【创科广场】云端保安各师各法 「零信任」架构大行其道

2021-06-22 09:10

近期网络安全事故频生,网络保安成为焦点;疫情又加速了云运算和软件即服务(SaaS)的普及,大量用户在防火墙以外,存取企业数据,保安架构不得不改弦易辙。

在家工作流行,用户使用更多云端应用之后,不少企业也改而配置新兴的「云存取安全代理」(Cloud Access Security Broker,CASB),以保护企业用户存取SaaS和云端数据。

  去年底,美国又发生了SolarWinds被人在其Orion工具,以深藏的SUNBURST工具发动供应链攻击,如果不是一位机警人员,发现不知明电话号码,SUNBURST可说毫无破绽。SolarWinds事件令不少企业反省现行保安的各项漏洞。

  近期3个保安趋势愈见明显;首先CASB愈来愈重要,类似Zscaler和Netskope之类的云端保安厂商走红,因为一开始就提供Inline和云原生的CASB性能。

DNS保安漏洞

  其次须优先堵塞DNS的保安漏洞,SUNBURST之所以逃过追踪;主要靠Domain Generation Algorithm(DGA)攻击产生Domain名称,与外间C & C伺服器接触来接收指令,再以DNS Tunnelling以DNS查询讯息,附加了其他数据,令保安无从追踪。

  最后是安全厂商纷纷推出「零信任」(Zero Trust)安全架构;但现实上「零信任」难以执行,不少都各师各法,各自发挥。

  Palo Alto Network(PAN)是新一代防火墙(NGFW)的领导厂商,近年也积极转型,以应对云端保安形势;包括开发了物联网(IoT)和云端保安产品,扩展医疗的IoT保安。PAN也整合了Prisma平台,以加强CASB对云端存取的保安。

SolarStorm应变计画

  最近PAN也推出Prisma Access,以加强远程用户使用SaaS的安全。

  PAN香港及澳门总经理冯志刚说:PAN将有关SUNBURST的攻击,统称SolarStorm,相应推出SolarStorm应变计画,协助1300名客户检讨保安策略,部分是SolarWinds客户。PAN又将专门研究网网安全威胁情报Unit 42小组,加上刚收购Crypsis保安应变服务,升格成保安谘询业务。

  PAN大中华区技术总监耿强说,刚推出的PAN-OS 10.1升级;包括了零信任功能;从4方面加强IT安全;包括SaaS保安、Web上网保安、云端身分认证(Cloud Identity)、以机器学习(ML)为基础的NGFW防火墙。

机器学习应对威胁

  「其实PAN-OS上一版本,已经包括了机器学习,已开始可对未知的威胁作出防御。」

  SaaS愈来愈流行,类似Office365、Salesforce、Workday、ServiceNow已成主流,CASB分析从云端来往通讯,并作出防御,早已是百家争鸣;Microsoft就曾多次获Gartner选为CASB魔力象限领导者,最近排名已不如McAfee的MVISION及Netskope等。Fortinet也很早推出FortiCASB云原生CASB,去年收购OPAQ加强功能。

  「用户在不同环境都会存取SaaS,例如在家工作,用户同时应用到企业和私人的SaaS,如何区分企业的sanctioned和私人的unsanctioned应用,是其中一项最大的挑战。」

  耿强说,PAN-OS升级后可以机器学习,辨认不同SaaS服务加以区分。过去不少SaaS难以辨认,升级PAN-OS新版本后可解决。

再见VPN

  PAN推出Prisma & SaaS,通过内部存取控制,监察用户行为及辨认进阶威胁,保障使用SaaS的用户,从表面看Prisma Access则属于云端CASB,PAN的CASB可在NGFW、虚拟机器,最后以Prisma Access上为远程用户提供保护。

  不过,Prisma Access究竟是否算完全的「零信任」?据Gartner定义,CASB须以Zero trust network access(ZTNA),也就是要完全取代VPN;类似Netskope和Zscaler的设计。Prisma Access则是在GCP上架构了虚拟机器,更非多租户设计,仍是靠VPN连接,严格上说是否真正「零信任」,仍有待商榷。

  耿强说,以PAN是业界唯一以机器学习,即时在綫作出拦截Web上网保安。Web上网保安已成为阻截网上攻击Kill chain的重要工具,因为黑客往往先以钓鱼电邮攻击,用户误堕Web网站陷阱后,再以勒索软件或恶意软件攻击;各厂商都有不同Web上网保安,PAN则以机器学习作卖点。

机器学习过滤URL

  Web上网保安要靠URL过滤,防止用户进入暗藏威胁的网站。PAN以机器学习增强URL的过滤,即使以往未见过URL亦无所遁形。

  鉴于包括SolarWinds的Orion的攻击,均通过DNS要求;近期DNS安全也受重视,思科的Umbrella就是评估URL的信誉,过滤拦截C & C网站访问。

  「PAN的DNS安全功能,其实亦存在了2年,由于DNS攻击愈来愈多,包括DGA和DNS Tunnelling攻击,今次PAN-OS再加强保护DNS。」

  耿强说,PAN全球的80000多客户,一半使用Wildfire沙盒服务,每日辨认出不少威胁,再反馈到DNS安全功能,加强进阶URL的过滤服务,而通过本地的机器学习,亦可防御零日攻击,再扩展DNS安全功能,防御新兴攻击。

  较为有趣,则是PAN刚推出的云端身分认证。企业以单一登入(Single sign-on,SSO)并非新鲜,而且市场甚为活跃,内部认证以往多靠Microsoft的Active Directory,后来云端兴起,以Azure AD和Okta认证和整合,SSO市场已相当热闹。

统一身分管理

  PAN推出业界的云身分引擎,客户可于企业网络、云端和应用验证和授权用户,不受身分存储位置的影响。PAN推出的Cloud Identity Engine,可整合AD和SSO或云原生身分,例如Azure AD、Google Identity、Okta、Ping等不同的身分证证服务。

  Cloud Identity Engine是统一的身分认证的云服务,整合上述服务减少ID数目,以增强安全性。不过Cloud Identity Engine最大价值,可能是整合Prisma Access和企业内部Prisma身分存取,减少登入CASB时混乱,对统一采用PAN企业,有更大吸引力。

  耿强说,PAN所有类形防火墙(硬件、软件和云端);从小型分支(PA-400系列)到大型园区和超大规模数据中心(PA-5450平台),均可使用PAN-OS新功能。

  PAN于6月21至25日举办一年一度网络安全Hong Kong Cyber Week 2021暨网上CyberSummit 2021。PAN专家分享见解,即场示范以及互动环节。

關鍵字

最新回应

關鍵字
You are currently at: std.stheadline.com
Skip This Ads
close ad
close ad