截至本文撰寫的今日,距 COVID-19 的爆發已有將近一年的時間,但在每天都還是有新增病例的情況下,疫情結束之日似乎仍遙遙無期。當無法在短期內回歸日常,遠端工作也因此成為許多企業的新常態。 現代化工作環境不再局限於單一工作地點,而是可以在辦公室、家中甚至在上班途中。 隨著遠端工作帶來的好處與可移動性,從公司外部網路進行連接也產生了對應的資安風險,尤其是在涉及敏感和機密數據時。 根據互聯網協會線上信任聯盟(Online Trust Alliance, OTA)發布的《 2018網路攻擊事件和資料外洩趨勢報告》,在 2018 年全球發生超過 200 萬起網路攻擊事件,整體財務損失高達 450 億美元,其中95%的攻擊可以避免或緩解。 攻擊的主要類別包括勒索軟體、惡意釣魚郵件、雲端環境配置錯誤等, 隨著一些知名的勒索軟體(如 WannaCry)和安全性漏洞造成數百萬美元的損失成為熱門頭條新聞,這不難看到遠端安全存取對於企業的價值。
什麼是遠端安全存取
在說明其重要性之前,什麼是遠端安全存取? 遠端安全存取是一個總稱,泛指任何保護內部網路免於遭受未經授權的遠端存取的網路安全策略。 舉例來說,最可靠的遠端安全存取策略可能是VPN (虛擬專用網路,Virtual Private Networks),大多數大型企業都要求其員工使用VPN,以便他們需要從外部遠端連接到公司內部網絡。 通常,安全系統需要變動部分的越少,則系統越安全。 其中一個就是零信任安全模型 (Zero Rrust) ,在這個框架下只有經過身份驗證和授權的使用者與設備才能以最少的用戶輸入訪問專用網路應用程式和數據。 由於 COVID-19 的爆發,企業要求員工採取遠距工作,而員工通常使用自己的設備(筆記型電腦、手機),因此老舊安全策略已經不再能夠滿足當前工作場所需求,遠端安全存取成了所有系統的重要組成部分。
不同類型的遠端安全存取模型
市場上有許多不同類型的遠端安全存取模型,各有其優點,下面是一些範例:
零信任安全模型
在任何安全系統中,使用者始終是系統中最容易遭受攻擊的部分。 那如果將系統建立在永遠不信任使用者並始終驗證使用者的基礎上呢? 顧名思義,零信任安全模型是一種消除系統信任的安全系統, 由 5 個環節組成,其中每個環節都保護系統的不同層面:
行動裝置管理或端點管理
隨著企業要求員工使用自己的設備進行遠距工作,甚至要求攜帶自己的設備至公司工作,遭盜用的設備使受保護的系統容易受到外部攻擊者的攻擊,即使系統本身沒有異常。 透過端點管理,設備將必須遵守一組特定的安全策略才能被允許連接到網絡。
單一登入 (Single Sign-On, SSO)
單一登入是一種身份驗證方法,透過集中的驗證系統讓使用者能以一組認證單次登入並存取多個應用程式或系統。 其中一個日常範例便是 Google 帳戶,使用者僅需一個帳戶即可訪問 YouTube、Gmail 以及其他 Google 應用程式的服務。
雲端存取安全代理 (Cloud Access Security Broker, CASB)
雲端存取安全代理程式是部署在使用者和系統之間的中介服務,用於執行安全策略並針對使用者的身分、裝置、位置與存取資料等進行監控與記錄。 CASB 主要功能分為四個層面:能見度、數據安全、威脅防護與合規性。
雲端安全與合規性
合規性是任何安全策略的基石 若沒有合規性和需強制執行的規則,企業將無法有效控制系統的安全性。
日誌分析
只要正確記錄了事件,任何異常(包括錯誤和異常活動)都可以在日誌中進行分析和追蹤, 是一個簡單但有效的策略。
零信任安全模型這個主題在未來值得用一篇專門的網誌文章介紹。
虛擬私人網路 (Virtual Private Network, VPN)
虛擬私人網路,顧名思義,是在網際網路上擴展專門網路以確保能夠安全傳輸機密資料,提升安全性。 如今,隨著人們越來越關注其線上的隱私,VPN 成為普遍的網路安全方案。 VPN 有很多類型, 但是今天我們主要關注 SSL / TLS VPN 和 IPSec VPN,並專注於日常辦公室使用方面的差異:
SSL/TLS VPN
SSL/TLS 是內建在每個現代化網頁瀏覽器的身份驗證和授權協議。 SSL/TLS VPN 透過 VPN 加密瀏覽器以及網路的傳輸,意指瀏覽器與網站會使用加密技術傳遞資料。 對客戶而言,它們通常更容易設置,因為它僅需要瀏覽器即可運行。
IPSec VPN
如果 VPN 利用軟體將客戶端連接到網絡,則可能是使用 IPSec VPN。與 SSL / TLS VPN 不同,IPSec VPN 是將客戶端連接到整個網絡,而不僅是特定的應用程式和/或服務。 這也是某些 VPN 客戶需要完全加密其與網路的連接時選擇專門的軟體而不是瀏覽器插件的原因。
如上述描述,沒有一種類型的 VPN 的安全性比較高,因此考慮使用情境以及如何配置 VPN 以適應其企業的需求更為重要。
單一登入 (Single sign-on, SSO)
這裡指的是一次性地執行單一登入 (SSO), SSO 能允許客戶端使用一組認證存取每個選定的服務。 請考慮以下情境:您正在使用 Gmail,但是每次要使用其他 Google 服務時(例如 Youtube)都必須分別輸入認證。 煩人,甚至可能引起怒火! 單一登入是網際網路上鮮為人知的英雄之一,不僅因為其提升了生活質量,而且還帶來了安全性好處。
結論
先聲明,這些解決方案並不是全部的遠端安全解決方案。 但無論多麼強大,任何安全系統中最薄弱的環節始終是人。 安全策略通常不是涵蓋系統各個方面的單一產品,而是它們的組合。 大多數人沒有意識到的是,一個強大的安全系統在正常工作模式時大部分是無形的,然而當你感受到他開始運作時,便會讓人感到惱火(因為正遭受攻擊)。
Credit: (https://xkcd.com/2176/)
事實上,無論哪種情況,安全系統都可以幫助減輕和減少人為因素造成的錯誤,但不會永遠消除它們。 將強大的安全系統與擴充的網路安全培訓計劃相輔相成才是完整網路安全策略的正確方法。
準備好與我們展開數位轉型了嗎?
您準備好採取行動了嗎? 思想科技 Master Concept 是 2020 年「Google Cloud 年度最佳專業合作夥伴」的獲獎者,並且是長期的Google Cloud 菁英合作夥伴。 我們為客戶提供量身定制的一站式工作模式轉型解決方案。 在全球多個主要城市皆設有辦公室,能為您的企業提供本地且客製化的解決方案。 .
透過整合 Google Cloud 解決方案,我們不僅成功地協助亞太地區 300 多間不同規模的公司轉變業務模式,而且還是亞洲前 3 名的 Google Cloud 合作夥伴和世界排名前 20 的 Google Cloud 合作夥伴,在與世界上最好的系統整合競爭者裡脫穎而出,並贏得了多個富有聲望的獎項。
