正如評估基于云云端點安全功能系列上下文的第一部分所介紹的那樣����,與內(nèi)部部署的端點安全服務(wù)相比���,基于云的端點安全服務(wù)要顯得稚嫩得多。因此���,在評估�、選擇和實施這樣一個基于云的端點安全服務(wù)之前,需要有一個IT安全組織來仔細考慮其需求�����。
隨著我們繼續(xù)對基于云端點安全服務(wù)的探討�����,我們將介紹一下廠商們?nèi)绾翁峁┒它c安全服務(wù)功能�����,具體將基于Tolly Group近期使用的使用體驗,主要涉及五家知名云計算安全廠商�����,根據(jù)其提供的服務(wù)而構(gòu)建原型部署��。
云端點安全:管理高層
部分基于云的端點安全服務(wù)允許有多個管理用戶,然后是控制某些管理團隊的高層�����,但并不是所有的都是如此��。一些端點安全服務(wù)甚至允許“只讀”管理員角色,這個角色只可以監(jiān)控端點安全但無法改變����。
對于任何最小型的企業(yè)客戶來說,管理上的靈活性和粒度是重要的元素��。如果你的企業(yè)希望能夠根據(jù)不同的端點集群向不同的人授權(quán)管理責任�,那么一定要向你的潛在服務(wù)廠商確認這一點�����。
當然�,真正重要的是管理員能夠使用端點客戶端做到些什么����。我們來看看一些不同的功能以便于確定端點管理的深度�。
云端點安全:策略(組)控制
端點運行一般都遵循在策略配置文件中所定義的規(guī)則。在我們的研究中����,我們試圖使用如下屬性構(gòu)建一個策略:每隔四個小時更新簽名文件����、每天執(zhí)行一次全面掃描以及設(shè)定一個特定文件/文件夾免受反惡意軟件工具的掃描����。讓人感到驚奇的是�����,并不是所有的云端點安全服務(wù)會允許策略的所有這些屬性都是可被配置的�。例如����,一個服務(wù)不會允許對簽名文件的更新頻率進行任何修改或任何的例外���。其他廠商的產(chǎn)品就不支持對默認策略的修改功能��,表現(xiàn)得好像它們不知道默認策略是具有只讀屬性一樣��。因此���,如果你希望能夠做出如前所述的改變����,那么你將需要創(chuàng)建一個自定義的策略。
反惡意軟件系統(tǒng)的工作就是要在已知的威脅危害到端點之前檢測和隔離它們����。一般情況下,這些威脅都是由安全管理員進行隔離并審查的�����。經(jīng)審查�����,管理員通常會刪除實際的威脅并排除所有的誤報����,以便于使這些文件不會在之后的掃描中被錯誤地隔離。令人驚訝的是�,并不是本次評估范圍內(nèi)的所有端點安全服務(wù)的反惡意軟件功能都提供了這個功能。一些安全服務(wù)只是簡單地把文件檢測為病毒而移除它們�����。這可能是很多企業(yè)需共同面對的問題。
同樣地��,讓我們看看�����,當一個被誤判為病毒的文件被隔離時,管理員可以采取哪些措施�����。因為����,有一些服務(wù)甚至都沒有提供隔離功能,這樣管理員根本就是巧婦難為無米之炊。其中�,只有一個服務(wù)允許管理員自動在白名單中添加誤報文件���。對于另一個服務(wù)來說�,防止誤報的唯一方法是回到端點策略生效的源頭�,然后手動編輯策略新增一條白名單記錄����。(如果管理員需要處理大量的誤報,那么雖然這不是一個很大的工作量�����,但也肯定是一個不小的困擾�。)
云端點安全:管理每個端點
在我們研究的最后一部分中,我們將看看我們是如何以幾種方法與特定端點進行交互的�。
觸發(fā)按需掃描:如果一個端點正表現(xiàn)出異常行為或表現(xiàn)出大量的威脅,那么安全管理員將肯定能夠針對特定端點觸發(fā)一次按需掃描。令人奇怪的是��,在我們評估的服務(wù)中竟然有一個服務(wù)根本沒有提供這個功能���。而其中另一個服務(wù)只允許在組層次上進行按需掃描����。因此���,如果需要對某一單個端點進行掃描�����,那么就必須創(chuàng)建一個新的組并把該端點重新分配給這個組��,之后才能觸發(fā)掃描��。我們不得不質(zhì)疑�,為什么廠商無法為單一設(shè)備提供這樣一個簡單的掃描功能?我們很難想象���,管理員將不得不執(zhí)行某些層次上的手動干預操作����。
暫時性禁用反惡意軟件功能:在進行某些應(yīng)用程序的安裝時���,安裝程序會要求暫時地禁用反惡意軟件以便于安裝完成��,這一情況是非常普遍的�。同樣����,如果反惡意軟件掃描程序可以暫時性地被移除,那么針對一個端點的某些類型的故障排除工作就能夠被大大簡化�����。因此,有人就會希望在端點上有一個禁用/啟用反惡意軟件的管理功能����,以便于實現(xiàn)更廣泛的可用性。再想想����,在我們研究對象的五家廠商的服務(wù)中,只有一個服務(wù)提供了這個功能����。而對于剩余的幾個服務(wù),禁用反惡意軟件掃描功能的唯一方法似乎就是卸載之��。對于眾多企業(yè)來說��,這可能就是一個主要的實施瓶頸了�����。
通過局域網(wǎng)的遠程喚醒:通常來說��,休眠系統(tǒng)會因為簽名文件過期而結(jié)束休眠并進行操作系統(tǒng)和應(yīng)用程序的安全補丁升級���。由于大多數(shù)系統(tǒng)在開機上電后都是自動運行該維護程序的���,所以喚醒休眠系統(tǒng)這一功能是非常有用的。局域網(wǎng)喚醒(WoL)功能中有一個被稱為“魔術(shù)包”的數(shù)據(jù)包被發(fā)送至局域網(wǎng)MAC地址��,并觸發(fā)電腦的開機程序���。該功能可通過網(wǎng)絡(luò)觸發(fā)開機順序信號�����。
在我們的研究范圍內(nèi)�����,五家云端點安全服務(wù)廠商中只有一家提供了WoL功能�����。也許其他的反惡意軟件廠商并沒有將其視作與威脅檢測過程相關(guān)的功能���,但當檢查系統(tǒng)狀態(tài)和/或確定系統(tǒng)是否有最新補丁和病毒簽名時,這個功能肯定是很有用的���。
結(jié)論
傳統(tǒng)內(nèi)部端點安全產(chǎn)品市場是一個成熟的市場�,而基于云的同類產(chǎn)品市場則更顯稚嫩。隨著一些主要廠商推出的產(chǎn)品甚至都缺失了一些基本的功能�,企業(yè)需要驗證他們所需的功能是否確實都存在于他們視野中的云計算廠商產(chǎn)品中。好消息是���,云計算服務(wù)廠商可以輕易并頻繁地改進升級他們的產(chǎn)品��,因為畢竟他們是在云計算中
