安全行動職場= VPN遠端存取+終端防護

| | | | | | 1則回應

    

企業形態轉變　行動辦公室成主流

過去幾年來，職場形態逐漸轉變，行動工作者的數量大幅增加，主要原因來自行動化設備、行動應用與通訊產業的蓬勃發展。根據IDC的研究報告顯示，2009年全球行動工作者將從2004年的6億5,000萬名，成長至超過8億5,000萬，總數更將達全球工作人口的1/4強。

企業為行動工作者或企業夥伴所提供的遠端存取功能，可能包括基本的電子郵件收發、檔案存取、企業資源規劃(ERP)，或其它各種應用軟體。以遠端存取的應用需求考量，網路層的IPSec或應用層的傳統SSL VPN，以往便是企業必須選擇與考量的遠端存取架構。至於終端安全，則隨著遠端存取從適用於固定兩站連線（Site-to-site）的IPSec VPN，發展至以網頁應用（Web-based）或精簡用戶端（think-client）為主的SSL VPN，進一步使得端點安全的問題更加複雜。

這不僅是因為終端的行動設備已全非企業所能管理，例如筆記型電腦或不定點、定時可能使用的一般家用桌上型電腦；更重要的是，這些行動設備與企業進行遠端連線之前，是否已遭入侵植入木馬或監控程式？如何針對這些行動使用者執行存取控管或訂定政策加以管理？都使得企業資安面臨重大的考驗。

既然不安全的風險主要是來自於無法管控（unmanaged）的終端行動設備，因此企業為員工或合作夥伴提供VPN「遠端存取」服務時，已不能再只侷限於單純考量VPN的適用性、IT應用需求，或是資料傳輸過程的安全性，同時還必須考量「終端安全」。IDC早期在2004年的研究即顯示，遠距的行動工作者才是企業網路最大的隱憂，對企業所造成的損失即高達300億美元

「遠端存取」與「終端安全」的整合

因此，企業的VPN設備在容許行動裝置進行遠端存取之前，必須能事先檢查瀏覽器安全性（Browser Security）、主機完整性（Host Integrity），同時能防堵終端設備上可能存在的惡意軟體（Maleware Protection），例如鍵盤側錄（keystroke logger）或畫面擷取等惡意程式。另外，也是最重要的，則是經由遠端存取資訊時，如何進行控管（Information Controls），例如限制複製、轉存或列印。

遠端存取與終端安全的結合，是保護企業資訊安全最基本的思維，同時也是企業建置新一代SSL VPN遠端存取功能時主要的考量。終端安全有四個主要的檢視與考量方向：瀏覽器安全、主機完整性、惡意軟體防護和資訊控管。

瀏覽器是傳統SSL VPN主要的存取方式，確保遠端存取期間的瀏覽器安全是相當重要的。瀏覽器可能儲存的資訊，包括快取與自動完成的記錄資料，以及離線瀏覽的暫存檔等等。例如，瀏覽器的快取必須在每個連線期間都進行加密，並且在連線結束後清除。

主機完整性的檢驗能事先掌控遠端設備自身的安全性，例如針對遠端設備是否有基本的防毒措施、客戶端防火牆與特定軟體版本的更新狀態等進行檢查，以避免不安全的遠端設備經由遠端連線後，危害到整個企業網路。

另外則是惡意軟體防護。新世代的SSL VPN必須能確保所傳輸的資料，無法被潛藏的鍵盤側錄攻擊或畫面擷取程式所竊取，即使它們在進行連線前便已存在終端設備中。

最後，則是資訊控管。企業資訊一旦經由遠端存取到行動工作者的電腦中，無論是不經意的洩露或遭竊取，都將對企業造成損害。因此企業透過SSL VPN對外提供遠端存取時，必須要能夠控管資訊，例如限制轉存檔案、複製至剪貼簿、列印，甚至連螢幕拷貝都要能控管，才能確保企業資訊的安全。

瀏覽器安全、主機完整性、惡意軟體防護和資訊控管，是企業建置SSL VPN遠端存取設備最基本的終端安全考量。唯有兼顧「終端安全」，「遠端存取」才能真正為企業創造價值，為行動工作者提昇效率，否則可能會為企業資安帶來更大的潛在危機。