論及雲端服務安全性防護需求,市面上陸續出現了多種解決方案,各家廠商所提供的功能組合、成熟度也不一而足,而且,大多是從它們既有的資安產品開始延伸、擴充,之後才開始做到雲端管理的功能,然而,仍有一些廠商從創立初期,就投入這個領域發展,而且是以雲端服務的方式來提供解決方案,例如,成立至今已有9年的Zscaler,就是屬於這樣的典型。

相較於其他資安廠商的雲端安全防護產品,Zscaler是以軟體即服務(SaaS)的租用形式,提供網頁安全過濾、網路防火牆、資料外洩防護、沙箱檢測等多種防護。而在全球服務的布局上,該公司目前也已經設立了1百座資料中心,範圍涵蓋五大洲,包括臺灣。

就資安產品的提供而言,他們也不斷自我突破,在2016年4月推出了一套相當特別的服務,稱為Zscaler Private Access(ZPA),主要是基於該公司既有的雲端安全服務平臺而來,所針對的部分,是在使用者存取企業私有應用程式與服務,並且可涵蓋到位於IaaS、PaaS服務或是傳統資料中心上的應用系統,相當獨特。在這之前,該公司也推出了Zscaler Internet Access(ZIA),同樣是架構在Zscaler的安全平臺上,但保護的範圍較為局限,主要是網際網路上執行的應用程式,以及公有雲環境的軟體即服務(SaaS)。

基本上,ZPA是由下列三大部分所組成:
1.基於雲端服務平臺的政策引擎(cloud broker)
2.執行在使用者端電腦的Z-App,負責攔截應用程式的存取行為
3.坐落在應用程式之前的Z‐Connector,僅負責這些系統的對外連線

 

就產品名稱而言,ZPA的出現,可能會讓很多人聯想到企業行之有年的VPN(Virtual Private Network),然而,兩者在實際運作的方式上,有許多不同之處。例如,ZPA能以更細緻的方式進行控管與防護——可針對每個使用者所存取的應用程式與服務來進行設定;而且,不論它們位在公司內部的網路,或是外部的資料中心、公有雲服務,網路連線都是基於應用程式而建立的,流量也是彼此隔離的,同時,企業可在此透過政策來管理使用者的存取行為。

相較之下,VPN連線一旦建立起來,使用者雖然能遠端存取公司的內部網路,相當便利,但由於過去的VPN建置方式,往往允許對方能存取整個內部網路,這麼一來,就會導致企業網路環境暴露在高風險的狀況下。

上圖當中,左側是傳統基於網路架構的遠端安全存取模式(VPN),針對的主要部分是網路安全,架構在網路流量出入閘道的管制上;右邊則是基於政策的的遠端安全存取模式(ZPA),聚焦在應用程式的存取控管,Zscaler強調,無論透過何種網路建立連線,ZPA均可適用。

此外,ZPA本身也繼承了Zscaler雲端服務平臺的特點,企業不需額外採購和建置專屬的硬體設備,即可快速啟用當中提供的各種安全服務,像是網頁安全閘道、現行SaaS服務使用的偵測與控管、進階威脅防護。而ZPA架構部署起來的所需時間也相當短暫,可在幾個小時之內完成。

就連接方式而言,我們需在Windows或Mac平臺的個人電腦上,安裝Zscaler App(Z‐App)的用戶端程式,使用者即能以此種單一登入的方式,連入Zscaler雲端安全平臺,隨後即可受到當中多種機制的保護,進而安全存取企業允許執行的各種應用程式,以及雲端服務。

而在企業自行維運管理的資料中心,或是租用的雲端服務(IaaS、PaaS)上,則需要架設Zscaler Enforcement Nodes(ZENs)的設備,作為連接器(Z‐Connector),同時,這些設備可部署在VMware伺服器虛擬化平臺之上。

使用者透過ZPA來存取企業應用系統時,過程當中,會經歷下列7個步驟。
1.使用者開始存取Z-App
2.在進行網路DNS網域名稱對應之前,系統會先驗證使用者身分與角色
3.檢查是否符合相關政策,以便決定是否批准存取權
4.開始決定最佳傳輸路徑
5.通過上述程序之後,Z‐Connector會開始啟動對外連線,而Z-App也會根據每個應用程式來啟動個別的連線,接著會由Zscaler cloud broker將兩端的連線接取起來
6. Z‐Connector本身會在多臺虛擬機器或伺服器當中,進行協調,提供應用程式負載平衡
7.監控應用程式用量,同時偵測異常存取行為

 

產品資訊

Zscaler Private Access
●代理商:逸盈科技(02)6636-8889、笛雅科技(02)2760-1766
●建議售價:廠商未提供
●提供功能:安全遠端存取、員工上網安全防護、次世代防火牆、資料外洩防護、沙箱檢測
●用戶端系統需求:150MB記憶體、200MB硬碟空間,作業系統支援Windows 7-10,Mac OS X 10.10
●資料中心端系統需求:需架設Zscaler Enforcement Node設備,伺服器虛擬化平臺支援:VMware ESX/ESXi

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容