โดย Tony Frum - Product Specialist, Skyhigh Security
20 กรกฎาคม 2565 7 อ่านนาที
ในความเป็นจริงในปัจจุบันของการใช้งานระบบคลาวด์จํานวนมากทั้งเพื่อวัตถุประสงค์ส่วนตัวและธุรกิจความปลอดภัยของเว็บได้กลายเป็นความกังวลที่สําคัญยิ่ง แต่ซับซ้อนมาก สถาปัตยกรรมเครือข่ายที่หลากหลายผู้ใช้ระยะไกลแพลตฟอร์มไคลเอนต์มากมายนําอุปกรณ์ของคุณ (BYOD) การลดลงของขอบเขตเครือข่ายแบบดั้งเดิมและข้อควรพิจารณาทางเทคนิคอื่น ๆ อีกมากมายที่ท้าทายผู้เชี่ยวชาญด้านความปลอดภัยที่พยายามรักษาความปลอดภัยการเข้าชมเว็บขององค์กร
การรักษาความปลอดภัย DNS ได้กลายเป็นทางเลือกแทนการเต็มรูปแบบ secure web gateway โซลูชัน (SWG) ที่สัญญาว่าจะเรียบง่ายและการปรับใช้ที่รวดเร็ว โดยพื้นฐานแล้ว การรักษาความปลอดภัย DNS จะเสียบเข้ากับการจําแนกชื่อโดเมนเพื่อป้องกันการเข้าถึงโดเมนที่มีความเสี่ยง สิ่งนี้ช่วยให้องค์กรสามารถปรับปรุงความปลอดภัยของเว็บโดยถือว่าโดเมนเป็น "ละแวกใกล้เคียง" ป้องกันการเข้าถึงโดเมนที่มีความเสี่ยงและนําผู้ใช้ไปสู่พื้นที่ที่ปลอดภัยยิ่งขึ้น แม้ว่าวิธีการนี้จะช่วยลดความยุ่งยากในปัญหาความปลอดภัยของเว็บได้อย่างมาก แต่ก็มีข้อจํากัดบางประการ ลองมาดูกันว่าอะไรทําให้การรักษาความปลอดภัย DNS น่าสนใจและวิเคราะห์ว่าเป็นกระสุนเงินที่หลายองค์กรกําลังมองหาหรือไม่
ความปลอดภัยของ DNS เพียงพอหรือไม่
ประโยชน์ของการรักษาความปลอดภัย DNS นั้นชัดเจน คุณลักษณะที่น่าสนใจที่สุดคือไม่จําเป็นต้องปรับโครงสร้างเครือข่ายใหม่ การมีส่วนร่วมของทีมเครือข่ายมักมีน้อย การรักษาความปลอดภัย DNS ยังช่วยให้องค์กรสามารถขยายการป้องกันไปยังเครือข่ายได้อย่างง่ายดายเพื่อรักษาความปลอดภัยให้กับผู้ใช้นอกสถานที่จํานวนมากขึ้นเรื่อย ๆ เป็นโบนัสเพิ่มเติมการรักษาความปลอดภัย DNS นอกเหนือไปจากความสามารถของ SWG โดยให้ความครอบคลุมสําหรับพอร์ตและโปรโตคอลทั้งหมด การบังคับใช้นโยบายเป็นเรื่องง่าย คุณสามารถบล็อกโดเมนที่มีความเสี่ยงสูงและหมวดหมู่เว็บที่อาจเป็นอันตรายได้ เมื่อคํานึงถึงประโยชน์ทั้งหมดเหล่านี้ความปลอดภัยของ DNS ดูเหมือนจะเป็นทางเลือกที่สมเหตุสมผล
แต่ความดีทั้งหมดนี้ต้องแลกมาด้วย กล่าวได้ว่าการมองเห็น เมื่อคุณผลักไสความปลอดภัยของเว็บไปดูคําขอ DNS คุณจะสูญเสียบริบทและความรุนแรงที่สําคัญ โซลูชันการรักษาความปลอดภัยของ DNS ทราบว่าโดเมนได้รับการแก้ไขโดยไคลเอ็นต์ แต่ไม่ทราบข้อมูลที่เกี่ยวข้องเกี่ยวกับการรับส่งข้อมูลที่ส่งไปยังโดเมนหลังจากการแก้ปัญหา DNS โซลูชันการรักษาความปลอดภัยของ DNS ของคุณไม่สามารถตอบคําถามเหล่านี้ได้: "ปริมาณการรับส่งข้อมูลถูกส่งไปหรือได้รับจากโดเมนนี้ ใช้โปรโตคอลใดและพอร์ตใด ไฟล์ใดบ้างที่ถูกส่งและเป็นอันตรายหรือไม่ มีการอัปโหลดข้อมูลที่ละเอียดอ่อนไปยังบัญชีคลาวด์ส่วนบุคคลหรือไม่" คําถามที่ยังไม่มีคําตอบเหล่านี้เน้นย้ําถึงการขาดการมองเห็นและบริบท และเผยให้เห็นช่องว่างด้านความปลอดภัยที่ชัดเจนในการรักษาความปลอดภัย DNS
ลองพิจารณาสถานการณ์ที่เลวร้ายที่สุด จะเกิดอะไรขึ้นหากองค์กรของคุณตกเป็นเป้าหมายของภัยคุกคามบนเว็บ ผู้โจมตีจะหลีกเลี่ยงความปลอดภัย DNS ของคุณทั้งหมดได้ยากเพียงใด ทางเลือกหนึ่งคือการรับเนื้อหาที่เป็นอันตรายไปยังโดเมนที่ "รู้จักดี" สิ่งนี้อาจเป็นเรื่องเล็กน้อยพอๆ กับลิงก์ที่แชร์ไปยังไฟล์ในบัญชี Dropbox หรือ OneDrive ส่วนตัว ผู้โจมตีสามารถหลีกเลี่ยงการใช้ชื่อโดเมนโดยสิ้นเชิง การใช้ URL ที่มีที่อยู่ IP ในอีเมลฟิชชิ่งอาจมีแนวโน้มที่จะหลอกลวงผู้ใช้ที่ใจง่ายเช่นเดียวกับลิงก์โดยใช้ชื่อโฮสต์ แม้ว่าผู้โจมตีจําเป็นต้องใช้ IP แบบไดนามิก แต่ก็มีวิธีอื่นๆ ในการรับ IP ไปยังเครื่องที่ตกเป็นเหยื่อ เช่น การโพสต์ไปยังบัญชีโซเชียลมีเดีย คุณไม่สามารถสรุปได้ว่าการสืบค้น DNS จะเป็นส่วนหนึ่งของการโจมตีทุกครั้งในสภาพแวดล้อมของคุณ
นอกเหนือจากการมองเห็นแล้วการควบคุมยังเสียสละในนามของความเรียบง่ายและการปรับใช้ที่รวดเร็ว เมื่อจุดควบคุมของคุณถูก จํากัด ไว้ที่คําขอ DNS ตัวเลือกการตอบกลับของคุณก็ถูก จํากัด เช่นกัน บ่อยครั้งที่คุณมีตัวเลือกในการอนุญาตหรือบล็อกและการตัดสินใจนี้ต้องทําโดยไม่มีบริบทมากไปกว่าชื่อโดเมน ส่งผลให้เกิดนโยบายที่ผ่อนปรนและมีความเสี่ยงมากเกินไป หรือเป็นทางเลือกที่รุนแรงกว่าซึ่งจะทําให้ผู้ใช้รับรู้ทีมรักษาความปลอดภัยในแง่ลบ ไม่มีตัวเลือกในการใช้นโยบายที่ใช้งานได้จริงมากขึ้น เช่น "อนุญาตให้ใช้ Facebook ได้ แต่คุณไม่สามารถแชทได้" หรือ "อนุญาตให้ใช้บัญชี Dropbox ส่วนตัว แต่ระบบจะสแกนการอัปโหลดข้อมูลที่ละเอียดอ่อน"
เหตุใด SWG จึงเป็นทางเลือกที่ดีกว่าและครอบคลุมกว่า
เมื่อคํานึงถึงสิ่งนี้ จึงเห็นได้ชัดว่า SWG นําประโยชน์หลายประการมาสู่ตาราง เป็นเทคโนโลยีที่เติบโตเต็มที่ซึ่งสร้างขึ้นเพื่อถอดรหัสและกลั่นกรองโปรโตคอลเดียวที่อาจคิดเป็นมากกว่า 90% ของการรับส่งข้อมูลที่สร้างโดยปลายทางของคุณ: HTTP/S SWG นําเสนอการมองเห็นและบริบทที่ไม่สามารถใช้ได้กับการรักษาความปลอดภัย DNS ชื่อโดเมนจะแสดงเป็น URL แบบเต็ม คุณสามารถตรวจสอบเนื้อหาของทุกคําขอ รวมถึงการรับส่งข้อมูลที่ส่งและรับโดยปลายทาง
การมองเห็นที่เพิ่มขึ้นนี้แปลโดยตรงไปสู่ความปลอดภัยที่ดีขึ้น โซลูชัน SWG ไม่เพียงแต่ช่วยให้แน่ใจว่าผู้ใช้กําลังเยี่ยมชมโดเมนที่เหมาะสมและเชื่อถือได้ แต่ยังทําการวิเคราะห์มัลแวร์ในเนื้อหาที่ดาวน์โหลดทั้งหมด รวมถึงลิงก์ไปยังไฟล์จากบัญชี Dropbox ส่วนตัว เมื่ออัปโหลดเนื้อหาแล้ว จะสามารถสแกนหาข้อมูลที่ละเอียดอ่อนเพื่อให้แน่ใจว่าไม่มีการละเมิดกฎระเบียบหรือทรัพย์สินทางปัญญาสูญหาย
การเพิ่มล่าสุดในชุดเครื่องมือ SWG รวมถึงความสามารถในการบังคับใช้ข้อจํากัดของผู้เช่า ข้อจํากัดของผู้เช่าเป็นวิธีที่สําคัญในการรับรองการปกป้องข้อมูลโดยอนุญาตให้ผู้ใช้เข้าถึงบริการที่ถูกลงโทษกับผู้เช่าที่ได้รับอนุมัติ (หรืออินสแตนซ์) ภายในบริการเหล่านั้นเท่านั้น ประกอบกับ cloud access security broker การควบคุม (CASB) การบังคับใช้ข้อจํากัดของผู้เช่าช่วยให้ข้อมูลสามารถโยกย้าย "นอกประตู" ได้อย่างปลอดภัยผ่านโซลูชันการรักษาความปลอดภัยบนเว็บในขณะที่ยังอยู่ในการควบคุมขององค์กร เนื่องจากการควบคุม CASB ที่ใช้ API สามารถใช้ได้กับผู้เช่าที่องค์กรเป็นเจ้าของเท่านั้นการห้ามผู้ใช้ใช้ผู้เช่า "เงา" จึงเป็นสิ่งสําคัญ
การตรวจสอบการเข้าชมเว็บทั้งหมดอย่างลึกซึ้งยังช่วยให้องค์กรสามารถใช้การตอบสนองทางยุทธวิธีกับพฤติกรรมบางอย่างของผู้ใช้ได้มากขึ้น สิ่งนี้ไม่สามารถทําได้ด้วยการรักษาความปลอดภัย DNS ตัวอย่างเช่น ด้วย SWG การควบคุมกิจกรรมเป็นความสามารถทั่วไปที่ช่วยให้ทีมรักษาความปลอดภัยอนุญาตโดเมนที่เกี่ยวข้องกับแอปพลิเคชันระบบคลาวด์บางตัว แต่ป้องกันกิจกรรมบางอย่างภายในแอปพลิเคชันเหล่านั้น ผู้ใช้ต้องการเข้าถึงบัญชี Dropbox หรือ Evernote ส่วนตัว แต่ทีมรักษาความปลอดภัยกังวลเกี่ยวกับความปลอดภัยของข้อมูล เมื่อใช้ส่วนควบคุมกิจกรรม คุณจะอนุญาตแอปพลิเคชันเหล่านี้ได้ แต่ป้องกันการอัปโหลด
อีกตัวอย่างหนึ่งคือการฝึกสอนผู้ใช้ สมมติว่าโดเมนที่อนุญาตถูกบุกรุก แทนที่จะตอบสนองโดยการบล็อกโดเมนองค์กรสามารถตัดสินใจแจ้งให้ผู้ใช้ทราบและกําหนดให้พวกเขาเปลี่ยนข้อมูลประจําตัวได้ทันที
ความก้าวหน้าล่าสุดอีกประการหนึ่งช่วยให้เนื้อหาที่ไม่รู้จักหรือมีความเสี่ยงที่น่าสงสัยเพียงเล็กน้อยสามารถดูได้ผ่านเบราว์เซอร์ที่แยกออกมา Remote browser isolation (RBI) อนุญาตให้ผู้ใช้เข้าถึงเนื้อหาที่ไม่รู้ว่าปลอดภัยในขณะที่ยังคงป้องกันปลายทางจากความเสี่ยง เนื้อหาที่ร้องขอจะถูกโหลดลงในเบราว์เซอร์ชั่วคราวที่แยกอยู่ในศูนย์ข้อมูลของผู้จําหน่ายความปลอดภัยของเว็บ ผู้ใช้ได้รับอนุญาตให้ดูและโต้ตอบกับเบราว์เซอร์ระยะไกลนั้นโดยไม่ต้องโหลดเนื้อหาใด ๆ ของไซต์ในเครื่อง สิ่งนี้ช่วยให้สามารถเข้าถึงเนื้อหาในขณะที่ป้องกันความเสี่ยงจากมัลแวร์บนปลายทาง
การปรับใช้ SWG นั้นง่ายเพียงใด
เป้าหมายสุดท้ายคือการใช้การปรับใช้ระบบคลาวด์แบบเนทีฟแทนโซลูชันในองค์กร แต่ดังที่ได้กล่าวไว้ก่อนหน้านี้ในหลาย ๆ กรณีเส้นทางที่นั่นสามารถทําให้เป็นหลุมเป็นบ่อได้ด้วยวิธีการฉีกและเปลี่ยนหรือสามารถทําให้ราบรื่นได้โดยการเลิกใช้อุปกรณ์ในสถานที่ด้วยโซลูชันเสริมฤทธิ์กันที่ปรับให้เหมาะสมเพื่อให้สามารถเปลี่ยนแปลงได้ในขณะที่ลดการหยุดชะงักให้น้อยที่สุด
ในขณะที่องค์กรมีอะไรให้พิจารณามากขึ้นเมื่อปรับใช้โซลูชัน SWG มากกว่าการรักษาความปลอดภัย DNS อุตสาหกรรมได้มาไกลในการทําให้แนวทางของเทคโนโลยีนี้ง่ายขึ้น หมดยุคของการเก็บและซ้อนเซิร์ฟเวอร์ในศูนย์ข้อมูลทั่วโลกแล้ว เนื่องจากผู้จําหน่าย SWG หลายรายทํางานให้คุณ โซลูชัน SWG นําเสนอโดยใช้โครงสร้างพื้นฐานแบบ Cloud-Native ที่นําเสนอรอยเท้าทั่วโลก โดยมีประสิทธิภาพและความน่าเชื่อถือเทียบเท่ากับสิ่งที่แม้แต่องค์กรที่ใหญ่ที่สุดก็น่าจะทําได้ ทีมเครือข่ายและความปลอดภัยไม่จําเป็นต้องหาวิธี backhaul การรับส่งข้อมูลจากไซต์ขนาดเล็กไปยังตําแหน่งศูนย์กลางสําหรับการกรองอีกต่อไป เนื่องจากความสามารถของ VPN แบบไซต์ต่อไซต์ช่วยให้สามารถใช้โครงสร้างพื้นฐานของผู้จําหน่าย SWG ได้โดยตรง ในทํานองเดียวกันผู้ใช้ระยะไกลไม่จําเป็นต้องพึ่งพา VPN ในการป้องกันตัวแทนอัจฉริยะตรวจสอบให้แน่ใจว่าการรับส่งข้อมูลของพวกเขาได้รับการปกป้องโดยใช้สินทรัพย์ในองค์กรหรือระบบคลาวด์ตามความเหมาะสม
เทคโนโลยี SWG ยังทําให้นโยบายความปลอดภัยของเว็บง่ายขึ้นอย่างมาก หมดยุคของการกําหนดรายการ URL หรือช่วง IP ที่ต้องอนุญาตหรือบล็อก นโยบายเว็บบังคับใช้ที่ระดับแอปพลิเคชันระบบคลาวด์แทนที่จะเป็นระดับโดเมนและกิจกรรมแทนที่จะเป็น URL นโยบายที่พร้อมใช้งานทันทีช่วยให้ทีมรักษาความปลอดภัยบรรลุผลลัพธ์ที่ต้องการทั้งหมดในไม่กี่นาทีโดยไม่ต้องชําระสําหรับการควบคุมขั้นพื้นฐานหรือหันไปใช้การกําหนดค่าที่ซับซ้อน
คุณสามารถทำสองสิ่งที่แตกต่างกันได้ในเวลาเดียวกัน
แม้จะมีการรับรู้ทั่วไป แต่เทคโนโลยีความปลอดภัย SWG และ DNS ไม่ใช่เทคโนโลยีที่แข่งขันกัน แต่เป็นโซลูชันเสริม เมื่อพิจารณาข้อเสนอทั้งสองจากมุมมองที่มองเห็นได้คุณจะพบว่าการทับซ้อนกันนั้นค่อนข้างน้อย
การรักษาความปลอดภัย DNS สามารถอธิบายได้ว่ากว้างหนึ่งไมล์และลึกหนึ่งนิ้ว ความกว้างของการมองเห็นนั้นชัดเจน เนื่องจากพอร์ตและโปรโตคอลทั้งหมดครอบคลุม แต่มีความลึกเพียงเล็กน้อย เนื่องจากการรักษาความปลอดภัย DNS ใช้งานได้กับชื่อโดเมนเท่านั้น
ในทางกลับกัน SWG นั้นลึกหนึ่งไมล์และกว้างหนึ่งนิ้ว โดยทั่วไป รองรับโปรโตคอลที่สําคัญชุดเล็กๆ แต่การตรวจสอบจะไปถึงระดับการเข้าชมเว็บที่ลึกที่สุด
CISO ขององค์กรขนาดกลางที่เพิ่งเริ่มจัดการกับปัญหาด้านความปลอดภัยอาจเริ่มต้นด้วยความปลอดภัยของ DNS เป็น "ชัยชนะอย่างรวดเร็ว" จากนั้นจึงก้าวไปสู่โซลูชัน SWG เพื่อให้ได้ความปลอดภัยของเว็บที่ครอบคลุมอย่างแท้จริง
ปิดช่องว่างด้านความปลอดภัยของเว็บด้วย SWG
การรักษาความปลอดภัย DNS เพียงอย่างเดียวไม่ถือเป็นความปลอดภัยของเว็บที่แท้จริง มีช่องว่างมากเกินไปในการมองเห็นทําให้ความปลอดภัยและการรายงานไม่เพียงพอ ไม่มีการสแกนมัลแวร์ของเนื้อหาที่ดาวน์โหลดหรือความปลอดภัยของข้อมูลสําหรับเนื้อหาที่อัปโหลด มีบริบทเพียงเล็กน้อยในการตอบคําถามเกี่ยวกับสิ่งที่เกิดขึ้นจริงระหว่างโดเมนนี้กับปลายทางของคุณ
ในทางกลับกันเทคโนโลยี SWG มีความก้าวหน้าตลอดหลายทศวรรษที่ผ่านมาเพื่อให้บรรลุเป้าหมายด้านความปลอดภัยขององค์กรที่ใหญ่ที่สุดในโลกแม้จะมีความซับซ้อนของโลกที่ให้ความสําคัญกับระบบคลาวด์เป็นอันดับแรก SWG ให้การตรวจสอบการเข้าชมเว็บทั้งหมดอย่างลึกซึ้ง พร้อมด้วยเทคโนโลยีป้องกันมัลแวร์และความปลอดภัยของข้อมูลที่มีประสิทธิภาพเพื่อให้แน่ใจว่าข้อมูลและสินทรัพย์ปลายทางได้รับการปกป้องจากภัยคุกคามที่หลากหลาย การรายงานและการมองเห็นให้รายละเอียดและบริบทที่หลากหลายในการโต้ตอบทั้งหมดกับแอปพลิเคชันบนคลาวด์ และที่ดีที่สุดคือการรักษาความปลอดภัย DNS และ SWG จับคู่กันเพื่อนําเสนอแนวทางที่ดีที่สุดในทั้งสองโลกเพื่อรักษาความปลอดภัยให้กับองค์กรใด ๆ จากภัยคุกคามในปัจจุบัน
เรียนรู้เพิ่มเติมเกี่ยวกับ Skyhigh Security Secure Web Gateway โดยคลิกที่นี่
ลงทะเบียนสําหรับการสาธิตสดที่นี่
กลับไปที่บล็อก