Slide
Slide
Slide
Hitachi_AI_HCI
Hitachi_HCI
HCI
previous arrow
next arrow

雲運算優先年代

 zScaler
zScaler亞太及日本副總裁Scott Robertson:「以網絡邊界定義保安策略,明顯過時。企業須採用以原則為主的保安策略」

愈來愈多企業選擇以「雲運算優先」(Cloud First)策略,原因有兩個;首先,過去數年,全球化經營趨勢持續;工作地點趨向分散,甚至分佈全球各地,雲運算部署無遠弗屆,正切合全球化發展。首次,軟件即服務,或者SaaS發展成熟,軟件以雲服務形式交付,幾乎已成標準。

zScaler帶領數碼化轉型

雲運算成為大勢所趨;從已往只屬實驗性質,至如今不分畛域,企業已全盤採用雲運算。企業資料部署至私有雲,甚至公共雲或SaaS等,員工須上網,才取得數據作業,Cloud First無可避免。

另一影響,企業邊界變得模糊,以往利用防火牆;區分所謂「互聯網」(Internet)和「內聯網」(Intranet),愈變失去意義。大量的SaaS,類似是Salesforce、Dropbox、Office 365等興起,數碼資產也不一定儲存於企業範圍內。

多年以來,不少企業IT保安定義,以「網絡存取」(Network Access)邊界決定,也就是保護於一定邊界內的IT設備。隨著雲運算流行,網絡存取已不相等資料存取的範圍。員工可能從Starbucks上網,甚至直接登錄SaaS,完全沒經過企業內聯網,即使公司範圍,安裝大量IT保安裝置,也無濟於事。

消失的內聯網

簡單來說,所謂內聯網的定義,到了Cloud First年代,幾乎毫無意義。另一方面,隨著企業採用更多公共雲和SaaS,上網連接,比公司專線更重要,加上軟件定義廣域網(SD-WAN)技術,上網更穩定、性能和速度也更優勝,專線服的優勢漸漸減低。

zScaler亞太及日本副總裁Scott Robertson說,傳統的IT保安,類似是在建立堡壘和護城河,不同IT保安設備;包括防火牆、Web Gateway、郵件過濾、過濾病毒和APT,築起銅牆鐵壁,守護城內的資產和人員。但保安設備愈來愈多,又必須專才維護,成本鉅大,同時城內的資產和人員,又愈來愈少。

隨著全球化,不少分支機構又須部署同樣設備,成本再倍升。企業想統一防衛,可採用Hub and Spoke的部署,分支機構連接回總部,統一上網,再連接至私有雲和SaaS。但如此一來,總部線路一定構成極大負荷,架床疊屋的連接,又導致設計複雜,用戶體驗更差。

「保安設備須經常更新設定和定義,才能辨認新的攻擊、病毒、APT等。為了維護大量設備,須聘請了大量專家。另一方面,內聯網內資料和人員,卻又四散各地,無法保護。以網絡邊界定義保安策略,已明顯過時。企業須採用以原則為主的保安(Policy-based security)策略,放棄以網絡定義的保安。」

以快打慢的雲端保安

公有雲和SaaS愈來愈流行,不少員工即使在公司工作,都是利用大量的Internet,連接內部數據中心的流量愈來愈少。zScaler就是新一代雲端防火牆方案,直接從雲端平台,交付保安服務,完全「保安即服務」(Security as a Service),全球奉行Cloud First的企業;包括飛利浦、GE、聯合航空、法國航空、西門子、柏克萊、P&G等國際企業,不約而同採用了zScaler。

「以雲端平台保護企業的優點;無論用戶身處於何方,都可受最佳保護。zScaler全球各地,設超過一百多個數據中心,直接連到各地Internet交換中心;即使用戶所有流量經zScaler雲服務,也不影響連接的質素。」

zScaler雲服務也不斷更新雲端平台,馬上可欄截新的攻擊,抵禦零日病毒和勒索軟件。「即使客戶不慎開啟了釣魚郵件,用上了SSL加密,zScaler亦可檢查SSL內容,找出勒索軟件的源頭,防止下載加密的軟件,停止攻擊。不少客戶採用zScaler,馬上就杜絕了勒索攻擊。」

面臨淘汰的SSL-VPN

Robertson說,不少用戶公幹途中,必須連接公司。以往普遍方法,為是採用VPN。可是,VPN也有缺點。企業大量使用VPN,往往變成了保安漏洞。「如果終端用戶被入侵,再用VPN連接到企業網絡,往往變成了後門,終端一旦被入侵,黑客就可長驅直進。」

「理論上,SSL-VPN在TCP層加密,並且為基於應用VPN,為訪問應用層安全提供更好控制機制。問題在於,SSL-VPN不容易維護(包括證書和應付不少漏洞,例如heartbleed攻擊)。SSL-VPN授權貴得驚人,SSL-VPN成本和安全令不少企業再三考慮,以VPN連至企業,是否明智之舉。」

除了「保安即服務」,Zscaler的Private Access服務,遠端用戶可直接連接至公有雲和私有雲,取代SSL-VPN的作用。「Private Access的原理,就是讓通往私有雲或公有雲的連線,先經Zscaler加密,因此毋須維持大量VPN,增加受攻擊風險。Private Access屏蔽了同一網絡內的其他服務器;員工或合約人員只能恰如其份,存取適當服務,無法通往其他區域。」

Zscaler亦與多家公有雲及互聯網交換中心連接,以Private Access改善存取公有雲服務的性能。Robertson說,Zscaler亦與多家公有雲,類似Office 365有合作關係,改善SaaS用戶體驗。「以Office 365為例,微軟經常改變存取的URL,以免受到攻擊,加上Office 365令防火牆的TCP連接大增,如果以內部防火牆,除了維常URL名單,亦可能難以負荷大增的TCP連接。Zscaler同步更新雲端防火牆的URL名單,亦可應付TCP連接,免除了經實體防火牆過濾,導致Office 365引起的網絡連接問題。」

Leave a Reply

Your email address will not be published. Required fields are marked *