【创科广场】云端保安各师各法 「零信任」架构大行其道

近期网络安全事故频生，网络保安成为焦点；疫情又加速了云运算和软件即服务（SaaS）的普及，大量用户在防火墙以外，存取企业数据，保安架构不得不改弦易辙。

在家工作流行，用户使用更多云端应用之后，不少企业也改而配置新兴的「云存取安全代理」（Cloud Access Security Broker，CASB），以保护企业用户存取SaaS和云端数据。

　　去年底，美国又发生了SolarWinds被人在其Orion工具，以深藏的SUNBURST工具发动供应链攻击，如果不是一位机警人员，发现不知明电话号码，SUNBURST可说毫无破绽。SolarWinds事件令不少企业反省现行保安的各项漏洞。

　　近期3个保安趋势愈见明显；首先CASB愈来愈重要，类似Zscaler和Netskope之类的云端保安厂商走红，因为一开始就提供Inline和云原生的CASB性能。

DNS保安漏洞

　　其次须优先堵塞DNS的保安漏洞，SUNBURST之所以逃过追踪；主要靠Domain Generation Algorithm（DGA）攻击产生Domain名称，与外间C & C伺服器接触来接收指令，再以DNS Tunnelling以DNS查询讯息，附加了其他数据，令保安无从追踪。

　　最后是安全厂商纷纷推出「零信任」（Zero Trust）安全架构；但现实上「零信任」难以执行，不少都各师各法，各自发挥。

　　Palo Alto Network（PAN）是新一代防火墙（NGFW）的领导厂商，近年也积极转型，以应对云端保安形势；包括开发了物联网（IoT）和云端保安产品，扩展医疗的IoT保安。PAN也整合了Prisma平台，以加强CASB对云端存取的保安。

SolarStorm应变计画

　　最近PAN也推出Prisma Access，以加强远程用户使用SaaS的安全。

　　PAN香港及澳门总经理冯志刚说：PAN将有关SUNBURST的攻击，统称SolarStorm，相应推出SolarStorm应变计画，协助1300名客户检讨保安策略，部分是SolarWinds客户。PAN又将专门研究网网安全威胁情报Unit 42小组，加上刚收购Crypsis保安应变服务，升格成保安谘询业务。

　　PAN大中华区技术总监耿强说，刚推出的PAN-OS 10.1升级；包括了零信任功能；从4方面加强IT安全；包括SaaS保安、Web上网保安、云端身分认证（Cloud Identity）、以机器学习（ML）为基础的NGFW防火墙。

机器学习应对威胁

　　「其实PAN-OS上一版本，已经包括了机器学习，已开始可对未知的威胁作出防御。」

　　SaaS愈来愈流行，类似Office365、Salesforce、Workday、ServiceNow已成主流，CASB分析从云端来往通讯，并作出防御，早已是百家争鸣；Microsoft就曾多次获Gartner选为CASB魔力象限领导者，最近排名已不如McAfee的MVISION及Netskope等。Fortinet也很早推出FortiCASB云原生CASB，去年收购OPAQ加强功能。

　　「用户在不同环境都会存取SaaS，例如在家工作，用户同时应用到企业和私人的SaaS，如何区分企业的sanctioned和私人的unsanctioned应用，是其中一项最大的挑战。」

　　耿强说，PAN-OS升级后可以机器学习，辨认不同SaaS服务加以区分。过去不少SaaS难以辨认，升级PAN-OS新版本后可解决。

再见VPN

　　PAN推出Prisma & SaaS，通过内部存取控制，监察用户行为及辨认进阶威胁，保障使用SaaS的用户，从表面看Prisma Access则属于云端CASB，PAN的CASB可在NGFW、虚拟机器，最后以Prisma Access上为远程用户提供保护。

　　不过，Prisma Access究竟是否算完全的「零信任」？据Gartner定义，CASB须以Zero trust network access（ZTNA），也就是要完全取代VPN；类似Netskope和Zscaler的设计。Prisma Access则是在GCP上架构了虚拟机器，更非多租户设计，仍是靠VPN连接，严格上说是否真正「零信任」，仍有待商榷。

　　耿强说，以PAN是业界唯一以机器学习，即时在綫作出拦截Web上网保安。Web上网保安已成为阻截网上攻击Kill chain的重要工具，因为黑客往往先以钓鱼电邮攻击，用户误堕Web网站陷阱后，再以勒索软件或恶意软件攻击；各厂商都有不同Web上网保安，PAN则以机器学习作卖点。

机器学习过滤URL

　　Web上网保安要靠URL过滤，防止用户进入暗藏威胁的网站。PAN以机器学习增强URL的过滤，即使以往未见过URL亦无所遁形。

　　鉴于包括SolarWinds的Orion的攻击，均通过DNS要求；近期DNS安全也受重视，思科的Umbrella就是评估URL的信誉，过滤拦截C & C网站访问。

　　「PAN的DNS安全功能，其实亦存在了2年，由于DNS攻击愈来愈多，包括DGA和DNS Tunnelling攻击，今次PAN-OS再加强保护DNS。」

　　耿强说，PAN全球的80000多客户，一半使用Wildfire沙盒服务，每日辨认出不少威胁，再反馈到DNS安全功能，加强进阶URL的过滤服务，而通过本地的机器学习，亦可防御零日攻击，再扩展DNS安全功能，防御新兴攻击。

　　较为有趣，则是PAN刚推出的云端身分认证。企业以单一登入（Single sign-on，SSO）并非新鲜，而且市场甚为活跃，内部认证以往多靠Microsoft的Active Directory，后来云端兴起，以Azure AD和Okta认证和整合，SSO市场已相当热闹。

统一身分管理

　　PAN推出业界的云身分引擎，客户可于企业网络、云端和应用验证和授权用户，不受身分存储位置的影响。PAN推出的Cloud Identity Engine，可整合AD和SSO或云原生身分，例如Azure AD、Google Identity、Okta、Ping等不同的身分证证服务。

　　Cloud Identity Engine是统一的身分认证的云服务，整合上述服务减少ID数目，以增强安全性。不过Cloud Identity Engine最大价值，可能是整合Prisma Access和企业内部Prisma身分存取，减少登入CASB时混乱，对统一采用PAN企业，有更大吸引力。

　　耿强说，PAN所有类形防火墙（硬件、软件和云端）；从小型分支（PA-400系列）到大型园区和超大规模数据中心（PA-5450平台），均可使用PAN-OS新功能。

　　PAN于6月21至25日举办一年一度网络安全Hong Kong Cyber Week 2021暨网上CyberSummit 2021。PAN专家分享见解，即场示范以及互动环节。