最新消息
[Forcepoint/网管人文章分享] 云原生统合异质技术 建构无处不在资料防护
著眼于企业数位化过程中逐渐增加云端服务的采用数量,Forcepoint近期发布基于云端平台建构的Forcepoint ONE安全服务边缘(Security Service Edge,SSE),整合旗下跨领域的信息安全技术,以降低企业IT管理办公室与远端工作者的信息安全风险,让使用户得以在安全可控的环境中接取网路、云端、公司内部应用系统,防范机敏资料因人为疏失导致外流。
Forcepoint北亚区技术总监庄添发观察,COVID-19疫情使得工作型态变成混合办公,也改变了资料安全的态势。过去企业在闸道端建置的防护措施,开放所有员工透过VPN连线回到公司内网,存取行为经过审查后预设为信任,便可取用地端与云端的服务。但随著办公模式的改变驱动云端服务采用数量增加,网页安全、邮件安全、入侵侦测系统、防火墙等既有地端必备的信息安全建置,也必须逐渐转向采用云端服务来提供防护。如此,员工存取内部应用系统无须仰赖VPN传输,可透过Internet连线取用先接取到云端边缘的Forcepoint ONE,落实零信任控管原则,依据角色授权开放可存取的内部应用系统或SaaS,藉此增进资料管理与保护措施能力。若为公司难以强制要求安装代理程式的员工私人装置,发起存取云端服务时,则必须通过多因素验证身份,才得以取得档案权限,透过OneDrive、Google Drive等云端储存空间来进行资料交换。
统一平台制定一致性控管政策
以往地端导入部署的资料外泄防护(Data Loss Prevention,DLP)措施,切入点主要为控管邮件与网页对外沟通管道,至于端点,多数仅针对差旅需求的员工笔电才安装代理程式,以确保离线状态下资料仍可具备防护力。
庄添发指出,现代工作者皆仰赖行动装置执行资料存取,再加上云端应用模式已成为显学,保护措施也得扩展与延伸。许多资料最初被存放到云端硬碟时,通常是为了提高工作效率,并未全盘考量安全性,IT部门仅能呼吁同仁遵守资料管理办法,缺乏技术上的强制力,也无法厘清员工存放在云端储存空间的档案内容的机密等级。对此,新发布的Forcepoint ONE则可基于AWS云端平台整合云端存取安全代理(CASB)、安全网页闸道(SWG)、零信任网路存取(ZTNA)技术建构安全服务边缘,IT或资安人员能透过单一控管平台与代理程式,增进资料存取行为的可视性,并且强制套用一致性控管政策,同时在事件被触发当下可立即运用控管平台执行回应。
有别于网路安全、邮件安全、端点防护内建的整合式资料外泄防护,Forcepoint设计研发的企业型解决方案更贴近各式企业应用场景需求。庄添发举例,某家香港客户的IT部门在邮件系统、上网行为管理、防毒引擎皆启用资料外泄防护功能,希望根据不同管道客制化防护措施,实际运行后却发现,不一致的控管政策不仅经常造成冲突,且用户同时触发异质厂商的技术产生的日志记录,即使蒐集汇整,也难以准确关联事件厘清来龙去脉。改以单一平台建立一致性控管政策,更有助于达到企业对于信息安全风险控管的目的。
整合跨领域技术打造安全边缘
传统地端导入部署的信息安全基础架构,评估思维是分别选用各该领域最多企业采购的设备方案,再交由系统整合商依据工作流程需求设定配置。演进到云端化时代,则是仰仗云端服务供应商彼此之间建立协同合作机制,或藉由开放API自行介接整合运行,庄添发说明,因此为了降低现代化混合云应用环境的信息安全风险管理负担,由单一厂商提供整套安全防护已逐渐成为市场趋势。
Forcepoint理念是提供给客户完整的安全边缘,具备企业营运所需的信息安全防护机制,范畴涵盖云端存取安全代理(CASB)、网页安全闸道(SWG)、远端浏览器隔离(RBI)、防火墙即服务(FWaaS)、资料外泄防护,再加上去年(2021)接连收购Bitglass取得零信任网路存取(ZTNA),以及Deep Secure取得内容威胁解除与重组(CDR)技术,过去每个领域皆有专精供应商的技术,Forcepoint基于云端平台建构安全边缘则可全数提供,或是选用地端部署的解决方案。如此一来,才可更贴近应用情境制定资料管理流程与信息安全事件回应。
庄添发强调,Forcepoint ONE平台内建控管规则,累计至今已超过一千多笔规则范本,由专家团队负责调整与维运,让企业只要按照产业、地区的法规规范如GDPR等,在操作介面上勾选套用后即可建立资料保护措施。当资料外泄防护侦测到用户开始执行上传档案动作时,可先行判断资料内容具机敏性则予以禁止。若本就存放在云端储存空间的档案,当用户点选分享连结功能时,则立即触发扫描。执行下载动作同样必须通过检测,可避免用户不经意地把机敏资料转存外流。
量化高风险行径防范信息安全事故
针对存取机敏资料的行为,Forcepoint ONE平台具备动态用户保护(Dynamic User Protection)机制,持续地掌握存取者与资料互动方式,计算风险分数,并根据标示为高风险的行为指标,动态地调整控管政策,进而预防资料遭窃取,甚至可进一步挖掘行为意图。
其以人为中心的资料管理模式,有助于在事件发生前先行拦阻,降低企业营运风险,同时也减少IT或资安人员回应信息安全告警通知的负担。过去依据管理办法在工作流程中建立政策的防护模式,无法判定用户行为当下的意图,难以实际量化风险程度,只能一律先阻断存取行为,恐因误报影响生产力。Forcepoint ONE的动态用户保护机制则增进了用户行为能见度,且是以风险评分方式精准地指出高风险者,可具体提出封锁因素与证据,以免酿成资料外泄事件。
Forcepoint北亚区技术总监庄添发建议,预算有限的企业可先行针对风险性最高的管道导入部署方案,再逐渐扩充到企业内部与外部所有存取管道,以单一平台建立一致性控管政策,让资料外泄防护能力无处不在。
伴随企业应用场景的转变,企业型资料外泄防护解决方案亦持续发展,不采取整合式架构才能便于强制套用一致性控管政策,让资料存取行为更具可视性,并且在高风险事件被触发当下立即回应。庄添发建议,预算有限的企业可先行针对风险性最高的管道导入部署方案,再逐渐扩充到企业内部与外部所有存取管道,让资料外泄防护能力无处不在。
