Akamai產品行銷總監 Lorenz Jakober企業遠端存取的發展是個長期歷程。剛開始遠端應用存取需求只是少數,現在透過網路,應用程式即可在 AWS 、 Azure 等資料中心使用。
本文目錄
所以誰需要這些企業應用程式的存取呢?
有些應用程式為企業員工而設計,有些則針對第三方利害關係人。事實上,越來越多企業的承包商、顧問、甚至是加盟者對企業應用程式存取的需求漸增。
然而,並非所有使用者對應用程式存取的需求都相同,因此 IT 團隊必須考量使用者和應用程式的組合,制定不同權限規範,確保正確的使用者能夠存取被允許的應用程式,而在行動、雲端和應用優先的世界,可以預想這會是個艱難的挑戰。
對 IT 團隊來說,解決存取問題最簡單的方法就是將企業應用程式公開在網路上,每位使用者都有權訪問不同的企業應用程式。此解決方案聽起來不錯,但實際上確是個糟糕的方法。
因為所有存取控制邏輯都必須設定在應用程式中,但是大多數企業應用程式並非如此先進,而本次討論的主題也並非針對消費者使用的電商或銀行應用程式。
此外,當應用程式被公開在網路上,就容易遭受攻擊例如 DDoS 攻擊或是 SQL 注入式攻擊,同時如果有超過一個應用程式的話,也必須確保每個程式受到完善的保護。
然而,這種方法最大的問題是,資安團隊最終大多不會讓 IT 或應用程式團隊採用。從 Akamai 的觀點來看,如果企業想要採取這種方式,我們的網路效能和安全解決方案例如 Ion 和 Kona Site Defender 可以提供最佳協助,不過,很少有企業會想要嘗試這種方法。
隨著企業經歷變革性的改變,我們會懷疑舊方法是否依然適用。行動工作者透過行動裝置連結網路以造訪企業內部的應用程式,位於世界各地的第三方廠商甚至供應商,亦需要存取內部應用程式。而善用雲端的靈活優勢,意味要在外部環境下運行應用程式。
過去,IT 團隊需要考慮如何安全的讓使用者存取網路。現在,當每個人都不在公司內時,IT 團隊面臨的核心問題變成如何讓使用者透過網路安全的存取,因為使用者在防火牆外,所以公司需要打開防火牆讓外部進入,不過防火牆也因此喪失原來的防護功能,使網路存取控制面臨難題。
網路存取控制擅長辨識嘗試進入網路的使用者身分,但無法理解何種企業應用才是使用者欲存取的目標。因此,應用層級的存取控制依然不可或缺。
網路和應用存取控制內含多個需要 IT 團隊佈署的設備,包括負載平衡器 (load balancer) 、單一登入解決方案 (single sign-on solution) 、監控解決方案 (monitoring solution) 等等,可以想見配置、管理和維護將很快成為問題。
虛擬私人網路 (VPN) 因通常會要求客戶端必須安裝在端點上,而造成許多麻煩。事實上,傳統的存取方式相當複雜。超過 200 位 IT 人員和安全決策人員表示,75% 企業在防火牆後提供第三方企業應用程式存取時,牽涉多達 14 個元件,其中包含應用程式遞送控制器 (Application Delivery Controllers; ADC) 、虛擬私人網路 (Virtual Private Network ; VPN) 佈署、身分管理系統及應用監控解決方案。
不只複雜,安全也是一大重點,而傳統存取解決方案可能會導致風險增加,即使已經使用所有傳統存取技術,公司依然持續暴露在多種安全風險之下,特別是跨越企業網路的橫向移動。我們時有耳聞資料外洩造成公司高層丟掉工作,而一切都起因於駭客試圖利用存取網路以獲取承包商的網路憑證。
當員工或第三方透過各自裝置連網存取企業應用程式時,企業不但無法完全掌控,亦增加安全風險、提升管理難度。
為何會如此呢?
當一名使用者有網路連線,就可以連上其他應用程式或相關資源,不過當那些應用程式沒有設置存取控制,使用者可能有辦法登入其他沒有被賦予權限的應用程式或資源。
以下為真實案例。有心人士從夥伴那偷走憑證,如果他連線上網,就可以在網路中橫向移動登入其他系統,例如銷售點系統,因他在信任區內,提供完整權限有何不可?
未來會再講述零信任模式 (zero trust model) 及重要性,但此觀念值得現在先簡單介紹。
零信任模式 (zero trust) 是 Akamai Enterprise Application Access (EAA) 的核心。建構在防火牆之後,EEA 提供更簡單、安全的方式,存取企業應用程式。
Enterprise Application Access 可協助企業串流安全存取,無須客戶端建置同時提升特定應用程式的遠端存取安全措施。 EAA 僅提供特定應用程式經過認證、安全的存取。
最終讓私人企業應用程式與基礎建設、網路有所區隔,使攻擊影響最小化,避免基礎設施暴露於大眾之前。
以上需要支援 HTML5 的網路瀏覽器、 Akamai 平台和建構於資料中心或是虛擬私人雲端 (virtual private cloud;VPC) 的 Akamai 企業連接器 (Akamai Enterprise Connector) 。 Akamai 企業連接器支援大多數虛擬機器監視器 (hypervisor) 和容器,並整合企業身分儲存如 Active Directory,透過傳輸層安全協定 (Transport Layer Security;TLS) 和 Akamai 平台實現雙認證,意指不需要本地企業連接器管理,亦沒有其他開放路徑或端點可以連結到企業。以上只要求標準的外接 HTTPS 端,使企業連接器能夠在收到要求時撥出 (dial-out) 給 Akamai 平台。
同時,在必要情況下使用多因素驗證 (multi-factor authentication;MFA) 使用者,透過符合 TSL 的瀏覽器、 Akamai 平台和企業身分儲存,加強單一登入 (single-sign on;SSO) 。一但通過安全驗證,Akamai 平台可以輕易連結 2 個 TSL 對話,以便日後企業網路上受驗證的應用存取。
當企業應用程式反過來設置於防火牆之後,伴隨 SSO 和 MFA 的支援,員工和第三方可以利用網路瀏覽器或是行動應用程式遠端存取,而不會暴露整個企業網路,並減少橫跨網路應用程式無限制的橫向移動。
此外,使用者可以在任何地點安全地存取應用程式。舉例來說,如果一個應用程式在 AWS VPC 上,消費者需要將連接器建構在該環境中,亦做為 VM 的容器,使企業應用程式容易移往雲端亦方便在行動裝置上使用。
Enterprise Application Access 吸引 Akamai 客戶興趣的原因為何?
EAA 是 Akamai 提供的服務,無須在網路節點另外佈署設備,也不須在資料中心進行網路分割,且企業可在 30 分鐘內開始使用服務。
因為客戶不需要另外佈署,因此可以加快導入速度,同時減少人員配置以解決複雜的問題,最終可以大幅降低企業支出。
EAA 同時可讓企業關閉其防火牆並隱藏應用程式避免暴露在網路上,提供較完善的安全防護模式: 邊緣防火牆沒有開放的連接埠,對網路抱持零信任態度。
最後,Akamai 企業連接器能在任何公有雲環境中運作,因此企業可以將企業應用程式自由佈署在 AWS 、 Azure 、 Google app engine 或者是任何地方,只要透過支援 HTML5 的瀏覽器就可以在各種裝置上使用,而不受地點限制。
總結來說,Enterprise Application Access 是較佳的方法,提供更簡便、受保護方式存取防火牆後的企業應用程式。