作者:Palo Alto Networks香港及澳門區域總經理王衍恒
影子 IT(Shadow IT)其實不足為懼。這是指一些不在機構 IT 部門掌控下的 IT 裝置、軟件及服務。根據 IDC 的調查指出,影子 IT 形成的兩大主因包括:IT 供應商的推廣延伸至商務用戶,以及業務流程主管要求加快 IT 項目的進度。
在這個時代,SaaS(軟件即服務)供應商代替企業管理的數據持續增加。可想而知,這些雲端服務為機構提供近乎即時存取以至其他進階功能,使企業能夠在競爭中領先。既然如此,企業對影子 IT 應該採取務實的態度 ─ 如何更佳地支援業務需要,同時控制風險。
新世代防火牆最能幫忙
一個有效的策略必須考慮兩個現實問題。首先,大部分安全操作缺乏用來監察機構使用 SaaS 服務所需的透明度,簡單來說就是企業不能控制所看不見的東西。這並非指企業需要在公司翻箱尋找及堵截違規的雲端使用者,這樣某程度上很可能影響業務增長。但是,企業可能想辨識使用者的習慣,以便在推動特定的服務。
如果這些服務對一個團隊有利,便很可能惠及全公司,新世代防火牆在這時候便扮演非常獨特的角色。因為其設計一方面能夠讓企業安全地使用與業務相關的應用程式,同時阻截將帶來不必要風險的應用程式。為了達致目標,此類防火牆能夠識別上千個應用程式,包括建基於 SaaS 平台的程式。
這不但為機構的影子 IT 增加能見度,更是一個建立控制系統的有效方法。在某些情況下,企業可能需要快速判定 SaaS 服務會否帶來太高風險,新世代防火牆此時有能力確保用戶落實以應用程式和以使用者為基礎的保護策略。這為個人(行政總裁或會要求存取他的 Box 帳戶)、團隊(如人力資源部門)或整間公司提供更精細的存取控制功能。一些機構已經把這些政策延伸為合規計劃的一部分,而團隊在得到存取權限前亦接受基本的使用培訓。
需要解決 BYOX 問題
第二個需要正視的實際情況源於 BYOX(Bring Your Own “X”)政策。由 BYOX 應運而生的流動工作團隊和持續增加的雲端服務,已經完全侵蝕傳統的區域界線。新的界線將由兩個簡單的元素界定:個人身分和可存取的數據。在雲端應用程式、保留在企業內的應用程式和用以登入應用程式的裝置之間作小心協調,保護新的界線。
對於在公司內上班的員工,可依賴新世代防火牆提高能見度和控制風險,透過更高的透明度確保只使用受認可的 SaaS 服務。
據 Forrester 指出,新世代防火牆在 Zero Trust 架構中可用作網絡分段閘關(segmentation gateway)。這有助於透過在敏感數據段建立保護區來防止黑客的入侵(lateral movement)。
識別敏感數據段後,以使用者和應用程式為基礎的防火墻策略,便可作出即時的相應調整,確保只有得到授權的人和其裝置才可登入。
至於在外、進行流動辦公的員工,有三個優先考慮的問題。這些考慮都是基於一個簡單的前提:用戶應該得到與網絡內同等的保護。這由確保裝置可以安全地啟用為本,同時簡化部署和安裝。如此一來,可以確保裝置被適當地設置,例如使用加強的密碼和加密功能。流動員工同樣需要如在網絡內工作時的保護,免受漏洞和惡意軟件的攻擊。
最後,企業必須有效控制數據存取和流動,即是透過應用程式、用戶、用戶的裝置來控制登入。數據的流動控制則需要延伸至裝置,確保數據保留在獲認可的應用程式。
正確部署新世代防火墻,不但可以保護用戶免於網絡攻擊,還可提供必須的透明度,以減低影子 IT 帶來的相關風險。這些功能今天以整合解決方案的形式存在於市場。