另一方面,防火牆性能要求愈來愈高。新一代防火牆執行任務更多,價格更貴,如檢查和控制各種應用和保護敏感內容。目前,幾乎絕大部分應用,均採用HTTP協定,以往採用埠位(TCP Port)來監察應用已不奏效,傳統第三層的防火牆,保安上也變得毫無意義。
唯一純雲端保安服務商
雲端保安幾乎是解決日益分散工作模式的唯一方法。雲端保安的操作方法,完全以服務方式(Security as a service, SaaS)來提供保安服 務,不涉及任何硬件的投資。雲端保安只要求終端用戶的瀏覽器或網上應用,先指向雲端 Proxy伺服器或保安閘道,毋須安裝任何代理程式(Agent),終端用戶即可獲各種保護,並限制上網各種措施。
雲端保安除了執行堵截從網站攻擊(Intrusion prevention)和惡意程式,也可過濾有危險網址(URL filtering),控制應用(Application control),甚至控制保護敏感內容(Data protection)等新一代防火牆工作,也可完全脫離地域限制,用戶即使不身在公司,也可獲實時保護。
雲端保安以Proxy或者閘道方式,轉譯了用戶IP位址,亦有其弊端。其中之一是部分雲端保安所設數據中心不足,導致香港用戶上網,往往先經外地,例如新加坡的數據中心才連接上網,延遲率(Latency)可能上升。部分如檢索引擎,根據IP位址來設定地區服務,結果誤認所在位置,導致設定上錯誤,也就是所謂「本地化」(Localization)的問題。
傳統防火牆廠商如CheckPoint也推出了雲端保安,卻採用混合模式;即仍利用傳統防火牆,向流動用戶或小型分支,提供雲端保安。混合式保安的最大弊端,乃管理上不統一。用戶內外各有不同保安準則(Policy),紀錄檔也難以互通。
解決雲端保安限制
以雲端保安來說,Zscaler是完全以雲端保安方案,也是目前增長最快的雲端保安服務。據Zscaler大中華技術總監梁耀康介紹,Zscaler解決了雲端保安一些困擾,例如是缺乏地區的連接點。Zscaler全球建立了超過一百個連接點主機,數量之多,無出其右,用戶自動找尋連接最就就近主機,並提供容錯服務。「例如一個地點的數據中心出現問題或超載,用戶馬上自動轉接另一主機,設定完全不受影響。」
Zscaler在Gartner的Magic Quadrant中佔領導者位置,獲不少跨國公司採用。梁耀康說,其中一個理由是Zscaler保安閘道,可同時間處理極大量的用戶,具備服務質素保證(QoS),確保即使採用雲端保安,仍不會影響用戶體驗和效能。「一般來說,應用延遲多發生在最後一個節點與伺服器之間。Zscaler數據中心採用了優質連接,即使採用Proxy轉連,也不會出現重大延誤。有時由於用戶『最後一哩』連接質素改善,體驗還可能會比以前快。」
對一些用戶非常分散公司,流動用戶眾多,平台眾多,難以逐一以防火牆保護,雲端保安幾乎是個人化防火牆,不受工作地域限制,但仍完全可中央設定和配置保安政策,並可結合AD或ADFS,用戶登入網域後即自行啟動。Zscaler也可發揮類似新一代防火牆,讓授權的用戶才執行特定的網上應用,能辨認過百種不同應用,不單可防止惡意程式,甚至可作為數據保護(Data Protection),當應用或電郵內,發現敏感數據,可馬上阻止送出。
「例如Zscaler可禁止Gmail和社交應用等,傳送涉及內容敏感的企業資料。」
迅速防止 APT滲透
Zscaler也具備防止「高級持續性滲透攻擊」(Advanced Persistent Threat, APT)。用戶安裝程式之前,先經Zscaler的沙箱(Sandbox)先行安裝,確保不包含惡意攻擊。
「由於Zscaler利用雲端保安,發現新的威脅後,所有節點馬上生效。毋須像傳統防火牆,以人手更新阻截。」
Zscaler也可讓用戶可隨時上網查看記錄檔。儘管Zscaler每日產生以百億計的記錄檔(Logs),速度仍極高。Zscaler處理記錄檔的速度,比Google還要快。而用戶也可以隨時上網察看用戶使用網絡的實時情況,攔截了那些攻擊和病毒等資料。梁耀康表示,雲端保安不能取代End Point,例如防毒和防入侵軟件,因為用戶可通過USB和其他外部記憶體傳入病毒,部分加密經人手解碼的壓縮檔,無法由防火牆檢測,所有經人手干預才能安裝程式,仍須安裝防毒軟件,才能加以保護。
沒有留言:
發佈留言