2021 年的 IT 趨勢之一是,隨著雲端環境的成熟,以及因物聯網 (IoT) 爆炸性發展、快速增加無數端點裝置所形成的邊緣 (edge) 網路,現在,如何定義和實施安全原則 (policy) 正成為網路架構的一部分,不再只是企業 IT 環境的某個附帶元件而已。
事實上,我們進入 2021 年的情境已和 2020 年初大相逕庭。2020 年證明了遠端工作和分散式運算能成功運用在多種工作職能上,在家工作的形態也將持續到未來。同時,國家層級的網路攻擊也來到歷史高點,無論使用者、設備和資料位於何處,都必須獲得他們。IT 人員必須能完全了解並管控其網路,同時加速執行安全措施,包括強大的存取控制能力、人工智慧 (AI) 驅動的網路安全,以及網路現代化、網路分段功能,以保護高價值資料。這些需求使我們更需要加關注「零信任安全」(Zero Trust security)。
零信任的概念並不新穎,已存在近十年。「零信任」的核心是組織所制定的安全性原則,不再將傳統的邊界,如防火牆、路由器和交換器,做為判斷該設備是否值得信賴的唯一條件。在這種模式下,您不會因為設備連接到組織的網路就信任它。「零信任」模式會從本質上將所有使用者、裝置、伺服器和網路區段視為不安全且可能帶有惡意,因此被認為是能更好地處理現代企業日新月異安全需求的有效模式。
在實務上,從所謂全新基礎架構環境 Greenfield 建構零信任架構可能會較容易;但擁有傳統基礎架構環境 Brownfield 的組織也可採用這些原則,並在其現有的安全模型上增加額外的層級。但依考量安全領域的不同,「零信任」也會有很大的差異。儘管應用程式級控制已是「零信任」的重點,完整的策略還必須考量網路安全和不斷增加的連線裝置數量,包括居家環境工作。
長期以來,Aruba 一直是安全網路解決方案的領導者。隨著傳統 IT 工作負載從邊緣轉移到雲端或 SaaS (軟體即服務) 環境中,零信任網路架構解決方案仍將是有效安全的核心部分。留下的真空最終將被邊緣的 OT/IoT 特定工作負載所取代。此外,隨著 5G 的實施,網路架構必須應對多接入邊緣運算 (MEC) 工作負載——包括私有和公共的工作負載——這就要在目前以優化使用者工作流程為中心的零信任原則之外,導入動態的安全性原則方法。
Aruba Zero Trust 安全方案可確保將相同的控制項套用至園區或分支機構網路,可協助您達成以下目標:
一、 掌握哪些裝置連接到您的網路
隨著對物聯網 (IoT) 的運用不斷加深,全盤掌握網路上所有裝置和使用者的也變得越來越困難。缺乏掌控能力會導致難以套用支援零信任模式的關鍵安全控制項。自動化、以 AI 為基礎的機器學習和快速識別裝置類型的能力十分重要。Aruba ClearPass Device Insight 使用主動與被動式探索和狀態剖析技術,藉此偵測並全盤掌握連線或嘗試連線至網路裝置的資訊。這包括筆記型電腦和平板電腦等一般使用者型裝置。Aruba ClearPass Device Insight 與傳統工具不同,能掌握現代網路中日漸普及,且種類越發多樣的物聯網 (IoT) 裝置資訊。
二、 依身分和角色啟用IT資源的存取權限
具備掌控能力後,接下來的關鍵步驟是要採用與「最少存取權限」和微分割相關的零信任最佳實務。這樣做可因應與內部威脅、進階惡意軟體或持續性威脅的風險,解決這些威脅能繞過傳統邊界防護的問題。這代表盡可能為每個網路上的端點使用最佳驗證方式 (例如︰對使用者裝置進行完整的 802.1X 和多因素驗證),並採用相應存取控制原則,只授權存取該裝置或使用者絕對需要使用的資源。Aruba ClearPass Policy Manager 可建立角色型存取原則,讓 IT 和安全團隊能透過單一角色與套用至網路上任意位置 (不論是有線或無線基礎架構、在分支機構或園區內) 的相關存取權限,讓這些最佳實務得以運作。完成剖析後,系統會自動為裝置指派合適的存取控制原則,並透過 Aruba 動態分割功能將其與其他裝置區隔開來。Aruba 的原則執行防火牆 (PEF) 是Aruba 網路基礎架構中內嵌的完整應用程式防火牆,負責提供執行功能。Aruba 基礎架構也使用最安全的加密協定 (例如WPA3 標準) 來加密無線網路連線。
三、 根據即時威脅資料隨時變更存取權限
ClearPass Policy Manager 整合了 150 多種最佳安全解決方案 (包括安全作業與回應 (SOAR) 工具組),能根據來自多個來源的即時威脅遙測動態執行存取權限。使用者可根據新世代防火牆(NGFWs)、安全資訊與事件管理 (SIEM) 工具和其他多種來源提供的警告,建立相應原則以做出即時存取控制決策。從限制存取權限 (例如︰僅網際網路),到徹底將裝置從網路中移除以進行修復,使用者可完全自行設定 ClearPass 行動。
客戶也能透過ClearPass 生態系統輕鬆整合其他解決方案,滿足與情境式資訊和其他安全遙測相關的零信任需求。因此 ClearPass 能整合端點安全工具等多種解決方案,根據裝置態勢進行更智慧化的存取控制決策。存取控制原則也能根據使用的裝置類型、使用者連線的地點,以及其他情境式條件變更。Aruba 威脅防禦功能可防禦大量威脅,包括釣魚攻擊、阻斷服務攻擊 (DoS),以及越來越廣泛的勒索軟體攻擊。Aruba 9000SD-WAN 閘道執行身分識別式入侵偵測和預防 (IDS/IPS),並可配合 Aruba Central、ClearPass Policy Manager 和原則執行防火牆。身分識別式 DS/IPS 會根據簽名和模式,對分支辦公室 LAN (東-西) 和 SD-WAN (南-北) 流經閘道的流量執行流量檢測,藉此提供內嵌的分支機構網路安全性。Aruba Central 內的進階安全儀表板可為 IT 對提供掌握整個網路的能力、多種層面的威脅指標、威脅情報資料,以及建立關聯和事件管理功能。威脅事件會傳送至 SIEM 系統與 ClearPass 進行修復。
在家工作、數位轉型和物聯網 (IoT) 需要創新的安全策略,在此總結 Aruba 如何協助您因應這樣日新月異的情勢。
Aruba 零信任安全方案的優勢
• 採用整體安全功能
「零信任」有許多種定義,但只有 Aruba 提供導入零信任的關鍵要素:完善可見度、驗證功能、原則型存取驗證,以及攻擊偵測與回應。
• 消除 VLAN 蔓延
搭配動態分割的零信任功能可運用使用者和裝置身分,設定與連線方式或位置無關,根據網路基礎架構執行的角色型 IT 存取權限。
• 整合安全生態系統
Aruba ClearPass Policy Manager 整合了 150 多種第三方安全解決方案,並會在使用者及裝置存取網路時更新這些解決方案,然後自動變更存取權限以解決我們合作夥伴偵測到的問題。
欲進一步了解 Aruba 零信任安全請造訪:https://www.arubanetworks.com/zh-hant/solutions/zero-trust-security
Aruba Zero Trust 簡介短片:https://www.youtube.com/watch?v=EVXCizp83aI