企業(yè)使用云端點安全服務(wù)能夠?qū)崿F(xiàn)總擁有成本（TCO）的降低，省去在內(nèi)部管理服務(wù)器上進行部署和配置的工作。但是，很不幸的是，一些基于云的產(chǎn)品只提供了相對原始、有限的功能，這些功能只會將TCO引入歧途。當評估基于云的端點安全服務(wù)時，永遠不要想當然地認為云服務(wù)中的功能與內(nèi)部產(chǎn)品的功能相同。

針對與部署、警告和報告相關(guān)的基于云端點服務(wù)功能評估，本文提供了相關(guān)的指導(dǎo)。本文中對于云安全服務(wù)功能的比較源自于Tolly集團近期在五大著名云安全廠商所提供服務(wù)基礎(chǔ)上構(gòu)建原型部署的經(jīng)驗。

部署功能

無論端點安全是涉及整個區(qū)域還是僅僅幾個新用戶，靈活性和輕松部署都是非常理想的需求。當管理系統(tǒng)涉及整個企業(yè)環(huán)境時，雖然基于云的安全服務(wù)與之類似，但是部署過程必然要有所變化。雖然從定義上來說，一次實施是一個一次性的任務(wù)，但是對于大型安裝來說其工作量也非常巨大，因此仔細周到地檢查安裝任務(wù)也非常必要。

傳統(tǒng)端點部署和基于云的端點部署之間的根本區(qū)別在于：如果使用的是基于云的產(chǎn)品，那么其端點是在一個內(nèi)部的私有網(wǎng)絡(luò)上的，而管理服務(wù)器是在一個公共的外部網(wǎng)絡(luò)上。因為企業(yè)端點毫無疑問是位于防火墻后的（而且?guī)缀蹩梢钥隙ㄊ褂昧艘粋�私有IP地址空間），而服務(wù)器及其所管理客戶端之間的通信必須由客戶端發(fā)起。

云端點安全考慮：部署、警告和報告

我們的研究涉及了目前主要使用的三個部署方法：軟件包安裝、通過URL下載軟件的安裝 以及網(wǎng)關(guān)機。前兩種方法是由客戶端發(fā)起，并從服務(wù)器端“拉”所需的代理和端點安全文件。而第三者方法則是從服務(wù)器端向客戶端“推”代理和相關(guān)的軟件（通過位于防火墻內(nèi)的網(wǎng)關(guān)系統(tǒng)）。

那么，最低程度來說，即便廠商提供了自動化的“推”選項，基于云的部署也至少需要一個端點客戶端的“拉”安裝，這是因為，“推”安裝需要一個本地計算機扮作從“外部”云管理服務(wù)器到“內(nèi)部”目標客戶端的網(wǎng)關(guān)角色。但是，在我們的本次評估中，我們所選擇的五個產(chǎn)品中只有一個提供了“推”選項。安裝端點代理的最簡單方法就是使用管理控制臺把安裝URL通過電子郵件的方式發(fā)送給端點用戶。（在“推”方法中所使用到的URL和安裝程序都使用客戶公司的云安全ID進行編碼。這就會自動地把客戶端和客戶的云計算安全管理服務(wù)器相關(guān)聯(lián)了。）

“推”系統(tǒng)可使安裝過程在沒有用戶交互的情況下進行。只要通過在管理控制臺上顯示的名稱和IP地址就能識別目標機器，然后提供可供自動安裝使用的憑據(jù)就可登錄到端點。

云端點安全警告

一旦安裝完成，下一步就是警告功能，該功能可使管理員立即了解潛在的安全問題。除了在產(chǎn)品的管理控制臺上顯示警告，大多數(shù)基于云的端點安全產(chǎn)品可實現(xiàn)電子郵件和/或SMS（短信）的警告功能。

典型的警告條件包括威脅檢測、阻塞URL檢測、過期病毒定義、X天沒有進行掃描等等。令人驚訝的是，我們發(fā)現(xiàn)一些服務(wù)對于警告功能只提供了有限的支持或者根本不支持該功能。除了實時分析，安全管理員們還必須依靠報告。

警告是一項重要的功能，管理員無法全天候地守在控制臺旁，企業(yè)不僅應(yīng)當確保在其所選擇的服務(wù)中有該功能，而且還應(yīng)確保該功能能夠正常運行。

云端點安全報告

報告的要求是應(yīng)具有相當?shù)目深A(yù)測性。安全管理員們通常需要有威脅檢測、受干擾設(shè)備、企圖訪問受控外展等內(nèi)容的清單。因此，參加本次評估的五個服務(wù)中有三個并不提供任何預(yù)定義的報告，這一點讓我們非常驚訝。雖然手動生成這些報告并不是一個很繁重的負擔(dān)，但是這些主要廠商并沒有讓他們的開發(fā)人員花時間投入到這些基本報告的這一事實反映了眾多產(chǎn)品中所提供功能普遍缺乏一定的深度。

在實施前，一定要仔細定義警告和報告需求。這些現(xiàn)有端點安全報告是否是新系統(tǒng)應(yīng)當提供的？新的或額外的報告是否有必要？其目的何在？簡單回答這些問題，把它們提供給具有前瞻性眼光的云端點安全廠商，并詢問他們是否能夠為你生成這些報告，當然最好是無需任何額外的費用。