從防火牆到SASE新舊技術共保資安

網路安全已於過去十年發生劇變，原本只需要依賴傳統防火牆的時代已不復返。隨著企業採用VPN技術，身處公司外部的員工即可透過VPN連線，獲得內部存取的大部分服務與資訊，加上雲端運算和遠端工作因疫情蓬勃發展，都催生「零信任技術」以及「安全存取服務邊緣（SASE）」兩種互補但不相同的網路安全模型。

編譯／戴偉丞

網路安全已於過去十年發生劇變，原本只需要依賴傳統防火牆的時代已不復返。隨著企業採用VPN技術，身處公司外部的員工即可透過VPN連線，獲得內部存取的大部分服務與資訊，加上雲端運算和遠端工作因疫情蓬勃發展，都催生「零信任技術」以及「安全存取服務邊緣（SASE）」兩種互補但不相同的網路安全模型。

零信任模型的「性惡說」

在今非昔比的前提下，網路世界中的零信任以及SASE無所不在，網路的延伸範圍更廣泛，已經從公司公務電腦透過家中個人Wi-Fi數據機連接到私人電腦，到智慧型手機、筆記型電腦、平板電腦等不同裝置，因此網路安全人員必須全面保護所有資訊輸入與數據提取。值得注意的是，零信任模型假設每個裝置都可能存在安全風險且具有敵意的，乃至於工作場域中如果裝有智慧電視、智慧電冰箱等智慧家電，都可以被視為風險存在。

零信任模型不僅驗證身份，更要求使用者在進入新區域、嘗試存取新資源時再次進行身份驗證。Check Point 安全服務產品管理主管 Aviv Abramovich表示，在這兩分鐘內或許有人已經想方設法地在電腦上安裝惡意軟體，或是可能在開放空間下被侵入了，因此必須剝奪這種信任。由於零信任模型是以身份為驗證核心，因此在保護雲端內部資產方面得更為輕鬆與加固。

更多新聞：雲端環境日益複雜 雲端原生提供簡化方案

SASE與SSE不連遠方資料中心

安全存取服務邊緣以及安全服務邊緣（SSE）技術比零信任模型更專業，透過創建一個可以從雲端進行管理的廣域網路（SD-WAN），該技術將網路保護擴展到區域分散的不同存在點（PoP），讓使用者可以在地端而非遠在他處的資料中心連線。

為了保護此虛擬網絡，SASE的運作中融合不同的技術，包括以雲端為基礎的防火牆，該技術亦稱為「防火牆即服務 （FWaaS）」，透過安全網站閘道（SWG）監控使用者網路流量並阻止惡意軟體；當然也包括零信任網路存取技術。此外，部分SASE與SSĘ中，也添加了「資料遺失防護（DLP）」、「網域名稱系統（DNS）」以及「入侵預防或入侵偵測系統（IPS/IDS）」。

傳統與新技術融合交錯使用

最新的「雲端原生」技術也能夠追蹤每組資料、每個用戶等使用情況，並提供特定的保護。該技術除了包括雲端存取安全代理程式以及零信任安全模型外，還包括雲端安全性狀態管理（CSPM）、雲端工作負載保護平台（CWPP）、雲端原生應用程式保護平台（CNAPP）等。但是即便有這麼多新穎的網路安全工具，舊的網路安全工具也仍然有其所用，對於使用雲端以及傳統地端的組織而言，Abramovich表示，防火牆仍相當重要。

資料來源：SC Magazine

這篇文章 從防火牆到SASE新舊技術共保資安 最早出現於 TechNice科技島-掌握科技與行銷最新動態。