在云端点安全服务的帮助下,企业用户能够省去内部服务器管理所必需的部署及配置流程,从而将成本立即转化为收益。遗憾的是,不少云基础安全产品只能提供相对原始且较为有限的功能,最终将企业成本推向错误的运作方向。需要提醒大家的是,在对云基础端点安全服务进行评估时,千万不可先入为主地假设某些现有内部功能已经存在于云服务当中。
在本文中,我们将共同探讨如何从部署、警报及报告三大方面对云端点安全功能进行准确评估。这里提及的云端点安全对比方案以Tolly集团最近进行的原型部署流程研究为基础,分别来自五家全球知名的云安全产品供应商。
部署机制需灵活
无论一套端点安全方案究竟涵盖整个企业还是仅涉及数位新用户,部署机制的灵活性与便捷性都是必不可少的。对于云基础安全方案这类管理系统处于业务环境之外的实例而言,部署流程必须做出适当调整。尽管部署工作必然属于一次性而非重复性任务,但对于大型业务环境来说其流程仍然规模可观,因此我们应该从起步阶段就开始以审慎的态度加以处理。
传统端点部署与云基础端点部署的根本区别在于:云产品的相关端点处于内部私有网络环境之中,而管理服务器则处于外部公共网络环境。由于业务端点必须处于防火墙的保护之下(且几乎必然使用私有IP地址空间),所以服务器与受控客户端之间的通信需要由客户端负责发起。
我们在研究发现,目前主要存在三大主流部署方案:通过软件包安装、通过软件下载URL安装以及借助网关设备。前两种方案由客户端发起并调用来自服务器的代理与端点安全文件。第三种方案则从服务器端将代理及相关软件(通过防火墙内预设的网关系统)推送至客户端。
那么即使供应商提供自动化“推送”选项,云部署工作也至少需要在端点客户端中实施一次调用式安装。这是因为推送式安装需要利用一台本地计算机作为网关设备,从而在外部云管理服务器与内部客户端之间建立起推送通道。不过根据我们的评估,五款产品中只有一款提供“推送”选项。
说到安装端点代理,最简单的方式是利用管理控制台将安装URL通过邮件发送给端点用户。(URL与调用方案中的安装工具皆由客户企业的云安全ID编写,从而实现客户端与客户云安全管理服务器之间的自动关联。)
推送式系统能在无需用户介入的前提下完成安装。只要通过管理控制台上显示的名称与IP地址找到目标设备,再为自动安装机制提供必要的端点登录证书,其它任务都可交由系统自行打理。
云端点安全警报有大用
安装工作结束之后,接下来要关注的就是警报功能。警报功能会帮助管理员快速了解潜在安全问题。除了在产品的管理控制台上显示警示信息,大多数云端点安全产品还可以通过电子邮件及/或短信(文本消息)发送警报通知。
典型警报条件一般包括检测到威胁活动、检测到URL受阻、病毒定义库过期以及连续数天未进行安全扫描等项目。令人惊讶的是,我们在研究中发现某些服务方案只提供有限的几种甚至完全不支持警报功能。与实时分析机制不同,安全管理工具必须以报告为运行基础。
管理员不可能全天候守在控制台前,因此警报机制就成了至关重要的安全功能,企业不应该将其置之不理,而应确保其良好运行。
完善云端点安全报告
相信大家对于报告的意义已经非常了解。安全管理工具一般都会列出已经检测到的威胁活动、受感染设备并尝试向受阻网站发起访问。但让人始料未及的是,我们进行评估的五款服务中,有三款都不提供任何预定义报告功能。虽然手动生成报告也不算什么重活,但事实上几大供应商并没有真正拿出时间完善自家产品。其生成的报告内容太过基本、缺乏深度,无法准确反映业务环境的运行状况。相比之下,很多功能性产品的表现要好得多。
在着手部署之前,请务必对企业的警报及报告需求进行严格定义。新系统应当提供哪些现有端点安全报告中已经涵盖的内容?我们是否需要新增或添加必要的报告机制?其运行目的是什么?为这些问题找到合理的答案,并将这份规划递交给云端点安全供应商,要求他们通过产品满足其中列出的所有需求——当然,***是不要产生额外成本。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/143772.html<
