[Forcepoint / 网管人报导] Forcepoint 依SASE框架打造云端原生平台　控管分散办公衍生新风险

动态边缘防护以人为本　安全与生产力兼顾

2021.04.09 作者 网管人 洪羿涟

在COVID-19疫情大流行下，远距办公已成为新常态工作模式，为了确保安全性，本土企业也开始关注信息安全界盛行的安全存取服务边缘（SASE）落实方法。

近几年加速发展云端解决方案的Forcepoint，基于擅长的资料外泄防护（DLP）、网页安全技术，崭新提出动态边缘防护（Dynamic Edge Protection，DEP）云端原生平台，正可让远端工作者基于零信任原则存取机敏资料。

Forcepoint DEP服务采取以「人」为本的设计架构，包含Cloud Security Gateway与Private Access两大服务项目，提供网页内容检查、URL过滤、入侵侦测防护、资料外泄防护、避免影子IT的控管机制，以及零信任网路存取（ZTNA）服务，让员工得以在任何地方皆可藉由网页登入验证，搭配使用者行为分析（UBA）技术，可根据员工操作行为的风险值，动态地调适控管策略，平衡安全性与生产力之间的拉锯。

Forcepoint北亚区网路安全专家洪肇隆

Private Access服务确保远距办公安全

在COVID-19爆发后，Forcepoint北亚区网路安全专家洪肇隆观察，企业对于数位化应用更加积极，除藉由立即可用的云端服务让各部门员工在异地办公，同时亦开放员工以VPN连线安全通道登入内网存取资源，但是对于使用者操作行为却无从掌握。
Forcepoint Private Access服务即可解决可视化不足的问题，远端工作者可藉由单一网页登入方式，依据角色套用最小权限存取内部网路的应用系统，同时藉此记录与分析操作行为以降低潜在信息安全风险。

洪肇隆进一步说明，台湾传统产业可能无法如同外商，无限期地开放远距办公，对于员工区分为A、B班的工作模式接受度较高，通常在家上班的员工大多透过VPN连线回到公司内部存取应用系统，但实际上VPN连线的潜在风险高，才使得SASE与ZTNA受到青睐。
Private Access服务透过网页登入进行身份辨识与权限配置、机敏资料存取条件规则配置，亦可动态分析风险值，正符合台湾企业IT控管远距办公的需求。

至于针对内部应用系统迁移上云或改用SaaS的安全性，这部分本土需求则尚未明显增长，尤其是台湾疫情控制得宜，相较于国际市场的脚步较慢。不过，当企业营运模式欲藉由新兴信息技术提升竞争力，企业IT势必将演变成为混合云架构。此时即可基于Forcepoint NGFW防御机制，整合SD-WAN、网页安全与部署在云端的次世代防火墙即服务（FWaaS），让混合云应用架构逐步运用SASE框架建构保护措施。

拥抱云端同时亦持续发展地端技术

Forcepoint自2016年并购Stonesoft取得NGFW技术至今不断持续发展，强项是单一控管平台与丛集环境预设即为Active/Active。洪肇隆说明，以多数企业实际部署案例来看，通常两台设备配置方式主要为Active/Standby，然而Forcepoint预设即可为Active/Active，可有效提升效能，而且可以叠加扩充设备数量，Scale-out到16台。即使在设备汰换时，亦可支援不同软体版本设计的型号，丛集环境中的设备可先撤除一台进行汰换，让设备与软体版本升级，无须中断服务即可达成。

实际上，Forcepoint NGFW丛集技术之所以较为独特，源自于Stonesoft在20年前成立初期设计的StoneBeat FullCluster技术，当时为Check Point开放式平台（OPSEC）技术之一，之后Stonesoft才自主研发NGFW、VPN等产品，开始在市场推出，直到2013年先被McAfee收购，2016年再转售给Forcepoint，底层的丛集技术持续发展至今成为一大优势。

「目前全球采用Forcepoint NGFW的客户，大多是看重可部署为Active/Active的高可用度。此外，统一控管平台亦为优势之一，预设最多可控管2,000台实体、虚拟或云端NGFW，我们全球最大的饭店集团客户，就是采用单一平台控管全球近1,900套设备，即便是远距办公的IT人员，亦可藉由部署在云端平台上的统一平台掌握总部与跨国据点安全状态。」洪肇隆说。如今NGFW已纳入SD-WAN技术，Forcepoint发展的核心目的并非为了让不同资料中心传输可侦测最佳电路提高递送品质，而是整合防火墙与广域网路加速器，让流量得以导向DEP平台确保安全性。

浏览器隔离技术让用户安心上网

身为技术供应商，Forcepoint为了贴近企业应用需求，朝向云端服务发展已是必然的趋势。只是既有地端技术改以云端服务来提供，实作方法大不相同，例如云端运算底层架构无法让NGFW建置丛集架构，得仰赖云端平台设计的负载平衡机制来实作。洪肇隆不讳言，实际上公有云的底层资源已经整合完成，不仅为虚拟化技术的整合，新兴的微服务架构皆采容器运行环境，若把地端方案照搬上云，原有的优势未必得以发挥。

因此，近年来Forcepoint以资料外泄防护为核心，全新打造了DEP云端原生平台，微服务架构中已整合旗下Web Proxy、CASB、ZTNA、NGFW、IPS、沙箱、浏览器隔离技术（Remote Browser Isolation，RBI）等技术。特别是针对使用者的浏览网际网路行为，经常会误触钓鱼网站或下载夹带攻击程式的文件，而遭受勒索软体感染，对此，Forcepoint基于擅长的网页安全方案延伸提供浏览器隔离技术，可代理用户端浏览外部网站，运用档案清洗技术过滤掉可发动零时差攻击的程式，再递送回到用户端浏览器呈现，如此既不影响用户端操作体验同时保障安全性。此外，将用户端连线请求先导向云端代理平台，再递送到外部网站，还可藉由解析封包来避免机敏资料外流。

在远距办公成为主流之后，为了确保人与设备的安全性，势必得在家用电脑、笔电、手机上安装代理程式，把传输流量导向云端平台进行检查。洪肇隆认为，相较于十年前探讨的自携装置（BYOD）应用模式，诉求是运用私人装置执行公务，公司介入控管反而导致员工反弹影响生产力，如今的远距办公新模式，主要是由公司配发笔电或手机，已可合理地安装代理程式控管作业系统环境与使用者操作行为。他强调，从公司治理的层面来看，不应把信息安全责任交给员工，基于公司配发的装置设定管控，搭配SASE建构的云端平台防护措施，藉此才可有效降低远距办公工作模式衍生新的信息安全风险。

原文连结：https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/A71E7E36D37F4E28A04C8F75236584E0