編輯部(本文為 2018 網路資訊「無邊界網路安全研討會」新竹場之會後報導)
「一提到 Ipswitch 公司大家第一個想到的是知名網路監控軟體 WhatsUp Gold,但我們今天要談的是另一個軟體 MOVEit,它是檔案傳輸管理軟體。」為避免誤解 Ipswitch 亞太區技術總監林逸軒在開場言明今日主題。不可免俗的林逸軒簡單介紹了 Ipswitch 公司,Ipswitch 在全球 116 國設有據點並擁有超過 42,000 家企業客戶,除少數如格陵蘭、馬達加斯加外幾乎都有 Ipswitch 的足跡。
今日所談的資安觀念,除了一直建立防禦避免被攻擊外,企業也當從另一層面想,企業要保護的是什麼?關於此在歐盟正式實施嚴格的 GDPR 後,個資與資訊被視為有價資產已很明顯。因此當以「要保護何種資產?」為中心來建立資安政策,從源頭開始落實防護,主動保護資產而非一味被動抵禦攻擊,企業資安才算完整。
既然企業資訊為有價資產,但這些資訊以各種檔案形式存在於企業中,企業內的成員相互間要分享傳遞檔案,也要與外部的客戶、商業夥伴分享傳遞檔案。而分享傳遞有各種管道與手法,如信件附檔、雲端檔案共享(如 Dropbox 、 Google Drive 等)、 FTP 協定傳送等,甚或是 USB 隨身碟、 NAS 。然這些方式均有其風險,稍有不慎即會讓企業的有價資產外洩,因而必須有效地控管但又不失原有的便利性。
針對此一痛點 Ipswitch 的 MOVEit 可帶來控管的檔案傳輸,例如對資料進行加密、以自動化排程方式傳遞資料、查核資料的完整性(是否遭竄改)、對內容進行掃描偵測、對檔案傳遞運送進行追蹤記錄,並在出現違規動作時即時發出警訊,或進行分享存取等行為分析。另外 MOVEit 也支援法遵合規,除前述的歐盟 GDPR 外,金融業要求的 PCI DSS,醫療業要求的 HIPPA 等均已到位。
除檔案動作行為外 MOVEit 也提供 Secure Folder Sharing 功能,可簡單快速地實現安全協同作業,管理上也很簡易,分享的建立既可在企業自有機房亦可在雲端,更重要的是檔案分享傳遞過程均完整記錄,有助於稽核追蹤。
而談及資料夾分享即會有人提及 EFSS(Enterprise File Sync and Sharing,泛指企業檔案同步與共享軟體),但 Secure Folder Sharing 遠比一般 EFSS 強大,包含內外使用者數目不受限制、告知哪些資料夾可分享、對竄改留下證據記錄等,EFSS 除了與 Secure Folder Sharing 一樣易用外各方面均不若 Secure Folder Sharing 。
既然 MOVEit 的目標是在企業檔案的安全防護與傳遞,則必須合乎更多資安標準與技術,如 MOVEit 合乎 FIPS 140-2 標準,且 MOVEit Transfer(MOVEit 成員軟體之一)是以 AES 256-bit 對稱加密後傳送。
此外 MOVEit 也有優異的控管功能,包含即時追蹤檔案上傳、下載動向,或透過 MOVEit Transfer Live View 以掌握檔案傳輸的效能表現與傳遞狀態,如傳遞中、塞車中、傳遞失敗、傳遞完成等。
最後林逸軒總監也透露一個小秘密,整個 MOVEit 方案最初是為金融業所打造設計,合乎銀行業各種嚴格的安全控管規範,在歷經多年實際歷練考驗後,而今也適合各產業、各種規模的企業導入運用,企業唯有效率運用(傳遞分享)資訊資產同時妥善保護資訊資產,才能讓企業更具競爭力,因應未來機會與挑戰。
