網路安全新架構
使現代分散式網路保持連線
網際網路原本的設計就是大規模的分散式網路。由於這樣的設計,讓網際網路本身具有彈性,可讓電腦、伺服器和其他裝置可依需求連線和路由傳送資料。當有單一裝置(或一組相關裝置)無法與網際網路連線或斷開連線時,通常對其餘網路功能的影響微乎其微。
儘管網際網路的本質具有恢復能力,但網際網路的運作機制無法保證其連線速度快速或是可用。網際網路也缺乏安全性架構,因此沒有足夠能力防止資料監聽、惡意活動和其他網路攻擊。
於是傳統網路基礎架構便採用「城堡加護城河」模型的模式;在此模式下,應用程式和資料皆集中保管在內部的資料中心(「城堡」),可透過防火牆、DDoS 防護設備和其他安全性裝置(「護城河」),防衛來自外部的威脅。獲得授權的使用者可取得經由 VPN 存取城堡的權限,VPN 的角色就好比連接護城河的吊橋。
「城堡加護城河」方法雖然可為組織提供基本等級的防護,但仍稱不上完善,還有許多需要克服的障礙:
複雜的組態和維護:經證實,內部部署的安全性設備在設定和維持更新以應對新興威脅方面需要投入昂貴的成本,迫使安全團隊每當被攻擊者發現新的系統漏洞並入侵時,必須疲於奔命修補。
效能取捨的困擾:即使因所在位置距離伺服器太遠或連線人數太多,導致連線效能奇差無比,員工從遠端連上私人網路通常還是得經由 VPN。
安全性漏洞:所有入侵網路週邊的人,皆可不受限制存取企業資源,導致內部和外部資料外洩的威脅防不勝防。
對許多企業而言,簡化和加強舊網路基礎結構是必要但十分艱難的任務 — 再加上 數位轉型 ,使得任務難上加難。
雲端帶來靈活性,同時也帶來更多問題
技術結構上的轉型使得網路安全的保護任務日益繁雜。SaaS 和公用雲端提供者可讓組織將其應用程式和資料從內部部署資料中心移出,而智慧型手機和其他行動裝置讓員工逐漸可以從遠端地點連線到網路。
採用雲端服務有助於將內部部署資料中心去中心化,為組織提供前所未有的靈活性和敏捷性。然而這也意味著,企業內部的機密資源也不僅侷限在「城堡」一處,而是會在多個地點散播,這使得建立統一的安全界限十分困難。
對這類混合式環境進行安全防護已證實超乎預期的困難。組織必須針對內部部署和雲端應用程式,分別採用不同的安全性解決方案,同時又必須確保員工能從任何地點安全且便利地存取網路資源。
有鑑於此,組織不得不同時設定和維護多個單功能安全性解決方案,且大多數安全性解決方案的設計無法與其它解決方案無縫接軌整合。這為網路安全團隊帶來不少挑戰:
榨乾內部資源:對網路安全團隊而言,要保護混合式環境往往既耗力又費時。由於內部部署設備無法保護雲端應用程式和服務,企業需要單獨的安全系統來防護所有內部工具和資源,這又導致額外的支出、時間和人力。
多家廠商:以雲端為基礎的網路安全涉及多個部分,從雲端防火牆 到安全 Web 閘道 (SWG)、雲端存取安全性代理程式 (CASB) 等等,找到一家能提供所有安全性服務的廠商十分困難。對大多數企業而言,僅管同時向多間廠商採購服務勢必會增加額外成本和複雜度,但為了確保混合式環境的安全,這仍是不可或缺的舉動。
安全性漏洞:同時與多家安全性提供者合作,很難確保您網路的每個部分都受到完整保護 — 勢必有延遲發現的安全性漏洞 — 尤其是無法從經過統合的「單一介面」監控和維護您網路的安全性基礎架構。遠端工作本身意味著員工經常需使用個人裝置連上企業網路,而這會帶來額外的安全性威脅。
過去曾使企業網路相對容易設定、保護和維護的「城堡和護城河」模型,已無法配合當今的分散式混合和雲端環境。這個轉變早已出現,只不過直到 2020 才被迫提升轉型的力道。員工的工作場所較過去更分散且工作地點更加遙遠,並且員工也習慣了透過各種個人裝置存取企業資源。公司也日益認可讓員工的工作、伺服器和應用程式放在網際網路上(而非置於公司內部)的必要性。
網路安全新架構
由於舊網路安全模型已無法因應日漸增加的威脅,且現代的網路架構又更加複雜,企業組織已開始轉換到基於雲端的新安全性模型: 安全存取服務邊緣(或簡稱 SASE)。
我們在 2019 年首次獲得 Gartner 認可, SASE 結合軟體定義的廣域網路搭配使用核心網路安全性服務 — 包含安全 Web 閘道 (SWG)、雲端存取安全性代理程式 (CASB)、雲端防火牆 (FWaaS) 和 Zero Trust 網路存取政策 (ZTNA) — 並從網路邊緣提供這些服務。
SASE 不依賴低效的硬體設備或將個別獨立存在的安全解決方案拼湊在一起,而是提供一種簡化的網路安全方法。用 網際網路邊緣來取代複雜的回傳,讓企業組織可一步到位,同時對流量進行路由傳送、檢查和保護。SASE 採用了 Zero Trust 安全性的概念,即所有應用程式的任何使用者,皆必須不斷經過驗證,甚至是更進階的驗證。透過結合 Zero Trust 存取原則和網路級威脅防護,SASE 消除了對舊式 VPN、硬體防火牆和 DDoS 防護設備的需求,使組織可以合併網路安全性服務,以便網路安全團隊掌握並控制網路安全設定。
實務上隨著 SASE 的不斷發展,不同廠商和組織的 SASE 實作可能會大相徑庭。不過,大多數 SASE 解決方案在內部部署和混合型網路安全設定中具有幾個關鍵優勢:
廠商整合:有了單一 SASE 提供者全方位的網路保護,組織免去了在多家廠商和單功能解決方案之間調度的煩惱,還可省去不必要的開支以及免去個別服務間複雜的設定。
統一的安全界限:透過在網路邊緣(地理上靠近終端使用者的伺服器和裝置全球網路)提供這些服務,SASE 使公司能從全世界任何地點保護自家的應用程式、資料和使用者。
更佳安全可見度:透過整合網路和網路安全服務並從單個雲端平台提供服務,SASE 消除了服務之間的安全空隙,為 IT 和網路安全團隊提供了對網路活動的更大可見性,並簡化了雲端遷移過程。
SASE 誓言要將網路安全性提升到新的層級:能讓各自獨立的網路和安全性服務在單一的雲端平台上合併,並作為一項服務來提供。
此方法若建置得當,能確保企業網路維持全球範圍、分散式且穩定連線的狀態,並且可同時兼顧安全性和效能。
為了符合當今企業的需求,Cloudflare 推出了 Cloudflare One ;這是一種全方面、以雲端為基礎的 網路即服務 解決方案,用可透過單一使用者介面提供安全性、效能和控制的單一網路,取代設備和 WAN 技術的雜湊。由於這種網路是由所有應用程式共用,因此無論應用程式新舊或是在內部部署還是雲端運作,皆可透過掌控 Cloudflare One 網路確保一致的政策,並可從您的基礎結構或多租用戶的 SaaS 提供者處交付。Cloudflare 擁有龐大的全球網路,利用即時網際網路情報來防禦最新威脅,並引導流量避開惡劣的網際網路環境和服務中斷,從而透過最佳化的線路保護、路由和篩選流量。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
與「城堡加護城河」式安全相關聯的障礙
雲端帶來的複雜性
SASE 的關鍵優勢
SASE 的承諾