企業(yè)使用云端點(diǎn)安全服務(wù)能夠?qū)崿F(xiàn)總擁有成本(TCO)的降低�����,省去在內(nèi)部管理服務(wù)器上進(jìn)行部署和配置的工作�。但是��,很不幸的是�,一些基于云的產(chǎn)品只提供了相對(duì)原始、有限的功能�,這些功能只會(huì)將TCO引入歧途。當(dāng)評(píng)估基于云的端點(diǎn)安全服務(wù)時(shí)���,永遠(yuǎn)不要想當(dāng)然地認(rèn)為云服務(wù)中的功能與內(nèi)部產(chǎn)品的功能相同�����。
針對(duì)與部署���、警告和報(bào)告相關(guān)的基于云端點(diǎn)服務(wù)功能評(píng)估����,本文提供了相關(guān)的指導(dǎo)�。本文中對(duì)于云安全服務(wù)功能的比較源自于Tolly集團(tuán)近期在五大著名云安全廠商所提供服務(wù)基礎(chǔ)上構(gòu)建原型部署的經(jīng)驗(yàn)。
部署功能
無(wú)論端點(diǎn)安全是涉及整個(gè)區(qū)域還是僅僅幾個(gè)新用戶���,靈活性和輕松部署都是非常理想的需求����。當(dāng)管理系統(tǒng)涉及整個(gè)企業(yè)環(huán)境時(shí)��,雖然基于云的安全服務(wù)與之類似�����,但是部署過(guò)程必然要有所變化�����。雖然從定義上來(lái)說(shuō)���,一次實(shí)施是一個(gè)一次性的任務(wù)�����,但是對(duì)于大型安裝來(lái)說(shuō)其工作量也非常巨大��,因此仔細(xì)周到地檢查安裝任務(wù)也非常必要�����。
傳統(tǒng)端點(diǎn)部署和基于云的端點(diǎn)部署之間的根本區(qū)別在于:如果使用的是基于云的產(chǎn)品��,那么其端點(diǎn)是在一個(gè)內(nèi)部的私有網(wǎng)絡(luò)上的����,而管理服務(wù)器是在一個(gè)公共的外部網(wǎng)絡(luò)上����。因?yàn)槠髽I(yè)端點(diǎn)毫無(wú)疑問(wèn)是位于防火墻后的(而且?guī)缀蹩梢钥隙ㄊ褂昧艘粋(gè)私有IP地址空間),而服務(wù)器及其所管理客戶端之間的通信必須由客戶端發(fā)起�����。
云端點(diǎn)安全考慮:部署�、警告和報(bào)告
我們的研究涉及了目前主要使用的三個(gè)部署方法:軟件包安裝、通過(guò)URL下載軟件的安裝 以及網(wǎng)關(guān)機(jī)��。前兩種方法是由客戶端發(fā)起,并從服務(wù)器端“拉”所需的代理和端點(diǎn)安全文件�����。而第三者方法則是從服務(wù)器端向客戶端“推”代理和相關(guān)的軟件(通過(guò)位于防火墻內(nèi)的網(wǎng)關(guān)系統(tǒng))��。
那么���,最低程度來(lái)說(shuō)�,即便廠商提供了自動(dòng)化的“推”選項(xiàng)�,基于云的部署也至少需要一個(gè)端點(diǎn)客戶端的“拉”安裝,這是因?yàn)椋?ldquo;推”安裝需要一個(gè)本地計(jì)算機(jī)扮作從“外部”云管理服務(wù)器到“內(nèi)部”目標(biāo)客戶端的網(wǎng)關(guān)角色��。但是��,在我們的本次評(píng)估中�����,我們所選擇的五個(gè)產(chǎn)品中只有一個(gè)提供了“推”選項(xiàng)�。安裝端點(diǎn)代理的最簡(jiǎn)單方法就是使用管理控制臺(tái)把安裝URL通過(guò)電子郵件的方式發(fā)送給端點(diǎn)用戶。(在“推”方法中所使用到的URL和安裝程序都使用客戶公司的云安全I(xiàn)D進(jìn)行編碼�����。這就會(huì)自動(dòng)地把客戶端和客戶的云計(jì)算安全管理服務(wù)器相關(guān)聯(lián)了。)
“推”系統(tǒng)可使安裝過(guò)程在沒(méi)有用戶交互的情況下進(jìn)行���。只要通過(guò)在管理控制臺(tái)上顯示的名稱和IP地址就能識(shí)別目標(biāo)機(jī)器�����,然后提供可供自動(dòng)安裝使用的憑據(jù)就可登錄到端點(diǎn)�。
云端點(diǎn)安全警告
一旦安裝完成���,下一步就是警告功能�����,該功能可使管理員立即了解潛在的安全問(wèn)題�����。除了在產(chǎn)品的管理控制臺(tái)上顯示警告,大多數(shù)基于云的端點(diǎn)安全產(chǎn)品可實(shí)現(xiàn)電子郵件和/或SMS(短信)的警告功能�。
典型的警告條件包括威脅檢測(cè)、阻塞URL檢測(cè)�、過(guò)期病毒定義、X天沒(méi)有進(jìn)行掃描等等��。令人驚訝的是,我們發(fā)現(xiàn)一些服務(wù)對(duì)于警告功能只提供了有限的支持或者根本不支持該功能�����。除了實(shí)時(shí)分析���,安全管理員們還必須依靠報(bào)告���。
警告是一項(xiàng)重要的功能,管理員無(wú)法全天候地守在控制臺(tái)旁�,企業(yè)不僅應(yīng)當(dāng)確保在其所選擇的服務(wù)中有該功能,而且還應(yīng)確保該功能能夠正常運(yùn)行�����。
云端點(diǎn)安全報(bào)告
報(bào)告的要求是應(yīng)具有相當(dāng)?shù)目深A(yù)測(cè)性����。安全管理員們通常需要有威脅檢測(cè)、受干擾設(shè)備����、企圖訪問(wèn)受控外展等內(nèi)容的清單。因此�,參加本次評(píng)估的五個(gè)服務(wù)中有三個(gè)并不提供任何預(yù)定義的報(bào)告�����,這一點(diǎn)讓我們非常驚訝�����。雖然手動(dòng)生成這些報(bào)告并不是一個(gè)很繁重的負(fù)擔(dān)���,但是這些主要廠商并沒(méi)有讓他們的開(kāi)發(fā)人員花時(shí)間投入到這些基本報(bào)告的這一事實(shí)反映了眾多產(chǎn)品中所提供功能普遍缺乏一定的深度。
在實(shí)施前��,一定要仔細(xì)定義警告和報(bào)告需求���。這些現(xiàn)有端點(diǎn)安全報(bào)告是否是新系統(tǒng)應(yīng)當(dāng)提供的�?新的或額外的報(bào)告是否有必要��?其目的何在�?簡(jiǎn)單回答這些問(wèn)題,把它們提供給具有前瞻性眼光的云端點(diǎn)安全廠商��,并詢問(wèn)他們是否能夠?yàn)槟闵蛇@些報(bào)告�,當(dāng)然最好是無(wú)需任何額外的費(fèi)用����。
