企业使用云端点安全服务能够实现总拥有成本(TCO)的降低,省去在内部管理服务器上进行部署和配置的工作。但是,很不幸的是,一些基于云的产品只提供了相对原始、有限的功能,这些功能只会将TCO引入歧途。当评估基于云的端点安全服务时,永远不要想当然地认为云服务中的功能与内部产品的功能相同。
针对与部署、警告和报告相关的基于云端点服务功能评估,本文提供了相关的指导。本文中对于云安全服务功能的比较源自于Tolly集团近期在五大著名云安全厂商所提供服务基础上构建原型部署的经验。
部署功能
无论端点安全是涉及整个区域还是仅仅几个新用户,灵活性和轻松部署都是非常理想的需求。当管理系统涉及整个企业环境时,虽然基于云的安全服务与之类似,但是部署过程必然要有所变化。虽然从定义上来说,一次实施是一个一次性的任务,但是对于大型安装来说其工作量也非常巨大,因此仔细周到地检查安装任务也非常必要。
传统端点部署和基于云的端点部署之间的根本区别在于:如果使用的是基于云的产品,那么其端点是在一个内部的私有网络上的,而管理服务器是在一个公共的外部网络上。因为企业端点毫无疑问是位于防火墙后的(而且几乎可以肯定使用了一个私有IP地址空间),而服务器及其所管理客户端之间的通信必须由客户端发起。
云端点安全考虑:部署、警告和报告
我们的研究涉及了目前主要使用的三个部署方法:软件包安装、通过URL下载软件的安装 以及网关机。前两种方法是由客户端发起,并从服务器端“拉”所需的代理和端点安全文件。而第三者方法则是从服务器端向客户端“推”代理和相关的软件(通过位于防火墙内的网关系统)。
那么,最低程度来说,即便厂商提供了自动化的“推”选项,基于云的部署也至少需要一个端点客户端的“拉”安装,这是因为,“推”安装需要一个本地计算机扮作从“外部”云管理服务器到“内部”目标客户端的网关角色。但是,在我们的本次评估中,我们所选择的五个产品中只有一个提供了“推”选项。安装端点代理的最简单方法就是使用管理控制台把安装URL通过电子邮件的方式发送给端点用户。(在“推“方法中所使用到的URL和安装程序都使用客户公司的云安全ID进行编码。这就会自动地把客户端和客户的云计算安全管理服务器相关联了。)
“推“系统可使安装过程在没有用户交互的情况下进行。只要通过在管理控制台上显示的名称和IP地址就能识别目标机器,然后提供可供自动安装使用的凭据就可登录到端点。
云端点安全警告
一旦安装完成,下一步就是警告功能,该功能可使管理员立即了解潜在的安全问题。除了在产品的管理控制台上显示警告,大多数基于云的端点安全产品可实现电子邮件和/或SMS(短信)的警告功能。
典型的警告条件包括威胁检测、阻塞URL检测、过期病毒定义、X天没有进行扫描等等。令人惊讶的是,我们发现一些服务对于警告功能只提供了有限的支持或者根本不支持该功能。除了实时分析,安全管理员们还必须依靠报告。
警告是一项重要的功能,管理员无法全天候地守在控制台旁,企业不仅应当确保在其所选择的服务中有该功能,而且还应确保该功能能够正常运行。
云端点安全报告
报告的要求是应具有相当的可预测性。安全管理员们通常需要有威胁检测、受干扰设备、企图访问受控外展等内容的清单。因此,参加本次评估的五个服务中有三个并不提供任何预定义的报告,这一点让我们非常惊讶。虽然手动生成这些报告并不是一个很繁重的负担,但是这些主要厂商并没有让他们的开发人员花时间投入到这些基本报告的这一事实反映了众多产品中所提供功能普遍缺乏一定的深度。
在实施前,一定要仔细定义警告和报告需求。这些现有端点安全报告是否是新系统应当提供的?新的或额外的报告是否有必要?其目的何在?简单回答这些问题,把它们提供给具有前瞻性眼光的云端点安全厂商,并询问他们是否能够为你生成这些报告,当然最好是无需任何额外的费用。
作者简介:
Kevin Tolly是Tolly Group的创始人,这是一家拥有二十多年历史的第三方验证/测试服务的业内领先厂商。可通过http://www.tolly.com阅读Tolly Group的更多报告。