保護遠端工作者：導入零信任存取

導入零信任存取

全球疫情迫使大量知識型員工離開辦公室，轉而在家中這個相對孤立的環境中工作。隨著企業調整社交距離措施以保障員工安全，多數人最終仍會在某個時點返回辦公室，即使只是部分時間。Global Workplace Analytics 預估，到 2021 年底，將有 25% 至 30% 的勞動力每週有數天在家工作。也有些人可能永遠不會回到實體辦公室，選擇長期維持在家工作（WFH）的身分。

這波大規模、突然轉變為遠端工作的情況，對網路安全造成了極大壓力。幾乎沒有時間可以規劃並執行一套安全的遠端存取策略，來提供與辦公室相同等級的安全防護。這導致各種資安風險與挑戰浮現，也讓企業無論員工身在何處，都迫切需要真正的零信任存取解決方案。

遠端存取的安全性常是薄弱環節

2020 年 4 月，正值數百萬辦公室員工開始大規模實施在家工作（WFH）之際，Cato 進行了一項名為「企業是否具備全面支援隨處工作的準備度」的調查。Cato 對近 700 家企業進行調查後發現，將近三分之二的受訪者（62%）表示自疫情爆發以來，遠端存取流量至少成長了兩倍，另有超過四分之一（27%）表示其遠端流量已成長至三倍。

其中最令人關切的是，企業如何在擴大的遠端工作人力中有效執行安全政策。調查發現，多數受訪企業在企業級安全防護方面，至少缺少一項關鍵措施：

• 用於驗證用戶身分的多重驗證（MFA），
• 用於偵測網路攻擊的入侵防禦系統（IPS），或
• 用於防範惡意內容威脅的防毒防惡意程式工具。

有 64% 的受訪者表示使用 VPN 伺服器，顯示 VPN 仍是遠端存取最常見的單點解決方案。雖然 VPN 提供流量加密與用戶驗證功能，但它們仍存在安全風險，因為一旦連線成功，使用者就能存取整個網路，無法細緻地控制其對特定資源的存取權限。VPN 無法檢查連線裝置的安全態勢，這可能讓惡意程式有機可乘，進而進入企業網路。此外，多起重大資料外洩事件皆與遭竊的 VPN 憑證有關。攻擊者利用合法憑證並透過 VPN 連線，成功滲透目標企業網路，並在其中自由橫向移動。

VPN 正逐漸被零信任安全取代

科技產業正邁向更安全的用戶存取模式，即零信任網路存取（ZTNA），也被稱為軟體定義邊界（SDP）。ZTNA 的運作原則很簡單：拒絕所有人與所有裝置的資源存取，除非明確被授權。這種做法能提升整體網路安全性，並透過微區隔技術，在發生入侵事件時有效限制攻擊的橫向擴散。這正是 ZTNA 架構的基本核心原則。

根據 Gartner 發布的零信任網路存取（ZTNA）市場指南預測，到 2023 年，將有 60% 的企業逐步淘汰 VPN，改採 ZTNA。ZTNA 的主要優勢在於其對網路存取的細緻控管，能精確控管誰可以連線、可以存取哪些特定資源，以及從哪一台終端裝置進行連線。存取權限會根據安全政策，以最小權限原則進行授予。

這種細緻層級的控制正是零信任網路存取能與 SASE（安全存取服務邊緣）所要求的身分導向存取模式相輔相成的原因。當 ZTNA 內建於雲端原生的網路平台中，SASE 就能以恰當的存取權限，連接現代企業的各項資源──包括各地網點、雲端應用、雲端資料中心，當然還有行動與遠端用戶。

整合式安全是有效落實零信任安全政策的關鍵

就像 VPN、防火牆與入侵防禦等解決方案一樣，市面上也有許多零信任網路存取（ZTNA）的單點產品。實際上，許多現代企業的網路環境都由各種獨立的安全與遠端存取工具組成。然而，這些產品之間缺乏整合，會帶來不少問題，是零信任導入上的一大缺點。首先，這樣的架構會提高錯誤設定與安全政策不一致的風險。其次，當流量必須逐一通過各個設備檢查時，會導致網路延遲增加。最重要的是，缺乏整合使得全方位的威脅偵測幾乎無法實現，因為每個設備所產生的資料格式各異，彼此之間無法直接整合。即使透過 SIEM 系統彙整資料，仍需耗費大量心力進行資料正規化與事件關聯分析，才能在威脅造成損害之前即時攔截。

此外，零信任僅是遠端存取解決方案中的一部分。ZTNA 的單點方案無法解決與效能及持續安全性相關的所有問題。這正是將 ZTNA 完整整合進 SASE 解決方案中的最大優勢所在。

SASE 將零信任網路存取、NGFW 與其他安全服務，與 SD-WAN、WAN 最佳化、頻寬聚合等網路服務整合為一個雲端原生平台。這表示採用 SASE 架構的企業，除了能享有零信任網路存取的安全優勢之外，還能獲得一套簡易管理、具高度擴展性的整合型網路與安全解決方案。Cato 的 SASE 解決方案正是以雲端原生平台提供這一切。