告別 VPN 時代的資安夢魘!資褓儲存攜手 Array Networks,以「網路隱身」與「無密碼」打造企業零信任護城河
混合辦公讓遠端連線變成每天的日常,但也讓企業資安長 (CISO) 與資訊科技 (IT) 管理者提心吊膽。傳統的 SSL VPN (Secure Sockets Layer Virtual Private Network,安全通訊端層虛擬私人網路) 已經變成駭客最愛攻擊的目標。面對越來越猖獗的勒索病毒,光靠「帳號密碼」來防守真的不夠力。
作為企業資料安全的守護者,資褓儲存 (DataSitter) 深刻了解企業想要「高安全性」又怕「員工覺得難用」的兩難。為此,資褓儲存特別解析現代遠端連線的三大痛點,並說明 Array Networks 的 ZTAG (Zero Trust Access Gateway,零信任存取閘道器) 如何用零信任架構,幫企業打造一道看不見又聰明的數位護城河。
痛點一:大門開著好危險,怎麼讓駭客「看不到」企業入口?
傳統 SSL VPN 有個致命傷:為了讓員工隨時連線,必須把服務埠口 (例如 TCP Port 443,傳輸控制協定 443 埠) 一直對著網際網路開著。這就像公司大門永遠沒關,雖然有密碼當警衛,但駭客只要在網路上用掃描工具,就能輕鬆找到大門,並隨時發動暴力破解或鑽漏洞。一旦門被攻破,駭客就直接闖進來了。
Array ZTAG 的解法:SPA 單包授權技術 (Single Packet Authorization) Array ZTAG 用了革命性的「網路隱身」機制。透過 SPA 技術,ZTAG 的入口平常是「完全關閉」的。當真正的員工要連線時,電腦或手機會先丟出一個帶有驗證資訊的特殊 UDP 封包 (User Datagram Protocol,使用者資料包協定) 來「敲門」。只有敲門暗號對了,閘道器才會打開一下下讓人進來,隨後馬上又藏起來。也就是說,駭客根本掃描不到你的網路入口,找不到門就無從攻擊。
痛點二:員工家用電腦中毒怎麼辦?如何防止內網被牽連?
「帳號是對的,但設備安全嗎?」這是傳統 VPN 無法回答的問題。員工用自己的私人電腦 (BYOD,Bring Your Own Device,員工自攜設備) 連回公司,萬一電腦太老舊、沒裝防毒,甚至已經中毒了,傳統 VPN 給了全通的權限,反而讓惡意軟體能直接順著通道,跑進公司內網感染核心伺服器。
Array ZTAG 的解法:動態設備環境檢測 (Device Posture Check) 零信任的精神就是「絕對不相信,一定要檢查」。ZTAG 在讓你登入前,會嚴格檢查你的設備健不健康,包含作業系統版本、防毒軟體狀態,以及 HWID (Hardware Identification,硬體識別碼)。更厲害的是,這個檢查是「隨時動態」的。資褓儲存建議,如果連線到一半設備出現異常或關了防毒軟體,ZTAG 會立刻把權限降級或直接登出,確保只有乾淨健康的設備才能碰公司的資料。
痛點三:密碼難記又容易被盜,怎麼兼顧安全與方便?
為了防駭客,IT 部門規定密碼要超複雜,還要每 90 天換一次。結果員工記不住,通通寫在便利貼上,或是天天找人求救求重設密碼,不僅管理成本高,還很容易被釣魚攻擊騙走。靜態密碼真的是防護中最弱的一環。
Array ZTAG 的解法:FIDO 生物辨識與無密碼登入 (Fast Identity Online,快速線上身分識別) Array ZTAG 深度結合了 FIDO2 與 FIDO UAF 標準,帶企業進入「無密碼時代」。員工直接用手機的指紋辨識、臉部解鎖 (FaceID) 或是硬體金鑰 (Security Key) 就能快速登入。這樣一來,不用擔心密碼被偷,員工也不用再死背複雜密碼,摸一下就能安全連線。資褓儲存強調:最好的資安,就是讓員工覺得很順暢沒有阻礙,卻能享有最高等級的防護。
資褓儲存的專家建議與下一步 引進零信任架構不只是換一台設備,而是防禦思維的大升級。Array ZTAG 一次包辦了 SPA 隱身、設備檢查、FIDO 認證和動態資源分配 (Dynamic Authorization)。
針對想強化遠端安全的企業,資褓儲存建議採取以下三個步驟:
-
盤點高風險存取: 先找外部供應商、有特權的管理者,或是常用私人設備的員工,優先導入 ZTAG 把他們隔離控管起來。
-
實施最小權限原則: 用 ZTAG 的 256 個虛擬站點與獨立路由表功能,把不同部門與角色的權限切細,避免內網互通的風險。
-
預約資安健檢與 POC (Proof of Concept,概念驗證): 別等勒索病毒找上門才行動!現在就聯絡資褓儲存團隊,安排 Array ZTAG 的現場展示與 POC,親眼見證「網路隱身」的防禦效果。