【創科廣場】雲端保安各師各法 「零信任」架構大行其道

近期網絡安全事故頻生，網絡保安成為焦點；疫情又加速了雲運算和軟件即服務（SaaS）的普及，大量用戶在防火牆以外，存取企業數據，保安架構不得不改弦易轍。

在家工作流行，用戶使用更多雲端應用之後，不少企業也改而配置新興的「雲存取安全代理」（Cloud Access Security Broker，CASB），以保護企業用戶存取SaaS和雲端數據。

　　去年底，美國又發生了SolarWinds被人在其Orion工具，以深藏的SUNBURST工具發動供應鏈攻擊，如果不是一位機警人員，發現不知明電話號碼，SUNBURST可說毫無破綻。SolarWinds事件令不少企業反省現行保安的各項漏洞。

　　近期3個保安趨勢愈見明顯；首先CASB愈來愈重要，類似Zscaler和Netskope之類的雲端保安廠商走紅，因為一開始就提供Inline和雲原生的CASB性能。

DNS保安漏洞

　　其次須優先堵塞DNS的保安漏洞，SUNBURST之所以逃過追蹤；主要靠Domain Generation Algorithm（DGA）攻擊產生Domain名稱，與外間C & C伺服器接觸來接收指令，再以DNS Tunnelling以DNS查詢訊息，附加了其他數據，令保安無從追蹤。

　　最後是安全廠商紛紛推出「零信任」（Zero Trust）安全架構；但現實上「零信任」難以執行，不少都各師各法，各自發揮。

　　Palo Alto Network（PAN）是新一代防火牆（NGFW）的領導廠商，近年也積極轉型，以應對雲端保安形勢；包括開發了物聯網（IoT）和雲端保安產品，擴展醫療的IoT保安。PAN也整合了Prisma平台，以加強CASB對雲端存取的保安。

SolarStorm應變計畫

　　最近PAN也推出Prisma Access，以加強遠程用戶使用SaaS的安全。

　　PAN香港及澳門總經理馮志剛說：PAN將有關SUNBURST的攻擊，統稱SolarStorm，相應推出SolarStorm應變計畫，協助1300名客戶檢討保安策略，部分是SolarWinds客戶。PAN又將專門研究網網安全威脅情報Unit 42小組，加上剛收購Crypsis保安應變服務，升格成保安諮詢業務。

　　PAN大中華區技術總監耿強說，剛推出的PAN-OS 10.1升級；包括了零信任功能；從4方面加強IT安全；包括SaaS保安、Web上網保安、雲端身分認證（Cloud Identity）、以機器學習（ML）為基礎的NGFW防火牆。

機器學習應對威脅

　　「其實PAN-OS上一版本，已經包括了機器學習，已開始可對未知的威脅作出防禦。」

　　SaaS愈來愈流行，類似Office365、Salesforce、Workday、ServiceNow已成主流，CASB分析從雲端來往通訊，並作出防禦，早已是百家爭鳴；Microsoft就曾多次獲Gartner選為CASB魔力象限領導者，最近排名已不如McAfee的MVISION及Netskope等。Fortinet也很早推出FortiCASB雲原生CASB，去年收購OPAQ加強功能。

　　「用戶在不同環境都會存取SaaS，例如在家工作，用戶同時應用到企業和私人的SaaS，如何區分企業的sanctioned和私人的unsanctioned應用，是其中一項最大的挑戰。」

　　耿強說，PAN-OS升級後可以機器學習，辨認不同SaaS服務加以區分。過去不少SaaS難以辨認，升級PAN-OS新版本後可解決。

再見VPN

　　PAN推出Prisma & SaaS，通過內部存取控制，監察用戶行為及辨認進階威脅，保障使用SaaS的用戶，從表面看Prisma Access則屬於雲端CASB，PAN的CASB可在NGFW、虛擬機器，最後以Prisma Access上為遠程用戶提供保護。

　　不過，Prisma Access究竟是否算完全的「零信任」？據Gartner定義，CASB須以Zero trust network access（ZTNA），也就是要完全取代VPN；類似Netskope和Zscaler的設計。Prisma Access則是在GCP上架構了虛擬機器，更非多租戶設計，仍是靠VPN連接，嚴格上說是否真正「零信任」，仍有待商榷。

　　耿強說，以PAN是業界唯一以機器學習，即時在綫作出攔截Web上網保安。Web上網保安已成為阻截網上攻擊Kill chain的重要工具，因為黑客往往先以釣魚電郵攻擊，用戶誤墮Web網站陷阱後，再以勒索軟件或惡意軟件攻擊；各廠商都有不同Web上網保安，PAN則以機器學習作賣點。

機器學習過濾URL

　　Web上網保安要靠URL過濾，防止用戶進入暗藏威脅的網站。PAN以機器學習增強URL的過濾，即使以往未見過URL亦無所遁形。

　　鑑於包括SolarWinds的Orion的攻擊，均通過DNS要求；近期DNS安全也受重視，思科的Umbrella就是評估URL的信譽，過濾攔截C & C網站訪問。

　　「PAN的DNS安全功能，其實亦存在了2年，由於DNS攻擊愈來愈多，包括DGA和DNS Tunnelling攻擊，今次PAN-OS再加強保護DNS。」

　　耿強說，PAN全球的80000多客戶，一半使用Wildfire沙盒服務，每日辨認出不少威脅，再反饋到DNS安全功能，加強進階URL的過濾服務，而通過本地的機器學習，亦可防禦零日攻擊，再擴展DNS安全功能，防禦新興攻擊。

　　較為有趣，則是PAN剛推出的雲端身分認證。企業以單一登入（Single sign-on，SSO）並非新鮮，而且市場甚為活躍，內部認證以往多靠Microsoft的Active Directory，後來雲端興起，以Azure AD和Okta認證和整合，SSO市場已相當熱鬧。

統一身分管理

　　PAN推出業界的雲身分引擎，客戶可於企業網絡、雲端和應用驗證和授權用戶，不受身分存儲位置的影響。PAN推出的Cloud Identity Engine，可整合AD和SSO或雲原生身分，例如Azure AD、Google Identity、Okta、Ping等不同的身分證證服務。

　　Cloud Identity Engine是統一的身分認證的雲服務，整合上述服務減少ID數目，以增強安全性。不過Cloud Identity Engine最大價值，可能是整合Prisma Access和企業內部Prisma身分存取，減少登入CASB時混亂，對統一採用PAN企業，有更大吸引力。

　　耿強說，PAN所有類形防火牆（硬件、軟件和雲端）；從小型分支（PA-400系列）到大型園區和超大規模數據中心（PA-5450平台），均可使用PAN-OS新功能。

　　PAN於6月21至25日舉辦一年一度網絡安全Hong Kong Cyber Week 2021暨網上CyberSummit 2021。PAN專家分享見解，即場示範以及互動環節。