在云端點安全服務(wù)的幫助下，企業(yè)用戶能夠省去內(nèi)部服務(wù)器管理所必需的部署及配置流程，從而將成本立即轉(zhuǎn)化為收益。遺憾的是，不少云基礎(chǔ)安全產(chǎn)品只能提供相對原始且較為有限的功能，最終將企業(yè)成本推向錯誤的運作方向。需要提醒大家的是，在對云基礎(chǔ)端點安全服務(wù)進行評估時，千萬不可先入為主地假設(shè)某些現(xiàn)有內(nèi)部功能已經(jīng)存在于云服務(wù)當(dāng)中。

在本文中，我們將共同探討如何從部署、警報及報告三大方面對云端點安全功能進行準(zhǔn)確評估。這里提及的云端點安全對比方案以Tolly集團最近進行的原型部署流程研究為基礎(chǔ)，分別來自五家全球知名的云安全產(chǎn)品供應(yīng)商。

部署機制需靈活

無論一套端點安全方案究竟涵蓋整個企業(yè)還是僅涉及數(shù)位新用戶，部署機制的靈活性與便捷性都是必不可少的。對于云基礎(chǔ)安全方案這類管理系統(tǒng)處于業(yè)務(wù)環(huán)境之外的實例而言，部署流程必須做出適當(dāng)調(diào)整。盡管部署工作必然屬于一次性而非重復(fù)性任務(wù)，但對于大型業(yè)務(wù)環(huán)境來說其流程仍然規(guī)模可觀，因此我們應(yīng)該從起步階段就開始以審慎的態(tài)度加以處理。

傳統(tǒng)端點部署與云基礎(chǔ)端點部署的根本區(qū)別在于：云產(chǎn)品的相關(guān)端點處于內(nèi)部私有網(wǎng)絡(luò)環(huán)境之中，而管理服務(wù)器則處于外部公共網(wǎng)絡(luò)環(huán)境。由于業(yè)務(wù)端點必須處于防火墻的保護之下(且?guī)缀醣厝皇褂盟接蠭P地址空間)，所以服務(wù)器與受控客戶端之間的通信需要由客戶端負(fù)責(zé)發(fā)起。

我們在研究發(fā)現(xiàn)，目前主要存在三大主流部署方案：通過軟件包安裝、通過軟件下載URL安裝以及借助網(wǎng)關(guān)設(shè)備。前兩種方案由客戶端發(fā)起并調(diào)用來自服務(wù)器的代理與端點安全文件。第三種方案則從服務(wù)器端將代理及相關(guān)軟件(通過防火墻內(nèi)預(yù)設(shè)的網(wǎng)關(guān)系統(tǒng))推送至客戶端。

那么即使供應(yīng)商提供自動化“推送”選項，云部署工作也至少需要在端點客戶端中實施一次調(diào)用式安裝。這是因為推送式安裝需要利用一臺本地計算機作為網(wǎng)關(guān)設(shè)備，從而在外部云管理服務(wù)器與內(nèi)部客戶端之間建立起推送通道。不過根據(jù)我們的評估，五款產(chǎn)品中只有一款提供“推送”選項。

說到安裝端點代理，最簡單的方式是利用管理控制臺將安裝URL通過郵件發(fā)送給端點用戶。(URL與調(diào)用方案中的安裝工具皆由客戶企業(yè)的云安全ID編寫，從而實現(xiàn)客戶端與客戶云安全管理服務(wù)器之間的自動關(guān)聯(lián)。)

推送式系統(tǒng)能在無需用戶介入的前提下完成安裝。只要通過管理控制臺上顯示的名稱與IP地址找到目標(biāo)設(shè)備，再為自動安裝機制提供必要的端點登錄證書，其它任務(wù)都可交由系統(tǒng)自行打理。

云端點安全警報有大用

安裝工作結(jié)束之后，接下來要關(guān)注的就是警報功能。警報功能會幫助管理員快速了解潛在安全問題。除了在產(chǎn)品的管理控制臺上顯示警示信息，大多數(shù)云端點安全產(chǎn)品還可以通過電子郵件及/或短信(文本消息)發(fā)送警報通知。

典型警報條件一般包括檢測到威脅活動、檢測到URL受阻、病毒定義庫過期以及連續(xù)數(shù)天未進行安全掃描等項目。令人驚訝的是，我們在研究中發(fā)現(xiàn)某些服務(wù)方案只提供有限的幾種甚至完全不支持警報功能。與實時分析機制不同，安全管理工具必須以報告為運行基礎(chǔ)。

管理員不可能全天候守在控制臺前，因此警報機制就成了至關(guān)重要的安全功能，企業(yè)不應(yīng)該將其置之不理，而應(yīng)確保其良好運行。

完善云端點安全報告

相信大家對于報告的意義已經(jīng)非常了解。安全管理工具一般都會列出已經(jīng)檢測到的威脅活動、受感染設(shè)備并嘗試向受阻網(wǎng)站發(fā)起訪問。但讓人始料未及的是，我們進行評估的五款服務(wù)中，有三款都不提供任何預(yù)定義報告功能。雖然手動生成報告也不算什么重活，但事實上幾大供應(yīng)商并沒有真正拿出時間完善自家產(chǎn)品。其生成的報告內(nèi)容太過基本、缺乏深度，無法準(zhǔn)確反映業(yè)務(wù)環(huán)境的運行狀況。相比之下，很多功能性產(chǎn)品的表現(xiàn)要好得多。

在著手部署之前，請務(wù)必對企業(yè)的警報及報告需求進行嚴(yán)格定義。新系統(tǒng)應(yīng)當(dāng)提供哪些現(xiàn)有端點安全報告中已經(jīng)涵蓋的內(nèi)容?我們是否需要新增或添加必要的報告機制?其運行目的是什么?為這些問題找到合理的答案，并將這份規(guī)劃遞交給云端點安全供應(yīng)商，要求他們通過產(chǎn)品滿足其中列出的所有需求——當(dāng)然，***是不要產(chǎn)生額外成本。