安全 Web 閘道 (SWG) 是一種網路安全產品,可保護公司資料並實施安全性原則。SWG 在公司員工和網際網路之間運作。就像濾水器可去除水中危險雜質並產生安全飲用水一樣,SWG 也會篩選掉 Web 流量中不安全的內容,從而阻止網路威脅和資料外洩。它們還會封鎖有風險或未經授權的使用者行為。
所有 SWG 產品都包含以下技術:
URL 篩選
反惡意軟體偵測和封鎖
應用程式控制
SWG 還可能包括資料丟失預防 (DLP)、內容篩選和其他網際網路流量篩選器。
為什麼要使用安全 Web 閘道?
過去,商務流程主要發生在內部公司網路中。但是,隨著對遠端員工和雲端運算的日益依賴,組織不得不使用網際網路來代替其內部私人網路。從網路釣魚攻擊到受惡意軟體感染的網頁,網際網路上存在的威脅種類繁多,數量眾多,這使得 SWG 對許多組織至關重要。
安全 Web 閘道如何運作?
部分 SWG 在代理伺服器上執行。代理伺服器代表網際網路上的另一台裝置。它代表用戶端裝置(例如使用者的筆記型電腦)或另一台伺服器發出請求並接收回應。對於安全 Web 閘道,此代理伺服器可以是實際的實體伺服器,也可以是雲端的虛擬機器。
其他 SWG 僅是軟體;基於軟體的閘道既可以在公司內部執行,也可以作為 SaaS 應用程式在雲端執行。最後,一些 SWG 部署為內部部署裝置,即接入公司 IT 基礎結構的實際硬體裝置。
無論它們在哪裡執行或如何部署,所有 SWG 的運作方式大致相同。當用戶端裝置向網際網路上的網站或應用程式傳送要求時,該要求會先經過 SWG。閘道會檢查請求,只有在不違反既定安全性原則的情況下才會傳遞請求。這就像保安在實際安全檢查點檢查人員的隨身物品,然後再允許他們通過一樣。同時還會發生相反的類似流程:SWG 檢查所有傳入資料,再傳遞給使用者。
由於 SWG 可以在任何地方執行,因此它們對於管理遠端員工特別有用。透過要求雲端工作人員經由安全 Web 閘道存取網際網路,依賴分散式員工的公司可以更好地防止資料外洩,即使他們不能直接控制其員工的裝置或網路。
安全 Web 閘道如何實施安全性原則?
安全性原則是公司內所有資料和網路流量必須遵守的規則。例如,假設一家公司設定了一個原則,規定所有網路流量都必須加密。實施強此原則後,將封鎖不使用 HTTPS 的網站。安全 Web 閘道是實作此原則的一種方法,因為它可以篩選掉所有非 HTTPS 網路流量。
SWG 可以對它們檢查和轉寄的 Web 流量執行許多動作,以實施安全性原則:
URL 篩選
URL 是瀏覽器載入網頁時顯示在頂部的文字字串:例如,https://www.cloudflare.com/learning/。因此,URL 篩選可以控制使用者能夠載入哪些網站。
URL 篩選通常涉及使用封鎖清單,即不允許的已知不良網站清單。如果使用者嘗試載入封鎖清單中的網站,SWG 會封鎖請求,且不會在使用者的裝置上載入該網站。
反惡意軟體掃描
SWG 掃描網路流量以查找惡意軟體,這意味著它們會檢查通過的資料,並查看它是否與來自已知惡意軟體的程式碼匹配。一些閘道還使用沙箱來測試惡意軟體:它們在受控環境中執行潛在的惡意程式碼以查看其行為方式。如果偵測到惡意軟體,閘道會封鎖它。
網際網路上的許多網路流量都使用 HTTPS 進行加密*。許多 SWG 可以解密 HTTPS 流量,以便掃描流量中是否存在惡意軟體。檢查后,閘道會重新加密流量並將其轉寄給使用者或網頁伺服器。此過程稱為 HTTPS 檢查。
*加密是更改資料以使其看起來是隨機字串的過程。加密的資料在解密之前無法讀取。解密與加密過程相反。
應用程式控制
SWG 可以偵測員工正在使用哪些應用程式。基於此,它們能夠控制不同應用程式可存取的資源,或者完全封鎖某些應用程式。一些 SWG 對應用程式使用方式提供更大程度的控制:例如,它們可以根據使用者的身分或位置控制應用程式的使用。
其他 SWG 功能包括:
內容篩選:此功能會偵測某些類型的內容並封鎖該內容。例如,內容篩選可以封鎖露骨的影片或相片進入公司網路。公司 IT 管理員通常可以自訂其安全 Web 閘道的內容篩選原則。
資料丟失預防 (DLP):並非所有 Web 安全閘道都提供此功能,但它可以非常有效地防止洩露。DLP 在某種程度上與內容篩選相反:它不是阻止內容進入網路,而是阻止內容離開網路。DLP 偵測機密資料何時從公司控制的環境中流出,並編輯或封鎖資料以防止其洩露。例如,可以將 DLP 設定為偵測和編輯員工電子郵件中傳送的所有 16 位數字,以阻止機密信用卡號離開網路。
安全 Web 閘道如何融入 SASE 模型?
SASE(安全存取服務邊緣)將網路功能與各種安全功能(如 SWG)捆綁在一起,並從單個全球網路提供它們。
與許多安全性產品一樣,SWG 是一種單一解決方案產品,通常與其他網路和網路安全功能分開管理。但是,使用 SASE 框架,公司可以從單個基於雲端的廠商實作和維護其網路與網路安全。
DMCA Compliance - 內容侵犯 - Abuse 投訴