【創科廣場】雲端保安各師各法 「零信任」架構大行其道

2021-06-22 09:10

近期網絡安全事故頻生,網絡保安成為焦點;疫情又加速了雲運算和軟件即服務(SaaS)的普及,大量用戶在防火牆以外,存取企業數據,保安架構不得不改弦易轍。

在家工作流行,用戶使用更多雲端應用之後,不少企業也改而配置新興的「雲存取安全代理」(Cloud Access Security Broker,CASB),以保護企業用戶存取SaaS和雲端數據。

  去年底,美國又發生了SolarWinds被人在其Orion工具,以深藏的SUNBURST工具發動供應鏈攻擊,如果不是一位機警人員,發現不知明電話號碼,SUNBURST可說毫無破綻。SolarWinds事件令不少企業反省現行保安的各項漏洞。

  近期3個保安趨勢愈見明顯;首先CASB愈來愈重要,類似Zscaler和Netskope之類的雲端保安廠商走紅,因為一開始就提供Inline和雲原生的CASB性能。

DNS保安漏洞

  其次須優先堵塞DNS的保安漏洞,SUNBURST之所以逃過追蹤;主要靠Domain Generation Algorithm(DGA)攻擊產生Domain名稱,與外間C & C伺服器接觸來接收指令,再以DNS Tunnelling以DNS查詢訊息,附加了其他數據,令保安無從追蹤。

  最後是安全廠商紛紛推出「零信任」(Zero Trust)安全架構;但現實上「零信任」難以執行,不少都各師各法,各自發揮。

  Palo Alto Network(PAN)是新一代防火牆(NGFW)的領導廠商,近年也積極轉型,以應對雲端保安形勢;包括開發了物聯網(IoT)和雲端保安產品,擴展醫療的IoT保安。PAN也整合了Prisma平台,以加強CASB對雲端存取的保安。

SolarStorm應變計畫

  最近PAN也推出Prisma Access,以加強遠程用戶使用SaaS的安全。

  PAN香港及澳門總經理馮志剛說:PAN將有關SUNBURST的攻擊,統稱SolarStorm,相應推出SolarStorm應變計畫,協助1300名客戶檢討保安策略,部分是SolarWinds客戶。PAN又將專門研究網網安全威脅情報Unit 42小組,加上剛收購Crypsis保安應變服務,升格成保安諮詢業務。

  PAN大中華區技術總監耿強說,剛推出的PAN-OS 10.1升級;包括了零信任功能;從4方面加強IT安全;包括SaaS保安、Web上網保安、雲端身分認證(Cloud Identity)、以機器學習(ML)為基礎的NGFW防火牆。

機器學習應對威脅

  「其實PAN-OS上一版本,已經包括了機器學習,已開始可對未知的威脅作出防禦。」

  SaaS愈來愈流行,類似Office365、Salesforce、Workday、ServiceNow已成主流,CASB分析從雲端來往通訊,並作出防禦,早已是百家爭鳴;Microsoft就曾多次獲Gartner選為CASB魔力象限領導者,最近排名已不如McAfee的MVISION及Netskope等。Fortinet也很早推出FortiCASB雲原生CASB,去年收購OPAQ加強功能。

  「用戶在不同環境都會存取SaaS,例如在家工作,用戶同時應用到企業和私人的SaaS,如何區分企業的sanctioned和私人的unsanctioned應用,是其中一項最大的挑戰。」

  耿強說,PAN-OS升級後可以機器學習,辨認不同SaaS服務加以區分。過去不少SaaS難以辨認,升級PAN-OS新版本後可解決。

再見VPN

  PAN推出Prisma & SaaS,通過內部存取控制,監察用戶行為及辨認進階威脅,保障使用SaaS的用戶,從表面看Prisma Access則屬於雲端CASB,PAN的CASB可在NGFW、虛擬機器,最後以Prisma Access上為遠程用戶提供保護。

  不過,Prisma Access究竟是否算完全的「零信任」?據Gartner定義,CASB須以Zero trust network access(ZTNA),也就是要完全取代VPN;類似Netskope和Zscaler的設計。Prisma Access則是在GCP上架構了虛擬機器,更非多租戶設計,仍是靠VPN連接,嚴格上說是否真正「零信任」,仍有待商榷。

  耿強說,以PAN是業界唯一以機器學習,即時在綫作出攔截Web上網保安。Web上網保安已成為阻截網上攻擊Kill chain的重要工具,因為黑客往往先以釣魚電郵攻擊,用戶誤墮Web網站陷阱後,再以勒索軟件或惡意軟件攻擊;各廠商都有不同Web上網保安,PAN則以機器學習作賣點。

機器學習過濾URL

  Web上網保安要靠URL過濾,防止用戶進入暗藏威脅的網站。PAN以機器學習增強URL的過濾,即使以往未見過URL亦無所遁形。

  鑑於包括SolarWinds的Orion的攻擊,均通過DNS要求;近期DNS安全也受重視,思科的Umbrella就是評估URL的信譽,過濾攔截C & C網站訪問。

  「PAN的DNS安全功能,其實亦存在了2年,由於DNS攻擊愈來愈多,包括DGA和DNS Tunnelling攻擊,今次PAN-OS再加強保護DNS。」

  耿強說,PAN全球的80000多客戶,一半使用Wildfire沙盒服務,每日辨認出不少威脅,再反饋到DNS安全功能,加強進階URL的過濾服務,而通過本地的機器學習,亦可防禦零日攻擊,再擴展DNS安全功能,防禦新興攻擊。

  較為有趣,則是PAN剛推出的雲端身分認證。企業以單一登入(Single sign-on,SSO)並非新鮮,而且市場甚為活躍,內部認證以往多靠Microsoft的Active Directory,後來雲端興起,以Azure AD和Okta認證和整合,SSO市場已相當熱鬧。

統一身分管理

  PAN推出業界的雲身分引擎,客戶可於企業網絡、雲端和應用驗證和授權用戶,不受身分存儲位置的影響。PAN推出的Cloud Identity Engine,可整合AD和SSO或雲原生身分,例如Azure AD、Google Identity、Okta、Ping等不同的身分證證服務。

  Cloud Identity Engine是統一的身分認證的雲服務,整合上述服務減少ID數目,以增強安全性。不過Cloud Identity Engine最大價值,可能是整合Prisma Access和企業內部Prisma身分存取,減少登入CASB時混亂,對統一採用PAN企業,有更大吸引力。

  耿強說,PAN所有類形防火牆(硬件、軟件和雲端);從小型分支(PA-400系列)到大型園區和超大規模數據中心(PA-5450平台),均可使用PAN-OS新功能。

  PAN於6月21至25日舉辦一年一度網絡安全Hong Kong Cyber Week 2021暨網上CyberSummit 2021。PAN專家分享見解,即場示範以及互動環節。

關鍵字

最新回應

關鍵字
You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad