AA台灣金融公司總部位於台北市,成立於60年代,在全台設有20家以上分公司、逾300個通訊處,2017年總營收超過4000億以上,總資產超過3兆以上,公司電腦數量6000臺以上,約近4000名員工。
面對全公司的端末電腦使用者,電腦中心僅以30位成員、平均每位成員服務133位使用者或200臺電腦,雖然將硬體維修委外負責,其平均負擔量仍然遠高於業界平均值;再者,近年資安事件頻傳,加上外有金管會個資法稽核,內有系統軟體安全漏洞、與勒索駭客軟體潛入,傳統的安全管理防護模式已經不能滿足快速演化的各種威脅與攻擊;再加上金融商品競爭愈趨激烈,商品內容更動的速度,更是商業致勝的關鍵力量。
AA台灣金融公司電腦中心總監Bartay親自尋求解決方案,並說明面臨問題的嚴肅性。Bartay解釋說:“我們不能即時隔離非公司的電腦進入公司網路,任一員工或協力廠商人員攜帶的個人NB可能帶來各種安全威脅或資料外洩,不論是有心或是無意”,“公司工員攜帶或下載安裝未經公司核准的應用程式,除了安全疑慮,軟體合法授權管理更是受到很大的挑戰”,“逾300個通訊處由於網路各自獨立,目前處於無內控管理的狀態”。
Bartay繼續說“我們平日不能執行軟體相關的更新或部署,基於有限的網路頻寬,目前的分發工具會搶佔網路頻寬資源,導致公司營運數據傳輸速度下降、甚或不穩定而中斷,為此我們僅能額外加班挑選非上班時段或假日來執行軟體更新及部署,但是各單位配合不容易、效率差、人力成本增加、完成率不達標”,為了解決這種種的困難,Bartay嚐試尋找一套技術整合工具,基於端末電腦管理的完整解決方案。
除了依賴網卡MAC Address白名單來阻擋不明的網路裝置,目前市場上可以選擇的方案顯然不多”Bartay回憶說,他找來了網路產品合作伙伴討論,並上網研究各種可能方案,他發現MAC Address白名單的管理方案一開始效果很好,但是一段時間後MAC Address白名單的維護是個大問題,”設備的更換、廠商攜帶NB異動頻繁,申請新增MAC Address作業程序耗時,清除MAC Address認定困難”Bartay說明,“直到我找到結合了端末資產管理與使用者AD帳號雙因子認證的Ivanti端點資產管理NAC管理工具”。接下來的POC,Bartay還加入網路維護合作伙伴一同研究導入的可行性與架構設計,並實機驗證。
結果“不僅達到即時隔離未符合條件的電腦,在正式運行了兩個月後,對於過去潛在不明的電腦,一一自動浮現要求加入管理,這使得過去幾乎不可能達到的管理目的完全實現”Bartay驕傲的說明,“這太令人興奮了,我們完成了不可能的任務。”
“在原來的Patch部署工具有兩大問題,首先,有些Patch在部分電腦無法安裝,雖然掃瞄比對的結果是必要安裝的Patch,但我們始終找不到失敗的原因”Bartay繼續說明,“其次,每個月Patch週期性的大量部署更新,我們IT人員總是必須選擇晚上或是週末加班,以避免大量部署造成網路壅塞,而且還要發公告要求使用者配合週五下班時不關機,不僅額外增加人員、電力費用支出,部署的成功率也達不到要求”Bartay嘆氣說。
“在導人Ivanti Patch管理模組初期,Ivanti技術工程師與我們開會討論過去的困境,一開始也遭遇到各種狀況,到第三個月時,部署所需要的時間也縮短,更重要的是,我們IT人員不需要再為Patch部署而加班,就可以在上班時間不受網路頻寬的限制自由部署更新,直至目前為止,完成率提升到9成3以上,這是同業都難以達到目標”,Bartay開心說。
我們的使用者有權限可以安裝軟體,這同時產生端末安全與軟體授權合法性雙重問題”Bartay謹慎的表達,“我們曾考慮將縮減使用者權限,但測試後發現這會造成部分應用程式不能正常運作,徵詢供應商後,解決方式是需要改寫程式碼,或額外再開發權限轉置工具,這複雜性太高,時間成本難以控制。”
“Ivanti安全管理功能確實超乎我們預期”,Bartay加大聲量的說,“它可以主動阻擋應用程式的安裝行為,並通知使用者阻擋訊息,這帶給我們全新的安裝軟體管理模式,只有經過使用者申請核准的軟體,IT才會協助放行安裝行為。”
這是主管機關稽核的重點”Bartay強調,“我們曾考慮透過網路防火牆及Windows GPO來關閉電腦網路芳鄰資料分享,但顧及後續維護的簡易與穩定效果,我們要求Ivanti供應商協助找尋對策。”
Bartay再次面帶笑容說:“Ivanti真的都設想到了,Ivanti防火牆功能設定簡潔穩定,只要安裝agent之後,就不必再花心力耽心這問題,不必修改複雜的網路防火牆設定,也不用設定GPO,即使有權限的administrator帳號也在限制之內,這真的太方便了。”
“外點通訊處電腦納入管理是不可能的任務”Bartay認真的回答,“我們不曾聽過有這樣的工具可以做到,直到遇見Ivanti”Bartay感性的說道,“我們現在可以驕傲說,我們真正做到全公司電腦管理,不論電腦身何處。”
◆ 即時隔離非公司電腦
◆ 禁止使用者任意安裝軟體
◆ 以低網路頻寬高效率部署Patch,提高安裝成功率並安裝確實
◆ 低維護成本管控電腦網路資料分享
◆ 外點通訊處電腦納入管理
本案介紹
AA台灣金融公司總部位於台北市,成立於60年代,在全台設有20家以上分公司、逾300個通訊處,2017年總營收超過4000億以上,總資產超過3兆以上,公司電腦數量6000臺以上,約近4000名員工。
面對全公司的端末電腦使用者,電腦中心僅以30位成員、平均每位成員服務133位使用者或200臺電腦,雖然將硬體維修委外負責,其平均負擔量仍然遠高於業界平均值;再者,近年資安事件頻傳,加上外有金管會個資法稽核,內有系統軟體安全漏洞、與勒索駭客軟體潛入,傳統的安全管理防護模式已經不能滿足快速演化的各種威脅與攻擊;再加上金融商品競爭愈趨激烈,商品內容更動的速度,更是商業致勝的關鍵力量。
AA台灣金融公司電腦中心總監Bartay親自尋求解決方案,並說明面臨問題的嚴肅性。Bartay解釋說:“我們不能即時隔離非公司的電腦進入公司網路,任一員工或協力廠商人員攜帶的個人NB可能帶來各種安全威脅或資料外洩,不論是有心或是無意”,“公司工員攜帶或下載安裝未經公司核准的應用程式,除了安全疑慮,軟體合法授權管理更是受到很大的挑戰”,“逾300個通訊處由於網路各自獨立,目前處於無內控管理的狀態”。
Bartay繼續說“我們平日不能執行軟體相關的更新或部署,基於有限的網路頻寬,目前的分發工具會搶佔網路頻寬資源,導致公司營運數據傳輸速度下降、甚或不穩定而中斷,為此我們僅能額外加班挑選非上班時段或假日來執行軟體更新及部署,但是各單位配合不容易、效率差、人力成本增加、完成率不達標”,為了解決這種種的困難,Bartay嚐試尋找一套技術整合工具,基於端末電腦管理的完整解決方案。
專案範圍
問題一:不能隔離非公司電腦 解決方案:Ivanti端點資產管理NAC(Network Access Control 網路存取控制)模組除了依賴網卡MAC Address白名單來阻擋不明的網路裝置,目前市場上可以選擇的方案顯然不多”Bartay回憶說,他找來了網路產品合作伙伴討論,並上網研究各種可能方案,他發現MAC Address白名單的管理方案一開始效果很好,但是一段時間後MAC Address白名單的維護是個大問題,”設備的更換、廠商攜帶NB異動頻繁,申請新增MAC Address作業程序耗時,清除MAC Address認定困難”Bartay說明,“直到我找到結合了端末資產管理與使用者AD帳號雙因子認證的Ivanti端點資產管理NAC管理工具”。接下來的POC,Bartay還加入網路維護合作伙伴一同研究導入的可行性與架構設計,並實機驗證。
結果“不僅達到即時隔離未符合條件的電腦,在正式運行了兩個月後,對於過去潛在不明的電腦,一一自動浮現要求加入管理,這使得過去幾乎不可能達到的管理目的完全實現”Bartay驕傲的說明,“這太令人興奮了,我們完成了不可能的任務。”
“在原來的Patch部署工具有兩大問題,首先,有些Patch在部分電腦無法安裝,雖然掃瞄比對的結果是必要安裝的Patch,但我們始終找不到失敗的原因”Bartay繼續說明,“其次,每個月Patch週期性的大量部署更新,我們IT人員總是必須選擇晚上或是週末加班,以避免大量部署造成網路壅塞,而且還要發公告要求使用者配合週五下班時不關機,不僅額外增加人員、電力費用支出,部署的成功率也達不到要求”Bartay嘆氣說。
“在導人Ivanti Patch管理模組初期,Ivanti技術工程師與我們開會討論過去的困境,一開始也遭遇到各種狀況,到第三個月時,部署所需要的時間也縮短,更重要的是,我們IT人員不需要再為Patch部署而加班,就可以在上班時間不受網路頻寬的限制自由部署更新,直至目前為止,完成率提升到9成3以上,這是同業都難以達到目標”,Bartay開心說。
問題三:不能管控使用者安裝軟體 解決方案:Ivanti端點安全管理模組
我們的使用者有權限可以安裝軟體,這同時產生端末安全與軟體授權合法性雙重問題”Bartay謹慎的表達,“我們曾考慮將縮減使用者權限,但測試後發現這會造成部分應用程式不能正常運作,徵詢供應商後,解決方式是需要改寫程式碼,或額外再開發權限轉置工具,這複雜性太高,時間成本難以控制。”
“Ivanti安全管理功能確實超乎我們預期”,Bartay加大聲量的說,“它可以主動阻擋應用程式的安裝行為,並通知使用者阻擋訊息,這帶給我們全新的安裝軟體管理模式,只有經過使用者申請核准的軟體,IT才會協助放行安裝行為。”
這是主管機關稽核的重點”Bartay強調,“我們曾考慮透過網路防火牆及Windows GPO來關閉電腦網路芳鄰資料分享,但顧及後續維護的簡易與穩定效果,我們要求Ivanti供應商協助找尋對策。”
Bartay再次面帶笑容說:“Ivanti真的都設想到了,Ivanti防火牆功能設定簡潔穩定,只要安裝agent之後,就不必再花心力耽心這問題,不必修改複雜的網路防火牆設定,也不用設定GPO,即使有權限的administrator帳號也在限制之內,這真的太方便了。”
問題五:不能管理外點通訊處電腦 解決方案:Ivanti雲服務器
“外點通訊處電腦納入管理是不可能的任務”Bartay認真的回答,“我們不曾聽過有這樣的工具可以做到,直到遇見Ivanti”Bartay感性的說道,“我們現在可以驕傲說,我們真正做到全公司電腦管理,不論電腦身何處。”
預期效益
◆ 即時隔離非公司電腦
◆ 禁止使用者任意安裝軟體
◆ 以低網路頻寬高效率部署Patch,提高安裝成功率並安裝確實
◆ 低維護成本管控電腦網路資料分享
◆ 外點通訊處電腦納入管理