製造業異地機房 PAM 安全連線 - 克拉子軸承

企業內 IT 人員如何在疫情肆虐擴大之際，以有限的人力安全有效管理多個機房、多台主機與需要遠端連線傳輸機敏資料呢？合法的身份認證與安全的遠端操作，在每個產業場域應用過程中都是絕對不可以便宜行事的重要資安關鍵。成立至今即將邁入三十年的台灣汽車軸承品牌「克拉子」，是少數製造業中系統皆以數位化的先進企業，藉由導入 ERP 統一維護管理資訊系統，優化流程急升客戶滿意度，也部署了大量的 VM 來優化流程滿足企業內部需求與提升客戶的滿意度。克拉子面對系統逐漸複雜的環境，以及維護企業國際專業安全製成的形象，決定導入建立在零信任框架下，符合 ISO 27001 的新一代混合多雲 IT 特權管理工具「Mavis」，藉以有效地改善現下的問題。

克拉子軸承企業有限公司，成立於民國 1992 年，從事汽車軸承的製造，製成經過嚴格的品質管制，深受國際上的認同，客戶遍佈歐美各國，公司秉持著「永續經營」的理念，致力於追求企業的永續發展與成長的克拉子軸承，在數位轉型的浪潮下，也積極的考慮將現有的系統上雲。雲端的好處不僅是能夠讓 IT 的資源投入最佳化，能夠隨時獲取資源外，還能視企業的經營狀況選購符合當下需求的儲存空間與算力，降低 IT 人員成本。然而現有的地端 IT 系統以目前的人力來說，僅僅是維運管理就已經處在相當緊繃的狀況，難以有餘力來進行上雲的後續動作，這也是目前絕大部分中小企業面對的狀況。由於克拉子軸承有遠端資源連線的需求，還有讓外部廠商操作的安全面考量，需要立即有一套工具來協助管理地端資源以及解決現有的遠端連線資安問題，還要能夠支援未來上雲後，混合雲系統的複雜環境管理。如此艱鉅的挑戰，Mavis 完美地契合克拉子的需求，完美的解決了眼下的最大難題。

異地機房安全連線

克拉子軸承分別在台北以及桃園各有地端機房，IT 人員會透過 RDP 進行遠端連線進行維運作業，並使用 VPN 來進行異地機房切換的程序，這對於台灣大部分還尚未上雲的中小企業是個常見的事情，然而再熟悉不過的流程卻暗藏著許多的資安風險。由於 RDP 自身不是一個安全的設定，缺乏適當的保安措施，企業需要面對更高的網絡攻擊風險，尤其是以中小企業最容易成為目標，大多因為普遍缺乏足夠的資源去進行防護和應對網絡威脅。此外，伺服器透過 RDP 公開連線到互聯網多不具備多重認證(multi-factor authentication, MFA)的功能，這意味著攻擊者破解一名用戶的帳號，例如暴力破解弱密碼組合或重複使用密碼等諸多方式，便能經過 RDP 存取到用戶的資料。

Mavis 是一款能夠管理企業所有的混合雲地環境資源的強大工具，集中納管後的資產即可透過單一介面進行維運，無需切換 VPN 即可在異地的機房資源中快速切換，來進行 RDP 或是 SSH 等遠端操作，避免了維運人員在不安全的工具及環境下進行連線。建立在零信任安全框架下的 Mavis，對於帳號的保護上，採用了 MFA 多因素驗證，使維運人員透過方便且安全的方式存取重要資源外，也防止密碼被猜出或盜用。針對MFA，Mavis 的登入名稱與用戶密碼組合上支援 OAuth2 Password flow 進行身份的驗證，更加保障了帳戶的安全性。

特權帳號權限控管

由於目前各行各業的專業分工模式，企業組織經常需要與外部分享資訊，或者需要接受外部存取內部資訊，例如高科技業者將產品設計資訊提供給客戶或製造商瀏覽、金融業開放外包廠商能遠端連線至測試區、政府機關因管理作業需求，讓委外廠商從外部連線至單位，進行系統與網路設備管理或除錯等等，凡此種種，都需要讓連線者具有系統管理者或是對特定服務的存取權限，才能達成作業的要求，然而在這個過程當中，特權(Privilege)的開放和資訊的保護，卻是處在一個對立矛盾的狀態。對於克拉子軸承而言，偶有外部廠商需要連線至企業的機房進行軟硬的維護或是升級，由於缺乏相關連線工具的支援，IT 人員需要與廠商的負責單位約定時間後將重要的資產交付到外人手上，並且透過人為的方式監視下才能妥善進行作業，這對於雙方而言都顯得效率不彰且缺乏信任感。

建立在零信任與 PAM 框架下的 Mavis，可以透過全方位的 RBAC 角色權限控管功能，幫助管理者輕鬆賦予專案成員明確的權限及身份，克拉子軸承不再需要共享管理者權限給外部人員，即可透過廠商角色的建立，限制其可以連線到的資產、可以操作的範圍、需要的資源等等，達到零信任框架下的最小特權原則(Principle of Least Privilage, PoLP)來嚴格執行存取控管，有效降低風險發生的可能性。此外，Mavis 有著強大的治理稽核核心功能，在稽核軌跡的幫助下稽核人員可以用最有效率的方法來做好監控管理及問題解析，便是透過「操作日誌管理」配合「連線錄製回放」讓過去需要透過人工方式才能做好監控的困難點徹底解放，完整的將所有透過 Mavis 操作的連線完整錄影留存，減少稽核整理需要耗費的時間。

關於奔騰網路

2017 年創建的奔騰網路是 2020 年榮獲新創之星的台灣 IT 維運自動化技術新創，專注提供亞洲大型遊戲業客戶自主研發之「 混合雲一站式自動化維運平台 」及包含 CICD 及微服務轉型等技術賦能顧問服務。團隊由 50 名軟體開發者與 SRE 專家聯合組成，通過 ISO 27001 資安認證，具備三大公有雲 GCP Consulting Partner、AWS Advanced Consulting Partner以及 Microsoft Partner Silver Application Development 的專業資質。

奔騰網路有著長年雲原生開發技術，在過去明星產品及顧問團隊服務眾多大型企業的知識堆疊下，打造出新一代明星產品「Mavis」，這是目前市面上唯一基於零信任架構的混合多雲 IT 特權管理工具，以三大核心為理念，在最具備彈性的成本架構下，滿足企業全方位的需球，提供最安心可信賴的管理機制，確保企業在數位轉型，又或是上雲的時代，有著最卓越的工具輔助。