的身分識別提供者(IdP),以及實施基於應用程式的存取政策控管。
VPN即服務(VPNaaS)
將VPN提升至雲端服務的層次,因應ZTNA難以涵蓋全部的企業與組織內部應用程式,思科提供基於雲端型態的VPN即服務,可囊括遠端安全存取,以及針對非網頁類型的網際網路存取流量,可支援多種應用情境,像是分割加密通道與完整通道、點對點通訊、自帶憑證(BYO certificate)、分割DNS、動態分割DNS;而在身分認證的處理上,用戶可運用SAML、憑證、RADIUS、LDAP方式進行;關於便利一般使用者操作的方式上,思科在此提供持續經由VPN傳輸(always on VPN),以及登入前就啟動VPN;而在簡化IT維運管理方面,可運用本地IP資源共用池(Local IP Pool)、多重VPN設定。
網頁安全閘道器(SWG)
透過代理伺服器架構進行網頁流量的深層與細緻控管,涵蓋網址與內容過濾,以及進階的應用系統控制,針對選定的加密流量進行解密處理、政策強制實施。對於所有流經80埠與443埠的網頁流量,這項功能可以進行記錄與檢測,並運用IPsec加密通道、Proxy自動設定組態(PAC)檔案,以及代理伺服器鏈接(proxy chaining)等作法,將所有流量轉送至此進行處理,進而完整透視當中進行的連線行為,實施URL網址與應用程式層級的控管,以及進階的網路威脅防護,目前可運用的防護包括:網址的過濾、下載檔案的惡意軟體掃描、特定類型檔案的阻擋存取、針對部分連網應用程式的禁用、全部或選定的網路加密流量解密、通報完整的URL網址與網路身分識別,以及後面將會提到的沙箱檢測。
雲端存取安全代理(CASB)
提供雲端應用程式的探查、風險分數的評估、非法行為的阻擋、雲端惡意軟體的偵測,以及租戶的控制,藉此提供雲端應用程式偵測與通報能力,揭發員工的影子IT活動,以便更妥善管理雲端服務的採用、降低資安風險,以及限制或阻擋各種應用程式。
資料外洩預防(DLP)
思科在此提供超過190種的內容分析器,涵蓋GDPR、 PCI-DSS、HIPAA、PII、PHI等法規遵循的要求,用戶可定義違反資料外洩預防要求的政策,預防敏感資訊經由資安服務支援的各種應用系統不當傳遞,而造成洩漏。實作上,思科此處整合的DLP解決方案,透過網頁安全閘道Proxy即時線上分析,察覺是否有人正在外洩敏感資料,並搭配Restful API、提供頻外(out-of-band)監控能力,分析儲存在雲端服務的靜態資料,掌握與控管正在離開企業與組織的資料。
內用網路安全存取(Secure Private Access)
能保護所有企業與組織內部應用程式的存取,涵蓋使用其他通訊埠與協定的非標準化系統,以及透過多個通道、點對點連線傳輸的軟體程式,提供零信任網路存取與VPN即服務。
網際網路應用程式的安全存取(Secure Internet Access)
針對橫跨多種網路環境、分支辦公室,以及四處移動的使用者,在存取公開SaaS應用程式或其他類型雲端服務時,可藉此防護與管理相關的網際網路存取活動。
防火牆即服務(FWaaS)
提供網路第3層、第4層、第7層的防火牆監控機制,並且結合入侵防禦系統Snort 3的技術,而獲得特徵碼比對的網路威脅偵測能力,可透過網路流量的深層透視與控管,涵蓋多個通訊埠與協定的動向,防護範圍包含行動App、點對點檔案共享軟體、視訊線上會議軟體,以及任何非網頁或非DNS的網路流量,提升網路安全成效。
DNS層級的防護(DNS-layer security)
基於網域名稱服務(DNS)的解析與查詢,在連線建立之前,也就是尚未經由任何通訊埠或協定傳遞至企業內部網路環境或端點之前,即可阻擋使用者連至惡意或非必要的網址,對於連至惡意網站或不符合上網政策的存取活動,能予以攔截、限制,達到預防網路威脅的目的。
遠端瀏覽器隔離(Remote Browser Isolation,RBI)
將上網設備與存取網站的流量區隔開來,使用者無法直接觸及透過網頁瀏覽器散播的惡意威脅,能以更安全的方式存取具有風險的網站,進而保護企業與組織的資安。
惡意軟體安全分析與沙箱檢測
結合進階的沙箱檢測機制(sandboxing)與網路威脅情報服務,保護企業與組織免於惡意軟體的侵襲,用戶可完整存取Cisco Secure Malware Analytics(前身為2014年併購的ThreatGRID),而能在雜物箱(glovebox)開啟惡意檔案,追蹤檔案執行的動作,捕捉檔案產生的網路活動。
下一步擴大支援更多行動裝置的應用
在零信任網路存取的架構中,Cisco Secure Access採用的中繼架構,是基於兩種先進、高效率的通訊協定:QUIC(HTTP/3),以及架構在QUIC之上的MASQUE(Multiplexed Application Substrate over QUIC Encryption),而能支援所有的應用程式、通訊埠,以及協定,並在減少資源暴露在外的狀態下,仍能作到超細緻的零信任控制、雙向混淆(bi-directional obfuscation)、效能改善,全面防護內部應用程式的存取。
而在行動裝置的原生支援上,Cisco Secure Access先預告與展示蘋果iOS平臺的零信任存取,
去年12月提到三星Galaxy系列手機與平板也將提供這樣的安全機制,使用設備的人員就能經由Cisco Secure Access存取工作資源,而且套用零信任存取政策控管。
思科表示,上述行動裝置的零信任存取架構,運用MASQUE代理伺服器與QUIC協定,因此,能在保護企業IT資源的同時,也提供快速存取的便利性——使用內部應用程式需橫跨網際網路時,預防以未加密的狀態暴露在外,而且還能針對個別應用程式提供受到政策控管的存取方式,減少惡意威脅在內部網路橫向移動的風險。
除此之外,Cisco Secure Access也結合了VPN即服務,可透過單一安全個人端程式(Cisco Secure Client)的搭配使用,提供另一種安全連線方式,也能對所有應用程式進行身分與裝置安全狀態的檢查,無論使用者要存取網際網路、SaaS雲端服務,或是企業與組織的應用系統,均能以簡易、輕鬆的方式進行,只需登入就能開始工作。
強調便利性、安全性之餘,可用性的水準也是企業與組織評估是否長期採用的關鍵,對此思科也公開向大家承諾,Cisco Secure Access將提供99.999%(5個9)的服務等級協議(SLA)。
產品資訊
Cisco Secure Access
●原廠:Cisco
●建議售價:廠商未提供
●版本:Secure Access Essentials、Secure Access Advantage
●核心功能:零信任網路存取(ZTNA)、網站安全閘道(SWG)、雲端存取安全代理(CASB)、防火牆即服務(FWaaS)與入侵防禦系統(IPS)
●延伸功能:多重模式資料外洩防護(multimode DLP)、DNS安全防護、沙箱檢測、遠端瀏覽器隔離(RBI)、網路威脅情報服務、數位體驗監控分析(DEM insights)
●零信任存取類型:網際網路安全存取(Secure Internet Access)、私有網路安全存取(Secure Private Access)
●選購解決方案:SD-WAN、XDR、Duo MFA/SSO、CSPM
【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】
熱門新聞
2024-07-02
2024-07-01
2024-07-01
