ASUS OmniStor 線上研討會

重塑零信任架構
檔案防禦技術及應用戰略

10/27 Wed 14 : 00 準時開講

資料存取的零信任實踐
 淺談零信任的起源與發展
回顧零信任的發展

2010 2019 2020

John Kindervag Coined Gartner Released SASE NIST Published
“Zero Trust” Zero Trust 800-207

2014 2019
Google Published NIST Published
“BeyondCorp” Zero Trust Draft 800-207

Source : World Wide Technology

3
 疫情下的企業挑戰 WFH 的企業挑戰
帶動零信任發展

員工檔案使用行為難以控管

BYOD 及家用網路產生風險

零信任架構成為關鍵策略

4
 導入零信任解決方案常見的 IT 痛點

服務評估與導入 新舊設備如何 安全存取與交換

時程冗長 互相搭配 是首要議題

5
 OmniStor 企業儲存雲解決方案

身份和訪問管理
控管登入驗證與裝置，保障應用安全性

檔案權限管理
內外部安全協作，實現權限最小化原則
企業級檔案儲存與協作平台，提供企業從
身份、設備、網路端等多層式資安防禦應 檔案軌跡及可視性
用，打造關鍵資料存取零信任架構，落實 內建稽核報表，完整掌握檔案使用操作
最小權限原則，全面掌握檔案軌跡，提升
行動應用安全性，符規稽核 彈性佈署架構
適應企業需求，支援多元佈署模式

6
 通過單一登入 (SSO) 強化身份驗證

身份和訪問管理 用戶登入紀錄查詢

行動裝置綁定機制
 通過單一登入 (SSO) 強化身份驗證
符合 SAML 2.0 認證，只需完成初次系統登入，系統將於下次使用時判斷驗證自動登入

8
 用戶登入紀錄查詢(使用者)
用戶可透過使用者平台查詢個人登入紀錄，包含裝置、來源、時間等，及早發現可疑威脅

狀態
可查詢「目前工作階段」「登入」、「登入失
敗」、「登出」等行為，更容易判斷是否為惡意
行為

登入裝置
顯示使用者登入的裝置
名稱、前端硬體裝置的
機型、作業系統(含版本)

應用程式
顯示登入的App使用名稱及App
版本號資訊

9
 用戶登入紀錄查詢(管理者)
平台管理者可查詢用戶登錄紀錄，包含時間、帳號、狀態、IP 等，以利稽核需求

可單獨指定想要查詢的用戶端

用戶端名稱與版本也一併呈現，讓管理
員更容易管理用戶使用的版本

狀態可查詢「登入」、「登入失敗」、「登出」等
行為，更容易判斷是否為惡意行為
10
用戶登入紀錄報表(管理者)
 用戶行動裝置管理與查詢(使用者網頁瀏覽)
使用者可於平台查詢裝置綁定狀況，若遇異常可取消行動裝置綁定
帳號設定
『裝置管理』分頁，搭配裝置綁定功能使用

取消綁定
1.解除裝置與帳
號的綁定關係

2.立即將該裝置
的帳號執行登出

綁定的裝置資訊，包含 帳號與裝置綁定的日期
裝置名稱、裝置型號 與時間

12
 行動裝置綁定查詢 (管理者平台)
平台管理者可設定用戶裝置綁定上限、查看登入紀錄，遇惡意登入可移除成員綁定之裝置

管理者可將用戶以綁定的裝置
移除，移除同時會將該裝置用
戶進行登出

13
 資料不落地情境

檔案權限管理 檔案攜出申請

檔案請求功能
 資料不落地應用情境
可設定線上編輯、禁止下載機制，落實權限最小化原則，保障關鍵資產

浮水印防護(兩種機制)
(1) 預覽及編輯浮水印
(2) 全介面浮水印與防破解

資料不落地

企業成員 線上瀏覽 線上編輯 檔案禁止下載

授權管理
由平台管理者設定

15
16
 檔案攜出申請
可串接企業審核系統，設定檔案攜出機制，於分享或下載時申請主管審核放行，加強資安符規

通過放行
檔案分享

不通過禁止

企業成員 攜出申請 主管審核

檔案下載

17
 檔案攜出申請示意

18
 檔案請求安全分享
可建立外部檔案上傳提交連結及安全性設定，簡化廠商文件交換流程，保護檔案隱私

全介面浮水印

連結安全性
• 密碼
連結公開分享 • 到期日 開設資料夾
• 下載次數

共用資料夾
公開分享

合作廠商 連結安全性 企業成員

• 密碼
• 到期日
• 可用空間
連結上傳大檔
檔案請求

19
20
 內建稽核報表
檔案軌跡及可視性
結合Log收容平台
 用戶使用紀錄稽核報表
平台管理者可依據用戶基本操作、線上編輯等其他存取行為查詢與匯出報表，以利稽核需求

22
 用戶使用紀錄稽核報表
平台管理者可依據用戶基本操作、線上編輯等其他存取行為查詢與匯出報表，以利稽核需求

23
 即時自動化監控，打造多點辦公主動資安防禦機制
介接 Splunk 智能監控平台，透過檔案數據輔助管理決策，快速因應可疑威脅，降低風險

透過 API 取得
短時間大量搬移檔案 Action Log

台北

確認員工搬移需求 智能監控平台
總公司員工 資料夾軌跡分析
自動告警
非工作時段大量刪除檔案
風險處理
美國
加州
使用者平台 移除離職員工權限
海外分公司員工 時段活動分析 平台管理者
登入位置異常
裝置疑似遭竊
西班牙

取消裝置綁定
出差中員工 登入位置分析

24
 結合 Log 收容平台

25
 All-in-One 單機佈署

彈性佈署架構 HA 架構多機佈署

多層式架構佈署
 All-in-One 單機佈署
少人數內部敏感資料交換使用，如一體機 Storage 之使用方式

AP Server 1
AP Server 1
Clone

ES Server
ES Server
Clone

vMotion Amos Server 1

Amos Server 1
Clone

DB 1
DB 1
Clone

27
 HA 架構多機佈署
多人數內部敏感資料交換使用，HA 架構佈署分散流量與保護檔案副本

企業自有 NLB

ES Server AP Server 1 AP Server 2 Office Server 1 Office Server 2

企業自有 L2 Switch

Amos Server 1 企業自有 DB Amos Server 2

28
多層式架構佈署
多人且開放外網使用，對應企業主流三層式架構

Internet DMZ Intranet Intranet

Navigate 1 Navigate 1 Search 1

OmniStor VIP Web Server Web Server ES Server

AP VIP AP 1 AP 2 DB Server
API GW VIP API GW2
API GW1

SAML 個資/掃毒主機 Firewall Amos 1 Amos 2 Firewall

WAF
 醫療案例：支援 API 整合，延伸無限企業應用

郵件傳輸文件 郵件寄出
私立醫療院所 院區員工 A 郵件伺服器 郵件附件 院區員工 B

需求/痛點 附件轉連結
由連結
存取檔案
• 員工習慣透過郵件傳輸文件，郵件伺服器容量不敷使用
要求紀錄報表
• 依主管機關要求，檔案使用需紀錄完整軌跡

解決方案 主管機關/稽核
管理平台
• 整合原郵件伺服器，將檔案存於 OmniStor，郵件去附件化
• 可依據用戶操作行為匯出單一或多個功能使用紀錄報表

效益
行為紀錄查詢
• 原 30G 個人空間減少至 3G ，降低伺服器負擔，延伸儲存空間
• 精準查詢用戶檔案操作歷程，符合稽核需求，完善資料內控

使用者操作 管理者操作 風險檔案放行

30
 金融案例：嚴控員工使用權限，落實資料不落地

《高價值企業100強》金融機構 MIS

需求/痛點
最小化權限
• 組織龐大，資料安全控管不易 禁止下載 浮水印保護
• 大檔傳輸、國外分行資料傳輸限制

解決方案 檔
案
• 限制資料禁止下載，線上編輯浮水印保護 安
共用文件
全
• 外部檔案專屬連結上傳，大檔傳輸並掃描 存 線上共編
取
效益
• 落實企業資料不落地、遵循資安最小化原則 集中管理 設定資料夾 定期上傳

• 外部檔案安全存取機制，提升資料存取效益 存取資料
同步資料夾 企業成員 檔案請求資料夾 國外分行

31
 Takeaway：邁向零信任的旅程

• 過渡到 ZTA 是一段漫長旅程

• 應逐步尋求零信任原則的實施、流程變更及解決方案

• 零信任強調更細緻的資料存取控制

• 重點在身分驗證、授權與限縮信任區域，最小權限原則

32
 ASUS OmniStor 線上體驗方案介紹

✓ 快速啟動使用免安裝
✓ 專屬企業獨立環境，保障隱私
✓ 完整管理與協作應用體驗
✓ 線上用戶指南，縮短學習曲線

如何申請
華碩雲端官網【立即體驗】→【OmniStor 體驗方案】
www.asuscloud.com/omnistor-trial

33
 Q&A
任何關於產品的問題

歡 迎 會 後 發 信 至
ppd@asuscloud.com
更多產品資訊，請搜尋

ASUS OmniStor

T H A N K Y O U