2022 數位政府高峰會

綜觀現今網路安全趨勢，舉凡行動辦公成為新常態、網路邊界爆炸性成長、高度複雜的新型態威脅、有經驗的資安人才短缺，加上工業互聯網與外網互連比例激增。顯示不論民間企業或政府機關面臨的資安挑戰，都與日俱增。

Fortinet資深技術顧問楊光明指出，從整體長期戰略趨勢與技術演進等角度來看，未來要做好資安防護，務須符合融合、統整、AI暨自動化等三大方向。因網路邊界無所不在，故需融合網路、資安雙重能力，確保每個網路邊界都有對應的資安防護存在。在此同時，網路或資安平臺之間亦需要協同合作，以創造最大效益。且由於新型態威脅複雜度飆高，所以需要透過AI與自動化，提高安全維運效率。

鑒於此，Gartner在去年（2021）下半提出新框架，稱為Cybersecurity Mesh Architecture（CSMA），即是「網路安全網狀架構」，旨在營造更寬廣的覆蓋，藉由各式各樣的資安邊界、網路環境和解決方案，輔以彼此間的資訊分享，再搭配自動化協作和回應機制的導入，加速提升整體資安態勢。

Fortinet早在2016年便提出「安全織網」（Security Fabric）整合式平臺，兩者架構理念十分契合。因此Fortinet認為企業機關在數位轉型的過程中，只要借助安全織網，即可望充分實踐CSMA。

隨處辦公情境，最適合採用零信任存取

楊光明說，Fortinet推出安全織網的初衷，是希望促成各種資安方案互相協作與分享，達到最大防禦綜效。因此它強調「全面性」，更廣泛覆蓋各個攻擊面，且提供更佳可視性；強調「整合性」，要整合各式解決方案，達到情資的分享與協作；也強調「自動化」，如同大家現在常聽到的Secure SD-WAN，意指可自我修復的網路優化架構，或者導入AI/ML來加速事故回應，這些機制都有助於優化維運效率。

事實上CSMA相當繁雜，多數機構難以在短時間內全面實現Any-to-Any的Mesh串聯，因此較為務實的做法，應根據實際情境面，階段性地將一些相關方案統整為數個子平臺。而包括「存取與端點安全」、「安全驅動型網路」、「動態雲安全」及「AI 驅動的安全營運」等四大情境，最適合優先切入。

楊光明逐一說明前述四大情境、也等同CSMA的四大支柱。關於存取與端點安全，基本核心概念是零信任，旨在控制及保護每個人及每個存取物件，不管是在內網還是外網。簡言之，零信任就是「永不信任，持續驗證和確認」。

進一步看零信任網路存取（ZTNA），蘊含四大重點，包含帳密強化的用戶身分認證、基於會談的設備終端驗證、基於會談的資安態勢驗證、最小權限存取所需的資源。ZTNA可想像為VPN進化版，但與VPN多所不同，例如它持續進行可信任性檢查，不像VPN僅在登入時做一次性檢查；此外ZTNA可自動建立加密通道，採取基於應用服務會談的存取控制。但並非有了新技術、就全盤否定舊技術，機構還是可以採取漸進模式，漸進式地將VPN轉換為ZTNA。

Fortinet可完整滿足ZTNA所有重要元件的建構。由下往上看，針對終端設備，可藉由FortiClient Agent、Fortinet EMS，依序滿足ZTNA代理程式及政策管理決策點需求。接著利用FortiAuthenticator和FortiToken，進行身分驗證與多因子認證。至於最終的ZTNA政策執行點，則由FortiGate來擔綱。談到與零信任架構最契合的應用情境，即是疫情期間需求殷切的隨處辦公（Work From Anywhere）。

善用Secure SD-Branch，看得到管得到所有威脅

論及第二支柱安全驅動型網路，意在提供一致性防護和用戶體驗、於所有資安邊界。如Gartner在2019年提出的SASE安全存取服務邊緣架構，便內含多個邊界，包括由防火牆即服務（FWaaS）、雲存取安全代理（CASB）、安全Web閘道器（SWG）、零信任網路存取（ZTNA）構成的「安全服務邊緣」（SSE），讓各地使用者能透過SSE直接入雲。

對於在固定地點辦公的人，則可透過「廣域網路邊緣」（即為SD-WAN）接入雲端。至於有線／無線安全控制機制，則為「區域網路邊緣」。

後來Forrest在2021提出一個更務實的框架，稱為「零信任邊緣」（Zero Trust Edge），強調在雲地混合環境下，ZTNA不只作為入雲存取控制，也可代理地端的存取控制。

Fortinet以其FortiGate次世代防火牆為基底，加上SD-WAN、ASIC晶片、ZTNA，形成Secure SD-WAN方案，可一舉滿足SASE裡頭的廣域網路邊緣，及Forrest所提零信任邊緣等安全需求，且可延伸至Secure SD-Branch概念，幫助業主看得到、找得到及管得到所有威脅。

另兩根支柱，其一是動態雲安全，涵蓋多雲環境下的應用服務安全、雲平臺安全、網路流量安全。具體做法包括：一、利用虛擬版NGFW、虛擬版WAF、虛擬版SLB再搭配Secure SD-WAN上雲閘道方案，建構虛擬化資料中心。二、透過虛擬版WAF、虛擬版安全電郵閘道，再部署虛擬版NGFW-VM、雲端存取安全代理（FortiCASB），強化SaaS存取安全。三、透過AI驅動的虛擬版WAF，乃至於諸如FortiCNP、FortiDevOps的工具，確保網頁服務安全、雲平臺應用開發部署安全。

至於最後的支柱AI驅動的安全營運，顧名思義是透過AI驅動的分析與自動化，來加速維運與事故回應。為此Fortinet基於四大面向提出完整方案，一是新世代防火牆搭配智能沙箱和FortiNDR，從網路資訊流偵測威脅。二是利用FortiSIEM與FortiSOAR，從日誌與記錄統整與智能關聯分析，早期預警潛在威脅。三是藉由FortiEDR與FortiMDR，從終端行為識別威脅。最後借助FortiGuard Lab資安情資服務持續更新，強力輔助上述各式工具的運作，幫助機構用戶有效對抗新型態資安威脅。