COVID-19 (新型冠狀病毒) 疫情已為聯邦民間政府部門機構帶來艱困的 IT 與安全性挑戰,這些單位必須維持營運,同時減輕內部員工的健康風險。這波情勢也讓上述單位有機會調整現有或新的網路安全技術,善用過去在內網安全已經運用的設備風險持續性監控(CDM) 的管理機制。由於 COVID-19 疫情期間越來越多員工居家辦公,各種新的障礙也隨之浮現,像是如何擴展並保護私人虛擬網路 (VPN) 及遠端存取。舉例而言,許多機構之前可能沒有相關需求,因此並未制定如此大規模 VPN 網路和遠端工作者的安全實務,但現在情勢正快速改變。

運用 Forescout 迎接挑戰

Forescout 具有獨特優勢,有助於各機構激增的遠端員工確保安全。當遠端端點透過 VPN 連線至企業網路時,各機構網路管理員必須採用與內部部署相同的合規安全性分析與安全控管方式,包括設備合規性檢測、設備風險評估與政策性的網路存取控制,以防禦使用者將企業或個人裝置遠端連線至企業網路可能帶來的資安風險。此外也可納入安全性與政策性合規監控,同時強化快速回應威脅的能力。

Forescout 客戶也能選擇要求遠端員工在個人 Windows/Mac/Linux PC 或筆記型電腦上安裝 Forescout Agent(可提供一次性臨時Agent),讓網路管理員得以掌握這些裝置的安全狀態,並依據每個情境的風險評估進行相應的網路存取管理。Forescout 客戶善用這些方法,在存取機構資源之前以至於連線期間,都能持續確保 VPN 連線安全,無論是政府的受控裝置或個人的非受控裝置皆然。

遠端裝置連線至企業網路時,網路管理員必須能立即查看與辨識,就像以往的內部部署裝置一樣。這延伸擴大的風險可視性有助於將新型居家辦公環境的風險降到最低,而且不論這些裝置的連線位置為何,管理員都必須確保其持續遵守法規。無論 VPN 連線的裝置是否有代理程式,Forescout 平台都能加以辨識並保障其安全,藉此實現安全檢測、裝置合規,並減少攻擊面。

Forescout 讓客戶能辨識 VPN 用戶端,並針對下列裝置強制執行原則:

  • 受控 Windows 裝置
  • 受控 Mac 裝置
  • 受控 Linux 裝置
  • BYOD/非受控裝置

透過 VPN 連線的受控裝置必須遵守內部部署連線裝置適用的相同連線前後安全原則。Forescout 平台也能夠應付透過 VPN 連線的自攜設備 (BYOD)/非受控裝置,立即將這類裝置標記為「非企業」,並歸類至「透過 VPN 連線的非受控裝置」類別。BYOD/非受控連線裝置分成一類,有利於系統管理員輕鬆加以監控,辨識特定不良特徵或行為。然後,機構系統管理員就是否拒絕或限制網路資源存取,迅速制定明智決策。在此情境中,Forescout 客戶可將輕量型Forescout Agent部署至 BYOD/非受控裝置。若能結合 Forescout VPN Concentrator Plugin 和 Forescout Agent,管理員可針對未知 VPN 連線裝置,強制執行更全面的主機和網路控制,確保這些裝置符合以原則定義的安全性要求後,才能存取企業網路資源。舉例而言,VPN Concentrator Plugin 可透過網路的驗證伺服器 (如 Radius 或 Active Directory (AD)),將使用者中斷連線,如有必要更能阻止其重新連線。

Forescout 提供的標準Policy模板能先辨識 VPN 分段,以判定哪些端點是由單位控制、哪些不是,如此能加速裝置分組程序,適當歸類並套用存取控制。圖 1 螢幕截圖呈現 Forescout Policy Manager 主控台內的這項Policy。

圖 1 – 辨識 VPN 連線之受控和非受控裝置的 Forescout 原則。

對於如何設定 Forescout 來達成上述結果如有任何疑問,請參閱 Forescout VPN Integration Primer:Device Visibility, Compliance and Control for Remote Teleworkers (VPN Integration Primer:遠端工作者的裝置能見度、合規性與控制),並聯絡您的客戶經理和工程師尋求協助。

若需更多資訊,請至 Forescout.com


更多 iThome相關內容