云端点安全性考虑:端点安全管理
发布日期:2016-2-13 16:2:9
正如评估基于云(如阿里云)端点安全功能系列上下文的第一部分所介绍的那样,与内部部署的端点安全服务相比,基于云的端点安全服务要显得稚嫩得多。因此,在评估、选择和实施这样一个基于云的端点安全服务之前,需有一个IT安全组织来仔细考虑其需求。 随着我们继续对基于云端点安全服务的探讨,我们将介绍一下厂商们怎样提供端点安全服务功能,具体将基于Tolly Group近期使用的使用体验,主要涉及五家知名云计算安全厂商,根据其提供的服务而构建原型部署。 云端点安全:管理高层 部分基于云的端点安全服务允许有多个管理用户,然后是控制某些管理团队的高层,但并不是所有的都是这样。一些端点安全服务甚至允许“只读”管理员角色,这个角色只可监控端点安全但无法改变。 对于任何最小型的企业客户来说,管理上的灵活性和粒度是重要的元素。若你的企业希望能够根据不同的端点集群向不同的人授权管理责任,那么一定要向你的潜在服务厂商确认这一点。 当然,真正重要的是管理员能够使用端点客户端做到些什么。我们来看看一些不同的功能以便于确定端点管理的深度。 云端点安全:策略(组)控制 端点运行一般都遵循在策略配置文件中所定义的规则。在我们的研究中,我们试图使用如下属性构建一个策略:每隔四个小时更新签名文件、每天执行一次全面扫描及设定一个特定文件/文件夹免受反恶意软件工具的扫描。让人感到惊奇的是,并不是所有的云端点安全服务会允许策略的所有这些属性都是可被配置的。例如,一个服务不会允许对签名文件的更新频率进行任何修改或任何的例外。其他厂商的产品就不支持对默认策略的修改功能,表现得好像它们不知道默认策略是具有只读属性一样。因此,若你希望能够做出如前所述的改变,那么你将需创建一个自定义的策略。 反恶意软件系统的工作就是要在已知的威胁危害到端点之前检测和隔离它们。一般情况下,这些威胁都是由安全管理员进行隔离并审查的。经审查,管理员通常会删除实际的威胁并排除所有的误报,以便于使这些文件不会在之后的扫描中被错误地隔离。令人惊讶的是,并不是本次评估范围内的所有端点安全服务的反恶意软件功能都提供了这个功能。一些安全服务只是简单地把文件检测为病毒而移除它们。这可能是很多企业需共同面对的问题。 同样地,让我们看看,当一个被误判为病毒的文件被隔离的时候,管理员可采取哪些措施。因为,有一些服务甚至都没有提供隔离功能,这样管理员根本就是巧妇难为无米之炊。其中,只有一个服务允许管理员自动在白名单中添加误报文件。对于另一个服务来说,防止误报的唯一方法是回到端点策略生效的源头,然后手动编辑策略新增一条白名单记录。(如果管理员需要处理大量的误报,那么虽然这不是一个很大的工作量,但也肯定是一个不小的困扰。) 云端点安全性考虑:端点安全管理 云端点安全:管理每个端点 在我们研究的最后一部分中,我们将看看我们是如何以几种方法与特定端点进行交互的。 触发按需扫描:如果一个端点正表现出异常行为或表现出大量的威胁,那么安全管理员将肯定能够针对特定端点触发一次按需扫描。令人奇怪的是,在我们评估的服务中竟然有一个服务根本没有提供这个功能。而其中另一个服务只允许在组层次上进行按需扫描。因此,如果需要对某一单个端点进行扫描,那么就必须创建一个新的组并把该端点重新分配给这个组,之后才能触发扫描。我们不得不质疑,为什么厂商无法为单一设备提供这样一个简单的扫描功能?我们很难想象,管理员将不得不执行某些层次上的手动干预操作。 暂时性禁用反恶意软件功能:在进行某些应用程序的安装时,安装程序会要求暂时地禁用反恶意软件以便于安装完成,这一情况是非常普遍的。同样,如果反恶意软件扫描程序可以暂时性地被移除,那么针对一个端点的某些类型的故障排除工作就能够被大大简化。因此,有人就会希望在端点上有一个禁用/启用反恶意软件的管理功能,以便于实现更广泛的可用性。再想想,在我们研究对象的五家厂商的服务中,只有一个服务提供了这个功能。而对于剩余的几个服务,禁用反恶意软件扫描功能的唯一方法似乎就是卸载之。对于众多企业来说,这可能就是一个主要的实施瓶颈了。 通过局域网的远程唤醒:通常来说,休眠系统会因为签名文件过期而结束休眠并进行操作系统和应用程序的安全补丁升级。由于大多数系统在开机上电后都是自动运行该维护程序的,所以唤醒休眠系统这一功能是非常有用的。局域网唤醒(WoL)功能中有一个被称为“魔术包”的数据包被发送至局域网MAC地址,并触发电脑的开机程序。该功能可通过网络触发开机顺序信号。 在我们的研究范围内,五家云端点安全服务厂商中只有一家提供了WoL功能。也许其他的反恶意软件厂商并没有将其视作与威胁检测过程相关的功能,但当检查系统状态和/或确定系统是否有最新补丁和病毒签名时,这个功能肯定是很有用的。 结论 传统内部端点安全产品市场是一个成熟的市场,而基于云的同类产品市场则更显稚嫩。随着一些主要厂商推出的产品甚至都缺失了一些基本的功能,企业需要验证他们所需的功能是否确实都存在于他们视野中的云计算厂商产品中。好消息是,云计算服务厂商(如阿里云)可轻易并频繁地改进升级他们的产品,因为毕竟他们是在云计算中。 作者简介: Kevin Tolly是Tolly Group的创始人,这是一家拥有二十多年历史的第三方验证/测试服务的业内领先厂商。 下一条: 基于云的DDoS保护很容易被绕过
|