存取位於網際網路的網站應用服務,已然成為當前企業IT的常態,在傳統架構下,我們尚可透過建置在連外網路出入口的安全閘道,例如網頁安全防護設備或是UTM、次世代防火牆,來管制與防護員工的上網活動,但如今,許多應用系統與資料的存取,是在廠商維運的雲端服務平臺上面執行,該如何同時確保傳統與雲端環境下的上網安全?

有些資安廠商開始投入這個領域的發展,例如,ZScaler就以提供雲端平臺的安全即服務(security as a service)聞名,也有一些廠商推出所謂的雲端安全存取服務中介層(Cloud Security Access Broker,CASB)的解決方案,就像Symantec的CloudSOC系列,而網路與資安設備大廠Cisco也有這樣的雲端服務,2017年,他們正式以Umbrella為名,推出雲端網路安全閘道服務。

這條發展雲端安全服務平臺的過程,其實,牽涉到Cisco過去的幾次併購。

他們先是2009年併購ScanSafe,而在2012年推出了雲端網頁安全閘道服務Cloud Web Security(CWS);接著在2013、2014年,他們陸續併購SourceFire、ThreatGRID,而發展了防禦進階惡意威脅的Advanced Malware Protection (AMP)系列;然後,Cisco在2015年又買下OpenDNS,取得Umbrella的網路安全服務;到了2016年,他們併購CASB的廠商CloudLock。

針對指定的網域,Umbrella可以呈現出目前已經阻擋的網路威脅事件趨勢,並且列出違反管制的使用者身分。

Umbrella的特色是基於DNS與IP網路的層級,提供阻絕惡意存取請求的強制防護功能(Enforcement)——在這些惡意活動接觸到你的網路或端點之前,或是在它們啟動的命令與控制伺服器回傳資料之際,不論它們透過任何網路埠或通訊協定進行連線,就能夠先行擋住。

而且,這套雲端安全服務能夠偵測各種連至惡意網域、網址、檔案的存取請求,並且在連線建立與下載檔案之前,就予以攔阻。

受益於本身是由Cisco所維運的雲端服務,租用Umbrella的企業無需準備額外的硬體來安裝系統,也不需耗費人力進行軟體更新。

同時,Umbrella也能搭配Cisco既有的網路設備與資安軟體,一起使用,像是ISR 4000系列路由器、2504/5508/5520/ 8510/8540 無線網路控制器,以及AnyConnect用戶端安全連線軟體,可將企業存取的網際網路流量送往Umbrella處理。

而且,就算使用者的連網裝置不在企業內部網路,也能受到Umbrella的保護。

圖中呈現的架構是說明Cisco Umbrella能夠保護位於企業外部的行動使用者電腦。
透過安裝在使用者電腦的Roaming Client用戶端程式,可以將本機的網路DNS查詢指向127.0.0.1:53,而不查詢其他DNS服務,確保所有的DNS查詢請求都會藉此指向最近的Umbrella資料中心,由它們利用內部網域的作法來處理相關網路資源的配置,並且以全程加密、套用內容安全過濾機制的連線進行,若電腦要連接Umbrella或企業認為的不安全網站,瀏覽器就會出現阻擋存取的畫面。

 

對於位於企業內部網路或是透過VPN連線的電腦而言,可透過網路防火牆來保護網路安全,而行動使用者電腦如果不是透過連至企業網路的VPN來連接網際網路時,藉由Umbrella的Roaming Client也能結合Umbrella的服務來獲得網路防護。

Umbrella在統計報告的部分上,特別獨立出一個項目是專門針對企業目前使用的雲端服務,可列出正在使用的所有雲端服務。

若要查看每一種雲端服務細部的使用狀況,還可以在Umbrella的雲端服務報告當中,進一步點選指定項目,即可瀏覽使用這套雲端服務的使用者數量與身分,以及是否為公司認可的合法存取。

Umbrella可以結合Cloudlock一起使用,辨識企業正在使用的SaaS是否為合法、安全的應用服務,並且阻止使用者存取其他高風險或不恰當的SaaS應用,能夠保護使用者的身分、資料、應用程式,免於遭到竊取、外洩,以及遭到雲端惡意軟體的攻擊。

若單就Umbrella本身所使用的安全防護層面來看,可區分為下列幾種作法:首先,是針對網路層的防護,Umbrella能夠透過機器學習的模式,發現已知與新興的威脅,並且可以基於DNS與IP協定的層級,封鎖任何連至惡意網路位址的連線;其次,則是應用層的防護,Umbrella可整合網路威脅情報服務Talos,在HTTP與HTTPS連線作業過程中,封鎖惡意網址;最後,是針對檔案的防護,Umbrella運用了Cisco本身的進階惡意防護Advanced Malware Protection(AMP),能夠在雲端服務環境當中,進行惡意檔案的偵測與阻擋。

登入Umbrella的網頁主控臺之後,我們可以點選Overview的主功能項目,即可快速掌握目前企業24小時內的惡意軟體與殭屍網路事件數量,以及各種安全相關事件的比例與數量。

在網頁存取的防護上,Umbrella本身也提供智慧型代理(intelligent proxy)的機制,透過Proxy代理的檢測方式,阻擋企業的用戶端電腦連至惡意網址。而這套智慧型網頁代理的背後,現在是由多個微型服務(microservices)所重新架構而成,可自動擴展規模,以因應網路流量的變化,提供更良好的防護效能。

既然Umbrella具有許多強化安全性的特色,而在網路連線效率上,Umbrella也別出心裁,採用了更為新穎的泛播路由(Anycast routing),讓用戶網路連線不會遭遇到中斷或變慢的狀況。在這種路由下,每一個資料中心可以都可以宣告同一個IP位址,使連線請求可以用最快、通透的方式傳送到目的地,並能支援自動容錯的連線恢復機制,達到持續提供網路服務的要求。

產品資訊

Cisco Umbrella
●原廠:Cisco(02)8758-7100
●建議售價:廠商未提供
●提供套件類型:Roaming(針對行動使用者)、Branch(搭配ISR 4000路由器)、Professional、Insights、Platform
●選購項目:網路威脅情報服務Umbrella Investigate
●用戶支援等級:基本(24x5限用電子郵件聯繫)、金(24x7全球支援)、白金(帳戶專屬技術經理)
●虛擬應用設備:每個站點需要2臺,支援VMware ESXi 4.1 Update 2、微軟Windows Server Hyper-V 2008 - 2012 R2
●行動用戶端軟體支援作業系統:Windows 7 - 10、Mac OS X 10.9以後版本

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容