สิ่งที่คาดหวังจากเว็บเกตเวย์ที่ปลอดภัยรุ่นต่อไป

โดย Michael Schneider - Sr. Manager, Product Management, Skyhigh Security

29 เมษายน 2565 5 อ่านนาที

หลังจากกว่าศตวรรษของนวัตกรรมทางเทคโนโลยีตั้งแต่หน่วยแรกออกจากสายการประกอบของ Henry Ford รถยนต์และการขนส่งมีความเหมือนกันเพียงเล็กน้อยกับยุค Model T วิวัฒนาการนี้จะดําเนินต่อไปเมื่อสังคมพบวิธีที่ดีกว่าในการบรรลุผลลัพธ์ของการเคลื่อนย้ายผู้คนจากจุด A ไปยังจุด B

ในขณะที่ Secure Web Gateways (SWG) ทํางานบนตารางเวลาที่มีการบีบอัดมากขึ้น แต่ก็มีวิวัฒนาการที่รุนแรงเช่นเดียวกัน SWG ยังคงมุ่งเน้นไปที่การสร้างความมั่นใจว่าผู้ใช้ได้รับการปกป้องจากมุมที่ไม่ปลอดภัยหรือไม่เป็นไปตามข้อกําหนดของอินเทอร์เน็ต แต่การเปลี่ยนไปใช้ระบบคลาวด์และโลกการทํางานระยะไกลได้สร้างความท้าทายด้านความปลอดภัยใหม่ที่ SWG แบบเดิมไม่มีอุปกรณ์ให้จัดการอีกต่อไป ถึงเวลาสําหรับ SWG รุ่นต่อไปที่สามารถช่วยให้ผู้ใช้เติบโตได้อย่างปลอดภัยในโลกที่กระจายอํานาจและอันตรายมากขึ้น

เรามาที่นี่ได้อย่างไร

SWG เริ่มต้นจากการเป็นโซลูชันการกรอง URL ที่ช่วยให้องค์กรมั่นใจได้ว่าการท่องเว็บของพนักงานเป็นไปตามนโยบายการเข้าถึงอินเทอร์เน็ตขององค์กร

การกรอง URL จะเปลี่ยนเป็นพร็อกซีเซิร์ฟเวอร์ที่อยู่หลังไฟร์วอลล์ขององค์กร เนื่องจากพร็อกซียุติการรับส่งข้อมูลที่มาจากผู้ใช้และทําการเชื่อมต่อกับเว็บไซต์ที่ต้องการให้เสร็จสิ้นผู้เชี่ยวชาญด้านความปลอดภัยจึงเห็นศักยภาพในการตรวจสอบอย่างละเอียดมากกว่าการเปรียบเทียบ URL กับบัญชีดําที่มีอยู่ ด้วยการผสมผสานความสามารถในการป้องกันไวรัสและความปลอดภัยอื่น ๆ "Secure Web Gateway" กลายเป็นส่วนสําคัญของสถาปัตยกรรมความปลอดภัยสมัยใหม่ อย่างไรก็ตาม SWG แบบดั้งเดิมสามารถมีบทบาทนี้ได้ก็ต่อเมื่อเป็นจุดเชื่อมต่อสําหรับการรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมดโดยนั่งอยู่ที่ขอบของปริมณฑลเครือข่ายขององค์กรทุกแห่งและมีผู้ใช้ระยะไกล "กิ๊บ" กลับผ่านเครือข่ายนั้นผ่านลิงก์ VPN หรือ MPLS

SWG เจเนอเรชันถัดไป

การเปลี่ยนไปใช้ระบบคลาวด์และโลกการทํางานระยะไกลได้สร้างภาระใหม่ให้กับ SWG ที่ใช้ปริมณฑลแบบดั้งเดิม ขณะนี้ผู้ใช้สามารถเข้าถึงโครงสร้างพื้นฐานด้านไอทีและทรัพยากรที่เชื่อมต่อได้โดยตรงจากแทบทุกที่จากอุปกรณ์ต่างๆ ที่หลากหลาย และทรัพยากรเหล่านั้นจํานวนมากไม่ได้อยู่ในขอบเขตเครือข่ายบนเซิร์ฟเวอร์ขององค์กรอีกต่อไป

การเปลี่ยนแปลงที่น่าทึ่งนี้ยังขยายข้อกําหนดสําหรับการปกป้องข้อมูลและภัยคุกคาม ทําให้ทีมรักษาความปลอดภัยต้องต่อสู้กับภัยคุกคามที่ซับซ้อนและความท้าทายด้านการปฏิบัติตามข้อกําหนดใหม่ๆ น่าเสียดายที่ SWG แบบดั้งเดิมไม่สามารถก้าวทันภูมิทัศน์ภัยคุกคามที่พัฒนาขึ้นนี้ส่งผลให้สถาปัตยกรรมที่ไม่มีประสิทธิภาพซึ่งล้มเหลวในการส่งมอบศักยภาพของพนักงานแบบกระจาย

การละเมิดที่สําคัญเกือบทุกอย่างในขณะนี้เกี่ยวข้องกับส่วนประกอบเว็บหลายระดับที่ซับซ้อนซึ่งไม่สามารถหยุดได้โดยเอ็นจิ้นแบบคงที่ แนวทาง SWG แบบดั้งเดิมคือการประสานงานกับส่วนอื่นๆ ของโครงสร้างพื้นฐานด้านความปลอดภัย รวมถึงแซนด์บ็อกซ์มัลแวร์ แต่เนื่องจากภัยคุกคามมีความก้าวหน้าและซับซ้อนมากขึ้นการทําเช่นนี้ส่งผลให้ประสิทธิภาพการทํางานช้าลงหรือปล่อยให้ภัยคุกคามผ่านไปได้ นี่คือที่ Remote Browser Isolation (RBI) นํามาซึ่งการเปลี่ยนกระบวนทัศน์ไปสู่การป้องกันภัยคุกคามขั้นสูง เมื่อ RBI ถูกนําไปใช้เป็นองค์ประกอบสําคัญของการตรวจสอบการรับส่งข้อมูล SWG มันสามารถให้การป้องกันแบบเรียลไทม์ซีโร่เดย์จากแรนซัมแวร์การโจมตีแบบฟิชชิ่งและมัลแวร์ขั้นสูงอื่น ๆ เพื่อให้แม้แต่ภัยคุกคามที่ซับซ้อนที่สุดก็ไม่สามารถผ่านเข้าไปได้โดยไม่ขัดขวางประสบการณ์การท่องเว็บ

ปัญหาอีกประการหนึ่งของ SWG แบบดั้งเดิมส่วนใหญ่คือไม่สามารถปกป้องข้อมูลได้อย่างเพียงพอเนื่องจากไหลจากผู้ใช้แบบกระจายไปยังแอประบบคลาวด์ เนื่องจากขาดการปกป้องข้อมูลขั้นสูงและความชาญฉลาดของแอประบบคลาวด์ ปราศจาก Data Loss Prevention เทคโนโลยี (DLP) ที่ล้ําหน้าพอที่จะเข้าใจธรรมชาติของแอประบบคลาวด์และเพื่อให้ทันกับความต้องการด้านความปลอดภัยที่พัฒนาขึ้นองค์กรสามารถค้นหาช่องว่างในการปกป้องข้อมูลในโซลูชัน SWG ที่ทําให้พวกเขาเสี่ยงต่อความเสี่ยง

ในที่สุดก็มีคําถามเกี่ยวกับแอปพลิเคชันคลาวด์ แม้ว่าแอปพลิเคชันระบบคลาวด์จะทํางานบนอินเทอร์เน็ตเดียวกันกับเว็บไซต์ทั่วไป แต่ก็ทํางานในลักษณะที่แตกต่างกันโดยพื้นฐานซึ่ง SWG แบบดั้งเดิมไม่สามารถเข้าใจได้ Cloud Access Security Brokers (CASB) ได้รับการออกแบบมาเพื่อให้มองเห็นและควบคุมแอปพลิเคชันระบบคลาวด์ และหาก SWG ไม่สามารถเข้าถึงฐานข้อมูลแอปพลิเคชัน CASB ที่ครอบคลุมและการควบคุม CASB ที่ซับซ้อน มีเพียง SWG ที่รับรู้บนคลาวด์พร้อมฟังก์ชัน CASB ในตัวที่สามารถขยายการปกป้องข้อมูลไปยังเว็บไซต์และแอปพลิเคชันระบบคลาวด์ทั้งหมด ซึ่งช่วยให้องค์กรและผู้ใช้ได้รับการปกป้องจากภัยคุกคามขั้นสูงได้ดียิ่งขึ้น

สิ่งที่เราต้องการจาก Next-Gen SWGs

SWG รุ่นต่อไปควรช่วยให้การใช้งาน ง่ายขึ้น Security Service Edge สถาปัตยกรรมและช่วยเร่งการปรับใช้ระบบคลาวด์ที่ปลอดภัย ในขณะเดียวกันก็จําเป็นต้องให้การป้องกันภัยคุกคามขั้นสูงการควบคุมข้อมูลแบบครบวงจรและเปิดใช้งานพนักงานระยะไกลและแบบกระจายอย่างมีประสิทธิภาพ

นี่คือกรณีการใช้งานบางส่วน:

• เปิดใช้งานพนักงานระยะไกลด้วยสถาปัตยกรรมโดยตรงไปยังระบบคลาวด์ที่มอบความพร้อมใช้งาน 99.999% ในขณะที่ประเทศและรัฐต่างๆ ค่อยๆ ออกจากคําสั่งให้ที่พักพิงในสถานที่ หลายองค์กรระบุว่าการสนับสนุนพนักงานที่อยู่ห่างไกลและกระจายตัวน่าจะเป็นบรรทัดฐานใหม่ การรักษาพนักงานระยะไกลให้ทํางานได้อย่างมีประสิทธิภาพ รักษาความปลอดภัยของข้อมูล และปลายทางอาจเป็นเรื่องยากในบางครั้ง SWG รุ่นต่อไปควรให้องค์กรมีความสามารถในการปรับขนาดและความปลอดภัยเพื่อรองรับพนักงานระยะไกลในปัจจุบันและระบบนิเวศดิจิทัลแบบกระจาย สถาปัตยกรรมแบบ Cloud-Native ช่วยให้มั่นใจถึงความพร้อมใช้งาน เวลาแฝงที่ต่ําลง และรักษาประสิทธิภาพการทํางานของผู้ใช้จากทุกที่ที่ทีมของคุณทํางาน บริการระดับคลาวด์ที่แท้จริงควรมีความพร้อมใช้งานห้าเก้า (99.999%) อย่างสม่ําเสมอ
• ลดความซับซ้อนในการดูแลระบบและลดต้นทุน – ปัจจุบัน ด้วยการนําระบบคลาวด์มาใช้เพิ่มขึ้น มากกว่า 80% ของการรับส่งข้อมูลถูกกําหนดไว้สําหรับอินเทอร์เน็ต การลากกลับการรับส่งข้อมูลทางอินเทอร์เน็ตไปยังสถาปัตยกรรม "Hub and Spoke" แบบดั้งเดิมซึ่งต้องใช้ลิงก์ MPLS ที่มีราคาแพงอาจมีค่าใช้จ่ายสูงมาก เครือข่ายช้าลงจนหยุดลงเนื่องจากการรับส่งข้อมูลพุ่งสูงขึ้น และ VPN สําหรับผู้ปฏิบัติงานระยะไกลได้พิสูจน์แล้วว่าไม่ได้ผล SWG รุ่นต่อไปควรสนับสนุนเฟรมเวิร์ก SASE และจัดเตรียมสถาปัตยกรรมโดยตรงไปยังคลาวด์ที่ช่วยลดต้นทุนการดําเนินงานทั้งหมดโดยลดความจําเป็นในการเชื่อมโยง MPLS ที่มีราคาแพง ด้วยรูปแบบการจัดส่ง SaaS SWG รุ่นต่อไปช่วยขจัดความจําเป็นในการปรับใช้และบํารุงรักษาโครงสร้างพื้นฐานฮาร์ดแวร์ซึ่งช่วยลดต้นทุนฮาร์ดแวร์และการดําเนินงานในขณะที่เพิ่มประสิทธิภาพความน่าเชื่อถือและความสามารถในการปรับขนาด
• ล็อกข้อมูลของคุณ ไม่ใช่ธุรกิจของคุณ – ปัจจุบันบริษัทมากกว่า 95% ใช้บริการคลาวด์ แต่มีบริษัทเพียง 36% เท่านั้นที่สามารถบังคับใช้กฎ DLP ในระบบคลาวด์ได้เลย นอกจากนี้ SWG แบบดั้งเดิมส่วนใหญ่ไม่สามารถปกป้องข้อมูลได้อย่างเพียงพอ เนื่องจากไหลจากผู้ใช้แบบกระจายไปยังแอปพลิเคชันระบบคลาวด์ เนื่องจากขาดการปกป้องข้อมูลขั้นสูงและความชาญฉลาดของแอประบบคลาวด์ SWG รุ่นต่อไปควรนําเสนอวิธีที่มีประสิทธิภาพมากขึ้นในการบังคับใช้การป้องกันด้วยในตัว Data Loss Prevention เทมเพลตและเวิร์กโฟลว์การปกป้องข้อมูลแบบอินไลน์เพื่อป้องกันไม่ให้ข้อมูลที่ถูกจํากัดไหลออกจากองค์กร การปกป้องข้อมูลแบบอุปกรณ์สู่คลาวด์ให้การมองเห็นข้อมูลที่ครอบคลุมและการควบคุมที่สอดคล้องกันในอุปกรณ์ปลายทาง ด้วยเทคโนโลยี DLP ในตัว SWG รุ่นต่อไปช่วยให้มั่นใจได้ว่าองค์กรยังคงปฏิบัติตามนโยบายความปลอดภัยขององค์กร ตลอดจนกฎระเบียบของอุตสาหกรรมและรัฐบาล
• ป้องกันภัยคุกคามที่รู้จักและไม่รู้จัก - ในขณะที่เว็บเติบโตและพัฒนาอย่างต่อเนื่องการโจมตีของมัลแวร์ที่เกิดจากเว็บก็เติบโตและพัฒนาเกินกว่าการป้องกันที่ SWG แบบดั้งเดิมสามารถให้ได้ แรนซัมแวร์ ฟิชชิง และภัยคุกคามบนเว็บขั้นสูงอื่นๆ กําลังทําให้ผู้ใช้และปลายทางตกอยู่ในความเสี่ยง SWG รุ่นต่อไปควรมีการควบคุมความปลอดภัยแบบบูรณาการที่ทันสมัยที่สุด รวมถึงข่าวกรองภัยคุกคามทั่วโลกและแซนด์บ็อกซ์ เพื่อให้แม้แต่ภัยคุกคามที่ซับซ้อนที่สุดก็ไม่สามารถผ่านเข้าไปได้ SWG เจเนอเรชันถัดไปพร้อมโซลูชันการป้องกันภัยคุกคามที่ทํางานร่วมกันสามารถรับประกันนโยบาย การปกป้องข้อมูล และการมองเห็นที่สอดคล้องกันในการรับส่งข้อมูลแบบแยกและไม่แยก SWG รุ่นต่อไปควรรวมแบบบูรณาการด้วย Remote Browser Isolation เพื่อป้องกันไม่ให้ภัยคุกคามที่ไม่รู้จักไปถึงปลายทาง

SWG มาไกลอย่างชัดเจนจากการเป็นเพียงอุปกรณ์กรอง URL จนถึงจุดที่จําเป็นต่อการนําระบบคลาวด์ไปใช้อย่างปลอดภัยและรวดเร็วยิ่งขึ้น แต่เราต้องผลักดันซองสุภาษิตให้ไกลกว่านี้อีกมาก การเปลี่ยนแปลงทางดิจิทัลไม่ต้องการอะไรมากไปกว่านี้

กลับไปที่บล็อก