涵蓋內部系統、外部網站、AI服務，趨勢打造單一遠端安全存取

經歷長達3年COVID-19疫情，企業與組織為了維持日常正常運作，大舉開放在家辦公（WfH）與任何地方辦公（WfA），帶動全球的安全存取服務邊緣（SASE）需求，而在SASE這類型應用當中，特別著重在資安防護方面的解決方案，稱為安全服務邊緣（SSE），目前市面上已有多個廠牌可提供這樣的產品，例如，先前我們曾陸續介紹的Zscaler Private Access與Zscaler Internet Access、Citrix Secure Internet Access，以及Cisco Secure Access。

而在今年5月中舉行的2024臺灣資安大會期間，我們看到趨勢科技也正式向大家展示他們的SSE，名為Trend Vision One Zero Trust Secure Access（ZTSA），這項解決方案最初是在2022年7月推出，本身是由ZTSA Internet Access和ZTSA Private Access組成，能夠針對企業與組織內部的應用系統，以及位於雲端服務的應用系統，提供安全存取的方式，可涵蓋任何使用者、裝置、地點，以及時間。

換言之，導入這套解決方案，可確保只有通過身分驗證的使用者、遵循資安政策的設備，才能在指定的地理位置與時間，存取事先經過授權的應用系統與網路連線資源，而為了避免因為身處同一個網路環境與地理位置，而產生過度信任的問題，趨勢科技提供多種功能與技術，像是具備裝置感知，以及基於身分而成、有資安政策支撐的存取控制。

基本上，當企業與組織面對位於公開網路及組織內部環境的應用系統存取活動時，ZTSA能協助建立具有適應力、可自動決策判斷的機制，以便透過緩解、偵測、應變等作法，減少上述兩種環境的網路存取風險，就產品本身的定位而言，ZTSA是趨勢資安威脅與風險管理平臺Trend Vision One的一環，這當中也整合攻擊面風險管理系統（ASRM），以及延伸式威脅偵測與應變系統（XDR）。

關於資安防護技術的運用，ZTSA不僅具備如同產品名稱強調的零信任網路存取，同時結合趨勢科技長期發展的網頁安全閘道（SWG）、雲端存取安全代理（CASB），並且能夠根據Vision One平臺Attack Surface Risk Management（ASRM）解決方案的Risk Insights，提供基於風險的動態存取控管能力，也整合Vision One平臺XDR提供進階威脅偵測能力，以及Vision One平臺的單一代理程式，拓展多元的資安防護應用。

趨勢科技Vision One平臺推出Zero Trust Secure Access，針對組織內部環境與網際網路環境的使用者存取，可根據裝置資安風險程度限制是否能存取企業應用系統與外部網站、雲端服務，並且套用網頁安全閘道（SWG）與雲端存取安全代理（CASB），實施上網行為控管，降低網路存取風險。

整體而言，Trend Vision One ZTSA透過單一平臺，同時防護終端使用者與連網裝置的各種應用程式存取，可廣泛涵蓋網路、網站、雲端服務，以及企業與組織內部系統。

可在PC與行動裝置加裝代理程式，或透過瀏覽器安全存取

從終端使用者存取應用系統的方式而言，ZTSA提供兩種管道，一是基於代理程式而成（Agent-based），連網裝置須安裝Secure Access Module，可用於Windows、macOS、Android、iOS等四大作業系統，並且支援多種通訊協定，包含網頁與檔案傳輸協定，如HTTP、HTTPS、FTP、FTPS、SFTP，遠端登入相關的協定，如RDP、SSH、TELNET、VNC，以及TCP、UDP，趨勢稱為Client access。值得注意的是，關於ZTSA行動裝置作業系統的代理程式部署，主要是透過整合的行動裝置管理雲端服務來進行，目前可支援Microsoft Intune、Google Workspace。

另一是不需代理程式（Agentless）、透過瀏覽器存取趨勢提供的專屬網站入口，趨勢稱為Browser access。兩者都能經由Trend Vision One平臺進行轉接（Cloud Relay），之後連入建置在企業內部網路環境的內部連接伺服器（趨勢稱為網際網路存取閘道Internet Access On-Premises Gateway），接著存取設置在此環境的內部應用系統。

遠端存取防護範圍涵蓋企業管理的內部網路，以及公開的網際網路

就員工所要存取應用系統的所在IT環境而言，ZTSA也同時提供兩種解決方案，一是上述針對設置在企業內部網路的應用系統，趨勢稱為Private Access，對於終端使用者而言，可經由安裝Secure Access Module的連網裝置，或是趨勢提供的專屬網站入口存取這些系統，企業最多可設置2千條存取控管政策，每一條規則能涵蓋90個使用者群組、40個地點、40個內部應用系統。

另一是針對設置在企業外部的網站與AI服務存取，趨勢稱為Internet Access與AI Service Access，企業最多可設置1百條存取控管政策，終端使用者同樣可經由安裝Secure Access Module的連網裝置，對於透過瀏覽器存取的方式，需搭配代理伺服器的網路流量轉送機制——在Trend Vision One管理主控臺的ZTSA的Internet Access and AI Service Access組態，建立代理伺服器自動設定組態（PAC）檔案，然後手動部署至個人端電腦的瀏覽器，或是鏈結多臺代理伺服器（Proxy chaining）等方式，以便將原本端點電腦的網頁存取流量轉送至Internet Access閘道，從而能強制實施網際網路存取控管政策。

值得注意的是，無論使用Private Access，或是Internet Access與AI Service Access，趨勢Vision One ZTSA針對使用者帳戶或連網設備均可實施存取控管，禁止高風險或惡意上網行為。舉例來說，就Private Access與Internet Access的控管規則設置而言，企業可定義來源（使用者、設備、所在位置）、目標（內部應用系統）／流量（URL網頁或雲端服務應用程式）、執行期間、動作（允許、阻擋、監視／允許、阻擋、監視、警示、租戶限制、威脅防護、資料外洩預防）等項目。

而且，這套解決方案也整合多種常見的身分存取與管理系統，例如Active Directory、OpenLDAP、Microsoft Entra ID、Google Cloud Identity、Okta，能夠找出可能危害企業資安防護完整性、暴露在網路威脅之下的使用者與設備，協助企業及早採取手動或自動緩解機制，例如，若得知用戶帳密資訊被公布在暗網，即可進行帳號停用，或是針對已知漏洞進行盤點而發現具有資安弱點的資訊設備，能對其進行上網隔離。

企業能定義連網設備組態安全性條件，作為是否批准存取的依據

企業遠端存取所要防護的對象，其實是涵蓋雙重面向，不僅需注意存取的目標端應用系統與線上服務，作為來源端的連網設備，本身的組態設定也必須達到足夠的安全性要求，Vision One ZTSA透過Device Posture Profile來進行控制（最多可設置1千組），而且能適用於Private Access、Internet Access。

以Windows與macOS這兩種作業系統的電腦資安態勢剖析而言，企業可在這個項目下面，逐一勾選多種需要檢查的組態，包含：作業系統版本，憑證儲存（電腦存放公司申請的CA憑證、個人端電腦通過公司CA憑證的簽署、硬碟特定資料夾存放指定檔案），弱點評估（僅限Windows）、防毒軟體、EDR軟體、桌面鎖定、硬碟加密的啟用，加入網域，以及連接的網路需啟用防火牆。

在受到Vision One ZTSA的保護下，若使用者透過無法滿足企業安全性要求的連網設備，進行重要系統與服務的存取，像是登入AWS公有雲服務的管理主控臺、經由Git應用程式進行程式碼專案複製與掛載網頁空間，就會出現阻擋的警示，顯示此帳號使用者具有高度資安風險。

而對於使用者所要存取的檔案類型與名稱、URL網址，以及搭配的網站信譽、資料外洩預防等防護規則，企業也可以進行細部設定。

新增AI服務存取控制，可預防敏感資料外洩、提示注入等AI濫用風險

在5月初召開的全球資安盛會RSA Conference 2024，趨勢科技宣布ZTSA將推出新功能，希望能夠針對存取公共或組織內部生成式AI服務的人員，提供保護，預計達成4個目標，包含：對於員工存取與使用AI應用系統的活動，提供集中管理功能；針對員工輸入的AI提問內容進行檢測，預防資料外洩與惡意注入內容的攻擊行為；提供上網內容過濾機制，以符合法規遵循的要求；對抗濫用大型語言模型而產生的網路攻擊活動，具備抵禦這類威脅的能力。

6月初台北國際電腦展期間，趨勢科技首度在臺公開介紹與說明上述新功能，6月中他們揭露Vision One ZTSA新增AI Service Access，可針對企業使用者操作多種AI服務的功能時，預防資料外洩、提示注入（prompt injection），提供集中控管整個組織安全存取公有AI服務的方式，以及在此領域的進階內容過濾，確保使用者遵循相關政策的要求，並且預防惡意回應影響企業環境。

AI伺服器與AI個人電腦是今年台北國際電腦展的熱門議題，趨勢科技在這項活動期間特別向全球與會者介紹旗下的零信任安全存取解決方案，因為當中即將推出的AI Service Access可預防相關的資安風險與威脅。

以AI Service Access的控管規則而言，企業可制定目標（使用者、設備、所在位置）、流量（AI服務）、執行期間、動作（允許、阻擋）。在AI服務流量的控管上，Vision One ZTSA可選定所有或特定AI服務，但若要進行進階的生成式AI內容過濾，目前趨勢這套資安解決方案可針對4種AI服務進行內容檢測（content inspection），包含：ChatGPT、Google Gemini、Microsoft Copilot、Microsoft Copilot for Microsoft 365。

若企業決定允許員工使用這些服務，在Vision One ZTSA當中，可針對個別AI服務設定提示與回應的參數。以提示輸入的管制而言，可監控或阻擋3種行為，包含：檔案上傳、敏感資料外洩（使用者對AI輸入提示時，提及敏感資料），以及提示注入（對AI輸入惡意指令，使其散播惡意軟體、竊取敏感資料或非法操控整個系統）。

對於回應的管制，Vision One ZTSA可監控或阻擋不當內容（依據AI內容檢測規則而認定的不適合企業存取資料），以及帶有惡意網址的AI回答。

產品資訊

Trend Vision One Zero Trust Secure Access
●原廠：趨勢科技
●建議售價：廠商未提供
●存取控管服務類型：Private Access、Internet Access與AI Service Access
●終端使用者存取方式：電腦或行動裝置加裝Secure Access Module（Client access）、瀏覽器（Browser access）
●Private Access部署需求：在雲端與內部基礎架構安裝Private Access Connector，在終端使用者連網裝置安裝Secure Access Module或設定使用者網站入口
●Internet Access與AI Service Access部署需求：在終端使用者連網裝置安裝Secure Access Module或設定代理自動組態（PAC）檔案，將終端使用者連網裝置導引至Internet Access On-Premises Gateway
●Secure Access Module支援作業系統：Windows（8至11、Server 2016至2022）、macOS（10.15以後版本）、Android（7.0以後版本）、iOS（11以後版本）
●Private Access Connector支援環境：VMware ESXi（6.0至7.0）、微軟Hyper-V、Azure、AWS、GCP，部署虛擬應用設備（2顆虛擬處理器、4GB記憶體、50GB硬碟空間）
●Internet Access On-Premises Gateway支援環境：VMware ESXi
●支援身分與存取管理系統：雲端服務支援Entra ID、Okta、Google Cloud Identity，內部建置系統支援Active Directory、OpenLDAP

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商】