結合VPN、WAN與雲端原生資安 思科SASE驅動安全數位轉型

思科全球資安產品事業部業務經理朱育民指出，SASE透過融合雲端託管的SD-WAN和雲端提供的資安，充分展現其實力。DIGITIMES攝

無庸置疑，網路架構是資安領域的源頭，例如安全網路閘道、雲端存取資安代理程式、防火牆及零信任網路存取。CISCO的Secure Access Service Edge(SASE)為一種網路架構，它不只適用IT世界，也能協助製造業實現工廠安全的數位轉型之旅。

思科全球資安產品事業部業務經理朱育民指出，SASE 透過融合雲端託管的SD-WAN和雲端提供的資安，充分展現其實力。並在網路架構中建立零信任概念，並對每個存取都預設為不信任，除不斷限縮存取範圍外，還要不斷監控其每個行為、檢視每個存取標的物，重覆不斷進行循環驗證。

隨著數位業務轉型正將資安轉移至雲端，進而推動對於融合服務的需求，以降低複雜性、改善速度和靈活性，以及保護新的網路架構。SASE模型整合多項網路與資安功能，這些功能以往僅能透過單一整合的雲端服務，以多個獨立點解決方案提供。

此外，欲建立OT環境可視性，需要做好三件事情。第一，看得懂所有存取內部環境的端末設備，不僅識別它的身份，還需探索它的屬性與權限，理解這些元件在內部環境代表的意涵。第二，將帶有不同權限與角色的元件，擺放到不同位置，並與其他元件區隔。第三，不論針對OT與非OT，或OT本身之間，皆應減少不必要互動關係。

朱育民說，網路架構建立可視性後，接著進入保護工業網路通訊安全的五階段旅程。首先Stage 0的重點，即是區隔IT與OT網路，並設置工業級DMZ。至於Stage 1，識別內部所有工控設備的廠牌、通訊協定、存取的目標物，以及在平常作業中被賦予何等權限。進入Stage 2，釐清各元件彼此間交互關係，必要時透過工業級防火牆與交換器來設置微分段，斬斷不必要的互動行為。

到了Stage 3，需建立威脅偵測機制，且將偵測範圍從工控場景擴展到操作人員的行為，判別這些行為是否符合規範。最後的Stage 4，則是建立Operation Center，以掌握全面性可視化。透過上述流程循序落實，可望達到工業網路安全的終極目標。

談到OT零信任場景中的關鍵元件，例如工業級DMZ便屬一例，它處在IT與OT網路之間，彙集了工廠安全控制點，有能力監控工廠南北向流量，做為進出檢查的閘道；透過思科工業級防火牆即可建立工業級DMZ，並結合思科AMP及Snort引擎，協助企業檢查所有南北向流動的行為，分析是否符合駭客攻擊手段。

思科身為全球領先的科技公司，提供一系列企業網路與資安解決方案，長年關注企業在營運過程面對的難題。同時，看準SASE成為網路架構新顯學，思科推出SASE多種核心產品組合，包含思科安全防護傘、思科SD-WAN Cloud Onramp、ThousandEyes，以及SD-WAN雲端安全整合等，幫助NetOps及SecOps團隊更有效率將用戶安全連接到應用程式。此外，全球權威媒體 SC Media 在2021年將思科評選為「最佳資安公司」，更是思科能協助企業防禦變化多端的資安挑戰上，最有力的證據。詳情請洽方案官網。