使用云端点安全服务能够让企业迅速获得总拥有成本(TCO)的优势,因为这让他们不必部署和配置企业内部管理服务器。然而,一些基于云的安全产品只提供相对基本的有限的功能,这可能让企业无法获得TCO优势,甚至适得其反!在评估云计算端点安全服务时,永远不要认为内部部署产品提供的功能也能在云服务中找到。
本文提供了一些指导意见,帮助企业从部署、警报和报告三个方面来评估云计算端点安全功能。这种云计算端点安全比较源自于The Tolly Group最近使用五个知名云产品厂商的服务构建原型部署。
云端点安全:部署
无论端点安全覆盖整个区域,或只是覆盖少数新用户,灵活性和简易部署都是非常重要的因素。当管理系统位于企业外部环境时(例如基于云的安全),部署过程必然有所变化。虽然根据定义来看,部署属于一次性任务,但对于大型安装,企业需要付出巨大的努力,因此,企业应该密切审查安装过程。
传统端点部署和基于云的端点部署的根本区别是,在基于云的产品中,端点位于内部的私有网络,而管理服务器是位于公共的外部网络。由于企业端点将位于防火墙背后(而且肯定是使用私有IP地址空间),服务器和托管客户端之间的通信必须由客户端来发起。
我们的研究发现了三个主要部署方法:安装软件包、通过网址下载软件以及网关机器。前两种方法是由客户端发起,并从服务器中“拉取”所需的代理和端点安全文件。第三种方法则是从服务器“推送”代理和相关软件到客户端(通过位于防火墙内的网关系统)。
也就是说,基于云计算的部署至少要有一个“拉取”安装的端点客户端,虽然供应商提供自动“推送”。这是因为推送安装需要本地服务器作为 “外部”云计算管理服务器和推送到的“内部”客户端之间网关。然而,在我们评估的五个产品中,只有一个产品提供“推送”功能。安装端点代理最简单的方法是:使用管理控制台来通过电子邮件发送安装URL到端点用户。(“拉取”方法中的URL和安装器是使用客户公司的云安全ID来编码,这能够自动关联客户端与客户的云安全管理服务器)。
“推送”系统的安装过程不需要用户交互,只要从管理控制台根据名称和IP地址来确定目标机器,然后提供登录账号,进行自动化安装,并登录到端点。
云端点安全:警报
在安装完成后,接下来是警报功能,该功能使管理员能够立即了解潜在的安全问题。除了在产品的管理控制台显示警报外,大多数基于云的端点安全产品还允许通过电子邮件或短消息来发送警报信息。
典型的警报情况包括检测到威胁、受阻止的URL、过期的病毒定义、X天运行没有扫描等。令人惊讶的是,我们发现一些服务只提供有限警报功能,或者完全没有提供警报功能。除了实时分析外,安全管理人员必须依赖于报告。警报是一项重要的功能,因为管理员不可能全天都在控制台,并且,企业不仅应该确保其选择的服务提供该功能,还要确保它能够良好运作。
云端点安全:报告
报告要求是完全可以预见的。安全管理人员通常想要了解各种威胁、受感染的设备、试图访问被阻止的网站等。然而,在我们评估的五个产品中,有三个产品不提供任何预定义的报告。虽然手动生成这些报告并不困难,但这些供应商没有让开发人员花时间在基本报告上反映出,我们看到的很多产品在功能方面普遍缺乏深度。
在部署前,企业一定要仔细确定警报和报告需求。这些新系统需要提供现有端点安全报告吗?是否需要新的或额外的报告?用于什么目的?找出这些问题的答案,向有前瞻性的云端点安全供应商询问他们是否能够为你提供这些报告,但前提是***不需要支付额外费用。