智慧應用 影音
電子時報行動版服務
科技產業報訂閱

結合VPN、WAN與雲端原生資安 思科SASE驅動安全數位轉型

  • DIGITIMES企劃DIGITIMES企劃

思科全球資安產品事業部業務經理朱育民指出,SASE透過融合雲端託管的SD-WAN和雲端提供的資安,充分展現其實力。DIGITIMES攝
思科全球資安產品事業部業務經理朱育民指出,SASE透過融合雲端託管的SD-WAN和雲端提供的資安,充分展現其實力。DIGITIMES攝

無庸置疑,網路架構是資安領域的源頭,例如安全網路閘道、雲端存取資安代理程式、防火牆及零信任網路存取。CISCO的Secure Access Service Edge(SASE)為一種網路架構,它不只適用IT世界,也能協助製造業實現工廠安全的數位轉型之旅。

思科全球資安產品事業部業務經理朱育民指出,SASE 透過融合雲端託管的SD-WAN和雲端提供的資安,充分展現其實力。並在網路架構中建立零信任概念,並對每個存取都預設為不信任,除不斷限縮存取範圍外,還要不斷監控其每個行為、檢視每個存取標的物,重覆不斷進行循環驗證。

隨著數位業務轉型正將資安轉移至雲端,進而推動對於融合服務的需求,以降低複雜性、改善速度和靈活性,以及保護新的網路架構。SASE模型整合多項網路與資安功能,這些功能以往僅能透過單一整合的雲端服務,以多個獨立點解決方案提供。

此外,欲建立OT環境可視性,需要做好三件事情。第一,看得懂所有存取內部環境的端末設備,不僅識別它的身份,還需探索它的屬性與權限,理解這些元件在內部環境代表的意涵。第二,將帶有不同權限與角色的元件,擺放到不同位置,並與其他元件區隔。第三,不論針對OT與非OT,或OT本身之間,皆應減少不必要互動關係。

朱育民說,網路架構建立可視性後,接著進入保護工業網路通訊安全的五階段旅程。首先Stage 0的重點,即是區隔IT與OT網路,並設置工業級DMZ。至於Stage 1,識別內部所有工控設備的廠牌、通訊協定、存取的目標物,以及在平常作業中被賦予何等權限。進入Stage 2,釐清各元件彼此間交互關係,必要時透過工業級防火牆與交換器來設置微分段,斬斷不必要的互動行為。

到了Stage 3,需建立威脅偵測機制,且將偵測範圍從工控場景擴展到操作人員的行為,判別這些行為是否符合規範。最後的Stage 4,則是建立Operation Center,以掌握全面性可視化。透過上述流程循序落實,可望達到工業網路安全的終極目標。

談到OT零信任場景中的關鍵元件,例如工業級DMZ便屬一例,它處在IT與OT網路之間,彙集了工廠安全控制點,有能力監控工廠南北向流量,做為進出檢查的閘道;透過思科工業級防火牆即可建立工業級DMZ,並結合思科AMP及Snort引擎,協助企業檢查所有南北向流動的行為,分析是否符合駭客攻擊手段。

思科身為全球領先的科技公司,提供一系列企業網路與資安解決方案,長年關注企業在營運過程面對的難題。同時,看準SASE成為網路架構新顯學,思科推出SASE多種核心產品組合,包含思科安全防護傘、思科SD-WAN Cloud Onramp、ThousandEyes,以及SD-WAN雲端安全整合等,幫助NetOps及SecOps團隊更有效率將用戶安全連接到應用程式。此外,全球權威媒體 SC Media 在2021年將思科評選為「最佳資安公司」,更是思科能協助企業防禦變化多端的資安挑戰上,最有力的證據。詳情請洽方案官網