2024-11-06
[网管人文章分享] Forcepoint 资料安全无所不在 把关数位应用场景存取风险
著眼于人工智慧(AI)和云端应用的普及,为企业带来了效率和创新的同时,也增加了资料外泄和合规风险。Forcepoint基于资料外泄防护(DLP)核心技术建构的SASE(安全存取服务边缘)平台,可延伸DLP控管政策至云端应用、网页浏览及电子邮件等多种工作流程之中,使企业能够将其资料防护策略无缝地实施在所有沟通管道,让整个资料生命周期得以套用一致性的保护措施,有助于IT管理者掌握风险态势与及时回应异常活动,并且藉此符合法规遵循要求。
Forcepoint北亚区技术总监庄添发指出,在当前信息安全领域中,SASE平台已成为企业保护资料和网路安全的重要框架。对此,Forcepoint认为资料安全保护应该是SASE的核心原则,并将此发展理念称为「Data-first SASE」。透过SD-WAN与Forcepoint ONE整合,提供集中化的可视性与控制能力,以确保无论机敏资料储存在何处,即便是未受管理的无代理设备也能安全地进行存取。
资料保护为优先延展至云端
在SASE框架中,关键的DLP、网页安全闸道(SWG)、云端存取安全代理(CASB)、零信任网路存取(ZTNA),皆属于SSE(安全服务边缘)的范畴。而SSE技术的需求愈来愈重要,原因在于企业对云端应用的广泛采用。这些应用存在于云端环境中,因此需要专门的SSE云端服务来保障这些应用的安全性。
庄添发说明,以往的资料防护方式主要集中在公司内部,透过桌上型电脑、笔记型电脑,以及网页闸道器和电子邮件的DLP机制来进行资料安全控管。然而,现代企业的应用场景已大幅变化,随著云端应用的增多,传统的DLP机制也必须延伸至SSE环境,确保所有资料的安全防护策略都能在新的云端环境工作流程中运行。这样一来,企业不仅能够保留其既有的资料防护政策及其强度,还能透过统一的控管平台,将资料保护延展至新的云端应用场景。
Forcepoint的策略就是从这个角度出发,将SSE视为企业资料防护的一环,帮助企业IT和信息安全团队在管理云端应用的同时,将资料安全性置于最优先的地位。「相较于市场上提供SASE解决方案的厂商,Forcepoint不仅专注于管控不同的对内、对外沟通管道,更确保在不同应用场景执行的资料存取或资料交换,得以具有可视性与控管措施,这正是Forcepoint技术优势。」
风险自适应保护机敏资料
对企业而言,无论选择何种安全防护技术,最终的目的都是为了保护机敏资料。即使是防范骇客攻击的手段,核心仍是保护资料的安全性。如果骇客攻击成功,损害的是企业的声誉,但只要没有泄露机敏资料,对业务的正常运行影响相对有限。因此,企业在实施SSE时,关注的焦点始终是资料外泄防护。
Forcepoint提供一套基于行为分析的资料外泄防护(DLP)解决方案,专注于保护各种潜在的资料外泄风险环节,进而减少信息安全事故发生机率。其核心在于将上下文信息整合到所有策略中,透过使用正规表示式、分类、机器学习以及自然语言处理技术进行资料辨识,并配合指纹识别技术持续监控潜在的危险行为。
庄添发进一步说明,Forcepoint提供的DLP解决方案,日前最新发布的是Forcepoint ONE资料安全(Data Security)服务,为Forcepoint首次推出云端原生的DLP SaaS解决方案,针对端点设备提供保护,范围涵盖电子邮件、网页、列印、USB连接埠、档案共享和云端应用等多种使用场景。其特色之一是基于AWS公有云平台的自动扩展架构,可支援大量端点进行扩展。
在风险管理方面,Forcepoint的风险自适应保护(Risk Adaptive Protection,RAP)系统透过分析使用者行为与DLP事件来降低内部风险。这一系统利用Forcepoint的行为指标(Indicator of Behavior,IoB)模型计算使用者风险,并根据不同使用者的风险评分来动态调整DLP政策,使配置的控管措施能够自动适应跨端点、云端应用、网页、电子邮件等各种沟通管道的风险情境。
他举例,当一名受信任的员工在其行为风险评分累积到某一个高风险等级时,Forcepoint的DLP系统会自动调整其存取权限,阻止该员工进行机敏资料的存取操作。这种即时调整的能力能够有效降低内部威胁,防止机敏资料的外泄。
发挥零信任控管模式效益
现代企业普遍施行的远端工作模式,经常需要连线回到公司内部网路存取ERP等系统,可藉由零信任网路存取机制来操作执行。为了进一步保障资料安全,企业可以针对资料查询操作设定DLP控管措施,特别是机敏资料,可禁止远端工作者下载。例如,当远端工作者使用私人装置发起连接,可限制其下载动作;而若是使用公司配发装置,则可允许下载,但必须对所有下载行为进行详细的记录,以便后续追踪与稽核。
Forcepoint提供的SASE解决方案,不仅涵盖SSE平台的全面管控,还将最关键的Enterprise DLP整合到单一平台中。SSE解决方案包含了RBI(远端浏览器隔离)、档案内容撤销与重建(CDR)、沙箱技术(Sandbox),这些技术皆属于网页应用安全的范畴。
此外,在云端应用方面,Forcepoint的解决方案也涵盖了CASB(云端存取安全代理)的部分。庄添发说明,在零信任的架构中,Forcepoint分别涵盖了上网、档案以及存取的零信任保护。过去,企业内部的应用系统通常透过VPN连线来提供存取,如今藉由ZTNA,使用者无需再透过VPN,即可安全地存取企业内部的应用程式。
Forcepoint提供了两种部署模式:Agent和Agentless。在早期的IT维运中,远端桌面连线是常见的做法,即便使用者不在公司内部网路,也能登入系统进行维护。随著信息安全意识的提升,这种做法逐渐被淘汰。透过ZTNA,IT人员仅能连线登入防火墙的管理控制台,并只能执行必要的管理操作。当需要下载防火墙的日志或设定配置档案时,可以藉由Enterprise DLP进行管控,严格禁止任何用户在公司配发或私人装置上进行下载操作。这样的零信任机制,不仅加强了存取控制,也大幅降低了潜在的资料外泄风险。透过RBI、CDR以及ZTNA等技术,零信任的实际效益得以充分发挥。
网管人原文连结:https://www.netadmin.com.tw/netadmin/zh-tw/trend/B14FEA471B4B4D8FB8143B608B66347D