News
技術新知
2022-05-09 Cisco SASE 網路安全架構,滿足企業混合辦公資安防護需求
近年來企業加速數位化轉型的過程中,充份利用雲端服務特點及優勢,以確保在市場競爭之下取得優勢。同樣地,也驅動IT基礎架構演進成為混合雲模式,以滿足企業各種商業需求。除此之外,面對COVID-19疫情變化,企業也運用雲端服務及IT相關解決方案,並透過營運管理流程相關調整,來保持企業生產力及持續營運能力,鞏固市場競爭力。
 
然而新形態的企業工作模式固然提升企業面對巨變中的韌性,但相同地,它衍生一些資安風險需要一同評估及考量。Cisco Secure Access Service Edge (SASE) 為一種網路與安全架構,集合了VPN安全和WAN優化之Cisco SD-WAN技術 與雲端原生資安功能,包含了防火牆即服務(FWaaS) 雲端存取資安代理程式(Cloud Access Security Broker, CASB)、網頁安全閘道器(Secure Web Gateway, SWG)與零信任網路存取(Zero Trust Network Access)等機制,並基於雲平台融合這些服務功能,以協助IT部門降低部署整合及後續維運之複雜度。有效率實施企業資安策略。
 
 
 
Cisco SASE 充份結合了網路及網路安全兩大優勢,由網路層面來看,Cisco SD-WAN提供了一個安全的雲級別架構,它可以讓企業IT快速建立一個SD-WAN overlay網路連接,讓企業資料中心企業園區、分支據點及其他設施皆能集中應用及執行企業WAN網路之策略。由網路安全層面來看,一個雲原生的安全解決方案,可以靈活替換或改進目前現有的企業資安架構。透過集中管理介面來簡化部署、事件調整及後續維運等任務。企業可以採用3C指標-Connect、Control、Converge進而了解在實施SASE架構時,快速盤點企業使用情境及設立明確執行策略。3C指標應該考慮以下面向:
 
  1. Connect 連接
    企業使用者或應用服務存取其他資源時,他們在那個地方及透過何種方式連接?是透過VPN、SD-WAN還是以DIA直接連接Internet方式進行。
  2. Control 控制性
    在這些連線的過程中,要採取那些安全上的管控及防護。包括但不限於防火牆政策 Firewall Policy、IPS資安防護、 DNS安全、網站類別管理、惡意檔案檢查、RBI遠端瀏覽器隔離及DLP資料外洩防護等等。
  3. Converge融合
    企業以何種方式來整合連接及控制性,並將一些管理層面的角度放入在這些考量環節中—整合策略、連網可視性、維運方式、自動化部署及設定等。 


 
Cisco SASE解決方案包含了Connectivity 連接性、Security 安全性、Identity 身份及Observability可觀測性。在Connectivity包含了各種連接形態,有SD-WAN — Meraki SD-WAN及Cisco SD-WAN(Viptela)、Remote Access 行動化遠端存取的Cisco AnyConnect,在Security安全性主要為Cisco Umbrella提供了FWaaS、DNS安全、安全Web閘道器及雲端存取資安代理程式(CASB)等能力。在Identity身份,採用了Cisco Duo安全可信的身份識別機制,除了多因子驗證機制,同時也能結合設備安全評估,以確保使用者連上企業應用服務時,確保人員及設備可信。在Observability可觀測性,ThousandEyes提供IT維運人員在混合辦公的場景之下,能容易了解使用者在家或在辦公室存取雲端服務時之數位體驗,以提高企業生產力及使用者工作效率。
 
 
 
 
導入Cisco SASE對企業而言,可以帶來以下相關商業效益:
  • 降低成本和複雜性
  • 賦予安全的遠端行動存取
  • 提供延遲優化且策略管理的WAN網路
  • 改善使用者存取安全
  • 提供安全的一致性管理政策
  • 無需軟硬體升級即可更新威脅防護和政策
  • 根據使用者身份、設備和應用程式來進行限制訪問控管
  • 通過集中管理機制,進一步提升網路和資安團隊的效率
 
疫情帶動工作型態逐漸轉變,另外其他國家也開始採取與病毒共存政策,未來混合辦公勢必為後疫情時代工作者新模式,無論工作者在家或在公司皆有相應工具來滿足企業生產力的需要及資安面的防護與控管需求。在這邊我們提出八個運用思科SASE資安框架及協作方案的應用場景,來滿足企業混合辦公需求。
 
 
 
  • 上網安全
    • 場景一:保護行動工作者
      Anyconnect及Cisco Umbrella Roaming能力,無論使用者是否使用Remote Access VPN皆能提供使用者上網資安防護。同時,也能落實企業上網資安政策,遠離安全危害。
    • 場景二:保護企業上網安全
      DNS網域、限制瀏覽特定的網站類別、下載檔案是否安全及應用程式管控。
 
 
 
  • 零信任
    • 場景三:強化行動身份及設備可信安全
      VPN整合Cisco Duo的身份驗證機制,VPN使用者在開始連線時,除了原本帳號密碼驗證之外,增加其他新的驗證機制,包含動態密碼、SMS簡訊或Duo App PUSH手機驗證。另外,也可以透過Duo Device Health了解連網設備是否滿足企業資安規範,包括最新作業系統修補等。做為是否可以上網的評估。
    • 場景四:保護企業服務存取安全
      企業應用程式也可以整合到Cisco Duo身份驗證機制,除了傳統帳密碼之外,加上一個更為安全及可信身份認證。減少帳密外洩風險。也藉由Trust Endpoint機制,確認使用企業配發的電腦存取企業應用服務。
 
 
 
  • 通訊協作
    • 場景五:行動業務及遠端辦公
      Webex App,讓使用者可以快速與人連繫。同時,其他外部人員也以透過原來的電話號碼容易找到在家工作者。亦可確保在家工作者的電話隱私。同時,Webex也可以整合Cisco Umbrella,讓即時訊息檔案傳送時,增加安全防護,減少惡意檔案危害。
    • 場景六:企業雲端總機及行動分機擴充
      Webex 可以容易地整合企業的現有電話交換機系統,讓企業可以很容易快速地提供混合辦公所需要的通訊系統。同時也可以善用Webex會議,讓企業內外部的人員透過線上會議,加速決策及提高工作效率。不論工作場所在那裏。
 
 
 
 
  • 應用體驗可視性
    • 場景七:行動工作者應用體驗可視性
      在家工作者在存取企業應用服務時,這些使用體驗是否良好?是個人電腦問題、是家中無線問題、是電信網路問題、還是雲端應用服務問題。透過ThousandEyes Endpoint Agent的觀測資訊收集,協助企業IT維運人員加速問題處理速度,保持工作者的生產效率。
    • 場景八:了解企業連網品質及應用體驗
      ThousandEyes Agent來評量公有雲及混合雲的服務之間連網品質及整個路徑的可視性,做為相應後續的改善依據

 
晉泰科技具備20餘年來的網路規劃、建置及維運之豐富實務經驗及行業應用。同時晉泰科技亦為Cisco認證之Gold Integrator及Gold Provider能有效及正確實施Cisco SASE解決方案。客戶可依專案規模及需求選擇所需的服務:
  • 方案架構設計服務
  • 晉泰保固服務(GWS)
  • 晉泰維護服務(GMS)
  • 晉泰專業服務(GPS)
  • 晉泰精湛服務(GOS)
 
無論是新設公司、據點擴張網路優化及汰換、新興應用或企業數位轉型,晉泰科技能提供全方位解決方案規劃及維護服務,無論是地端設備、雲端應用及混合雲架構等,皆有實際案例經驗。可以確保企業專案順利進行、降低企業風險及協助企業達成目標。
 
Cisco SASE相關方案請洽03-5103089 Ext 2911邵先生 
 
本文所提及之商標與名稱,均屬其合法註冊之公司所有。