以新一代端點網路安全性用戶端取代傳統 VPN 和 NAC 解決方案

每天都有成千上萬的知識工作者加入行動工作團隊，全球的企業正在獲得營運靈活性、增進生產力和轉型協作的好處。行動裝置的無處不在意味著任何碰巧行動的員工都可以從任何地點連接他們的裝置存取企業網路，無論是在家裡、在野外或在行動中的任何地方。

毫無疑問，行動員工所帶來的商業效益多到數不勝數，但遠端員工也會帶來重大的安全風險。每次員工攜帶筆記型電腦或智慧型手機離開企業園區的實體邊界時，就等於離開網路安全性邊界的保護。確保漫遊員工的安全性，對於保護員工和企業網路都是最重要的。

組織清楚意識到風險，並透過只允許授權使用者和裝置連線網路來降低風險。透過套用適當的存取控制和安全性政策，可確保漫遊工作者能從典型的企業網路週邊以外存取。IT 人員通常會依賴虛擬私人網路 (VPN) 作為他們的關鍵，為行動員工佈建安全的加密連線，以便遠端存取企業網路。

傳統 VPN 可讓行動員工透過不信任的個人或公共網路，從筆記型電腦、平板電腦和行動電話存取專屬的企業資料，就像這些裝置直接連接到組織的中央網路一樣。網路存取控制 (NAC) 解決方案 (可選擇在公司週邊內實作) 只允許符合預先定義的安全性政策的認證行動使用者，在辦公室內擷取公司網路的專屬資源。

因此，簡單來說，這些傳統的 VPN 和 NAC 解決方案只有兩個主要目的：前者為行動員工佈建企業網路的遠端存取連線，而後者則只在員工身處辦公室時，才對其經過認證的裝置提供存取控制。儘管如此，兩者都無法滿足組織今日的需求：為行動員工和企業網路提供進階防護，以對抗今日盛行的現代攻擊。

傳統解決方案無法保護行動使用者免受現代漏洞攻擊

如今，傳統的 VPN 和 NAC 解決方案在提供萬無一失的安全性方面仍有不足。這些解決方案並非針對資料和使用者無處不在的新世界而設計。由於企業資料和應用程式越來越多地從雲端傳送，威脅面大幅擴大，使得傳統解決方案在提供足夠的防護，以應對日益增加的安全風險方面，通常能力有限。

雖然 VPN 僅提供遠端存取功能，而 NAC 則提供某種程度的辦公室內合規性檢查和存取控制保護，但可惜的是，它們無法保護行動員工，讓他們遠離現今複雜的威脅行為者所採用的進階攻擊策略，例如進階持續威脅、SaaS 威脅、網路釣魚和身分盜竊。對 IT 人員而言，傳統解決方案無法消除遠端存取的盲點，這些盲點是因為無法深入檢視透過安全 VPN 傳輸的應用程式流量。除了在安全性方面失敗之外，光是要部署一個有 VPN 的 NAC 解決方案，就增加了成本、複雜性和管理的工作。

下一代端點網路安全性用戶端的優勢

適用於端點的下一代網路安全性用戶端，可更進一步防禦現代攻擊：

1. 提供全面的交通可視性：它透過使用組織部署為網際網路閘道的下一代防火牆 (NGFW) 檢查所有流量來保護行動使用者 - 無論是在周邊、非軍事區域 (DMZ) 或雲端。

2. 阻止進階威脅：它能從行動使用者的流量中識別出新的、先前已知的和高度針對性的惡意軟體，從而防止高度迴避性的進階威脅從受攻擊的端點滲入企業網路。遠端存取用戶端將下一代防火牆的安全防護延伸至遠端使用者，透過自動化威脅偵測與防護服務，檢查所有流量是否有惡意軟體。

3. 控制 SaaS 應用程式的存取：它透過對認可和可容忍的 SaaS 應用程式執行政策，同時攔截未經認可的應用程式，以提供 SaaS 應用程式的安全存取。

4. 實作零信任：它實作零信任原則，例如可靠的使用者識別和多因素驗證，只允許在需要知道的基礎上存取敏感資訊。

5. 允許第三方進行安全的應用程式層級存取：它可讓合作夥伴、業務夥伴和承包商安全存取應用程式，只需透過網路介面啟用無用戶端 SSL VPN，而無需他們從未受管理的 BYOD 裝置設定完整的 SSL VPN。

下表提供下一代端點網路安全性用戶端、傳統 VPN 和傳統 NAC 解決方案之間主要優點的基本比較。

若要進一步瞭解 Palo Alto Networks 如何利用下一代網路安全性用戶端針對傳統網路邊界以外的端點保護行動使用者和漫遊安全性，請取得 GlobalProtect 產品說明書。