CDN技術也能夠穿透企業防火牆 解決遠端存取企業應用安全弱點

企業遠端存取的發展是個長期歷程。剛開始遠端應用存取需求只是少數,現在透過網路,應用程式即可在AWS、Azure等資料中心使用。 所以誰需要這些企業應用程式的存取呢? 有些應用程式為企業員工而設計,有些則針對第三方利害關係人。事實上,越來越多企業的承包商、顧問、甚至是加盟者對企業應用程式存取的需求漸增。

企業遠端存取的發展是個長期歷程。剛開始遠端應用存取需求只是少數,現在透過網路,應用程式即可在AWS、Azure等資料中心使用。

所以誰需要這些企業應用程式的存取呢?

有些應用程式為企業員工而設計,有些則針對第三方利害關係人。事實上,越來越多企業的承包商、顧問、甚至是加盟者對企業應用程式存取的需求漸增。

然而,並非所有使用者對應用程式存取的需求都相同,因此IT團隊必須考量使用者和應用程式的組合,制定不同權限規範,確保正確的使用者能夠存取被允許的應用程式,而在行動、雲端和應用優先的世界,可以預想這會是個艱難的挑戰。

對IT團隊來說,解決存取問題最簡單的方法就是將企業應用程式公開在網路上,每位使用者都有權訪問不同的企業應用程式。此解決方案聽起來不錯,但實際上確是個糟糕的方法。

因為所有存取控制邏輯都必須設定在應用程式中,但是大多數企業應用程式並非如此先進,而本次討論的主題也並非針對消費者使用的電商或銀行應用程式。

此外,當應用程式被公開在網路上,就容易遭受攻擊例如DDoS攻擊或是SQL注入式攻擊,同時如果有超過一個應用程式的話,也必須確保每個程式受到完善的保護。

然而,這種方法最大的問題是,資安團隊最終大多不會讓IT或應用程式團隊採用。從Akamai的觀點來看,如果企業想要採取這種方式,我們的網路效能和安全解決方案例如Ion和Kona Site Defender可以提供最佳協助,不過,很少有企業會想要嘗試這種方法。

隨著企業經歷變革性的改變,我們會懷疑舊方法是否依然適用。行動工作者透過行動裝置連結網路以造訪企業內部的應用程式,位於世界各地的第三方廠商甚至供應商,亦需要存取內部應用程式。而善用雲端的靈活優勢,意味要在外部環境下運行應用程式。

過去,IT團隊需要考慮如何安全的讓使用者存取網路。現在,當每個人都不在公司內時,IT團隊面臨的核心問題變成如何讓使用者透過網路安全的存取,因為使用者在防火牆外,所以公司需要打開防火牆讓外部進入,不過防火牆也因此喪失原來的防護功能,使網路存取控制面臨難題。

網路存取控制擅長辨識嘗試進入網路的使用者身分,但無法理解何種企業應用才是使用者欲存取的目標。因此,應用層級的存取控制依然不可或缺。

網路和應用存取控制內含多個需要IT團隊佈署的設備,包括負載平衡器(load balancer)、單一登入解決方案(single sign-on solution)、監控解決方案(monitoring solution)等等,可以想見配置、管理和維護將很快成為問題。

虛擬私人網路(VPN)因通常會要求客戶端必須安裝在端點上,而造成許多麻煩。事實上,傳統的存取方式相當複雜。超過200位IT人員和安全決策人員表示,75%企業在防火牆後提供第三方企業應用程式存取時,牽涉多達14個元件,其中包含應用程式遞送控制器(Application Delivery Controllers; ADC)、虛擬私人網路(Virtual Private Network ; VPN)佈署、身分管理系統及應用監控解決方案。

不只複雜,安全也是一大重點,而傳統存取解決方案可能會導致風險增加,即使已經使用所有傳統存取技術,公司依然持續暴露在多種安全風險之下,特別是跨越企業網路的橫向移動。我們時有耳聞資料外洩造成公司高層丟掉工作,而一切都起因於駭客試圖利用存取網路以獲取承包商的網路憑證。

當員工或第三方透過各自裝置連網存取企業應用程式時,企業不但無法完全掌控,亦增加安全風險、提升管理難度。

為何會如此呢?

當一名使用者有網路連線,就可以連上其他應用程式或相關資源,不過當那些應用程式沒有設置存取控制,使用者可能有辦法登入其他沒有被賦予權限的應用程式或資源。

以下為真實案例。有心人士從夥伴那偷走憑證,如果他連線上網,就可以在網路中橫向移動登入其他系統,例如銷售點系統,因他在信任區內,提供完整權限有何不可?

未來會再講述零信任模式(zero trust model)及重要性,但此觀念值得現在先簡單介紹

零信任模式(zero trust)是Akamai Enterprise Application Access (EAA)的核心。建構在防火牆之後,EEA提供更簡單、安全的方式,存取企業應用程式。

Enterprise Application Access可協助企業串流安全存取,無須客戶端建置同時提升特定應用程式的遠端存取安全措施。EAA僅提供特定應用程式經過認證、安全的存取。

最終讓私人企業應用程式與基礎建設、網路有所區隔,使攻擊影響最小化,避免基礎設施暴露於大眾之前。

以上需要支援HTML5的網路瀏覽器、Akamai平台和建構於資料中心或是虛擬私人雲端(virtual private cloud;VPC) 的Akamai企業連接器(Akamai Enterprise Connector)。Akamai企業連接器支援大多數虛擬機器監視器(hypervisor)和容器,並整合企業身分儲存如Active Directory,透過傳輸層安全協定(Transport Layer Security;TLS)和Akamai平台實現雙認證,意指不需要本地企業連接器管理,亦沒有其他開放路徑或端點可以連結到企業。以上只要求標準的外接HTTPS端,使企業連接器能夠在收到要求時撥出(dial-out)給Akamai平台。

同時,在必要情況下使用多因素驗證(multi-factor authentication;MFA)使用者,透過符合TSL的瀏覽器、Akamai 平台和企業身分儲存,加強單一登入(single-sign on;SSO)。一但通過安全驗證,Akamai平台可以輕易連結2個TSL對話,以便日後企業網路上受驗證的應用存取。

當企業應用程式反過來設置於防火牆之後,伴隨SSO和MFA的支援,員工和第三方可以利用網路瀏覽器或是行動應用程式遠端存取,而不會暴露整個企業網路,並減少橫跨網路應用程式無限制的橫向移動。

此外,使用者可以在任何地點安全地存取應用程式。舉例來說,如果一個應用程式在AWS VPC上,消費者需要將連接器建構在該環境中,亦做為VM的容器,使企業應用程式容易移往雲端亦方便在行動裝置上使用。

Enterprise Application Access吸引Akamai客戶興趣的原因為何?

EAA是Akamai提供的服務,無須在網路節點另外佈署設備,也不須在資料中心進行網路分割,且企業可在30分鐘內開始使用服務。

因為客戶不需要另外佈署,因此可以加快導入速度,同時減少人員配置以解決複雜的問題,最終可以大幅降低企業支出。

EAA同時可讓企業關閉其防火牆並隱藏應用程式避免暴露在網路上,提供較完善的安全防護模式: 邊緣防火牆沒有開放的連接埠,對網路抱持零信任態度。

最後,Akamai企業連接器能在任何公有雲環境中運作,因此企業可以將企業應用程式自由佈署在AWS、Azure、Google app engine或者是任何地方,只要透過支援HTML5的瀏覽器就可以在各種裝置上使用,而不受地點限制。

總結來說,Enterprise Application Access是較佳的方法,提供更簡便、受保護方式存取防火牆後的企業應用程式。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416