重新定義應用程式存取:管理現代工作團隊

不僅如此,員工還期待企業應用程式能提供與消費市場應用程式相同的簡易便利體驗。為了滿足這些使用者要求,IT 必須讓任何裝置均能順暢且有效率地安全存取應用程式和資料,不讓複雜作業程序阻礙使用者。

併購活動

企業擴張與策略轉向瞬息萬變。在現今的企業局勢中,併購活動已經司空見慣。事實上,79% 的高階主管預期明年交易量會增加,且交易規模亦會擴大。

為了實現並簡化這些併購活動,企業必須能夠快速且輕鬆地整合基礎架構。雲端型架構與解決方案讓此成長與變更得以實現,降低複雜度與成本,而不需要大幅更新IT 堆疊:硬體、軟體、網路堆疊、IAM 平台和使用者存取組態等等。同時,企業也必須對所有現有及新取得的資產實施標準安全控管。

79%的高階主管認為明年併購交易的數量與規模將再增加

79% 的高階主管認為明年併購交易的數量規模將再增加

對於 Zero Trust 安全架構的需求

如前所見,無論環境因素為何,企業存取解決方案都必須讓工作團隊的每一位成員都能安全存取相關的企業應用程式與資料。但由於使用者體系的多樣性以及如今威脅環境的現實,存取權限已不能再是單純的放行或封鎖二分法。

企業主管應擁有存取機密預測報告與計劃的權限,但第三方廠商或初級承包商則不應擁有。再者,若惡意軟體突破外部防火牆防禦,攻擊者也不應得以存取整個企業上下的所有系統與資料。企業必須微調應用程式與資料的控管機制。

若要滿足現代的存取需求,就需要採取 Zero Trust 安全方法。Zero Trust 實施「一律驗證且絕不信任」的原則。如此可確保僅有獲得授權的使用者和裝置才能存取他們所需的內部應用程式,而非整個網路。每個存取要求均需經過驗證與授權之後,才會提供應用程式與資料,且此應用程式層級的存取權限是暫時的。不同於傳統 VPN 等舊式系統,Zero Trust 安全架構控制所有直接通往應用程式的途徑。

調適性安全: 一律驗證起絕不信任>最小權限和預設拒絕>完整的可見度和檢查>集中式管理

傳統存取控制的限制

組織經常使用 VPN 和各種虛擬或硬體裝置如負載平衡器、VPN 集訊器、應用程式遞送控制器及代理伺服器來控制員工的存取。試圖透過此類過時的集中式安全堆疊提供存取權限,不僅效率低落,更因整合作業所面臨的挑戰而使企業暴露在更多威脅中,並使 IT 資源無法投入前瞻性計畫。

倚賴邊界控管來保護企業應用程式的風險極大;現今的攻擊者已熟知如何透過駭客或社交工程等各種手段入侵企業。另外,竊取的身分證明也讓犯罪者得以輕易侵入。一旦進入網路,他們就能濫用這些根據所在位置而直接對使用者賦予信任的規則。此外,傳統邊界資源也無法保護在企業控管範圍外運作的使用者和裝置,亦無法確保雲端應用程式的安全。

傳統的裝置型防火牆和閘道原本設計即未考慮雲端架構。也由於缺乏雲端原生的安全性與存取控制,因此IT 團隊對於提供合作夥伴、供應商、客戶,甚至是員工存取新興雲端服務的行為,都非常保守。因為這麼做可能意味著提供廣泛、橫向網路存取的權限。

這些傳統的存取解決方案面臨的挑戰如下:

  • 整合複雜度與成本

企業組織需要由許多系統組成的堆疊來支援 VPN 並提供連線、開通、註銷與日常監控功能。這些元件可能均不易整合。企業若使用快速、簡易且臨時代用的組態來執行短期整合,長期下來就可能需要廣泛且昂貴的管理與重新整合作業。或者,他們也可以進行前置投資,打造較具整合性的堆疊,可能可運作較久,並可避免一部分技術負擔;但終究仍將時間與金錢挹注於本質上會使企業暴露在風險之中的安全解決方案。

64%的全球IT預算增加會用來升級已過時的IT基礎架構。

除此之外,此情況下的每一組堆疊還必須在每個地區和資料中心重複建置,才能提供備援和高可用性。您必須在每個地區分別採購、安裝、設定和部署每一個元件,導致資本和營運成本雙雙增加。

為一併保護雲端應用程式,企業常將雲端流量經由 WAN (廣域網路) 回傳集中式安全堆疊,然後再透過直接連線或 VPN 路由傳送至IaaS 和網際網路。如此不僅進一步提高複雜度和成本外,更會降低效能。

  • 管理作業耗時

隨著要保護的應用程式數量以及分散而要求嚴苛的使用者人數增加,管理負擔也隨之暴增。管理員必須花更多時間自行管理這套複雜的安全堆疊,持續監控、疑難排解、套用修補程式並執行更新。每次變更網路或更新防火牆規則時,IT 就必須小心翼翼地調整這脆弱的網路堆疊。而且 IT 資源有限,花在管理效率低落地傳統存取堆疊上的時間,勢必會使其無法投入於其他計畫。

  • 使用者體驗不佳

傳統 VPN 與其他舊技術常產生連線失敗、延遲及逾時問題,導致應用程式採用率低落以及大量的服務台支援要求。同時,缺乏所有應用程式 (包括 SaaS) 通用的單一登入 (SSO) 功能也會讓使用者備感挫折,因需要重複輸入密碼而妨礙生產力。當零散的驗證與授權程序錯誤地拒絕使用者存取,使用者與 IT 團隊雙方就必須暫停工作進行疑難排解,或導致使用者試圖迴避控管機制,而反而使企業暴露在額外的風險之中。

  • 安全性不佳
裝置狀態須經驗證始授權存取權限。

傳統 VPN 本質上就是在網路防火牆上鑽孔。其主要設計目的是透過外部不受信任的網路連線至企業的內部基礎架構,而非為確保企業安全與隱私而設計。它們通常會提供不受限的網路存取。因此一旦發生入侵,攻擊者就能橫向移動存取應用程式與資料,脫離公司原則所允許的範圍。

而且傳統 VPN 缺乏智慧功能。它們通常無法基於多重因素驗證(MFA) 來提供能持續調適的放行或封鎖決策,而僅能查看使用者認證是否正確。且 VPN 無法檢查裝置狀態,因此無法在先確認裝置符合健全標準後,才允許裝置連線網路。

解決方案應有功能

企業組織需要一套能夠毫無滯礙擴充規模,且可快速設定及部署的存取解決方案。在邊緣提供的雲端型解決方案正是理想選擇。此類方案應能輕鬆整合其他安全解決方案,並提供簡單易用且一致的使用者體驗。此外,一個現代化的存取解決方案必須降低安全風險,提供網路活動的可見度,並簡化持續性管理與行政作業。

Tagged with: