正如評(píng)估基于云云端點(diǎn)安全功能系列上下文的第一部分所介紹的那樣，與內(nèi)部部署的端點(diǎn)安全服務(wù)相比，基于云的端點(diǎn)安全服務(wù)要顯得稚嫩得多。因此，在評(píng)估、選擇和實(shí)施這樣一個(gè)基于云的端點(diǎn)安全服務(wù)之前，需要有一個(gè)IT安全組織來(lái)仔細(xì)考慮其需求。

隨著我們繼續(xù)對(duì)基于云端點(diǎn)安全服務(wù)的探討，我們將介紹一下廠(chǎng)商們?nèi)绾翁峁┒它c(diǎn)安全服務(wù)功能，具體將基于Tolly Group近期使用的使用體驗(yàn)，主要涉及五家知名云計(jì)算安全廠(chǎng)商，根據(jù)其提供的服務(wù)而構(gòu)建原型部署。

云端點(diǎn)安全：管理高層

部分基于云的端點(diǎn)安全服務(wù)允許有多個(gè)管理用戶(hù)，然后是控制某些管理團(tuán)隊(duì)的高層，但并不是所有的都是如此。一些端點(diǎn)安全服務(wù)甚至允許“只讀”管理員角色，這個(gè)角色只可以監(jiān)控端點(diǎn)安全但無(wú)法改變。

對(duì)于任何最小型的企業(yè)客戶(hù)來(lái)說(shuō)，管理上的靈活性和粒度是重要的元素。如果你的企業(yè)希望能夠根據(jù)不同的端點(diǎn)集群向不同的人授權(quán)管理責(zé)任，那么一定要向你的潛在服務(wù)廠(chǎng)商確認(rèn)這一點(diǎn)。

當(dāng)然，真正重要的是管理員能夠使用端點(diǎn)客戶(hù)端做到些什么。我們來(lái)看看一些不同的功能以便于確定端點(diǎn)管理的深度。

云端點(diǎn)安全：策略(組)控制

端點(diǎn)運(yùn)行一般都遵循在策略配置文件中所定義的規(guī)則。在我們的研究中，我們?cè)噲D使用如下屬性構(gòu)建一個(gè)策略：每隔四個(gè)小時(shí)更新簽名文件、每天執(zhí)行一次全面掃描以及設(shè)定一個(gè)特定文件/文件夾免受反惡意軟件工具的掃描。讓人感到驚奇的是，并不是所有的云端點(diǎn)安全服務(wù)會(huì)允許策略的所有這些屬性都是可被配置的。例如，一個(gè)服務(wù)不會(huì)允許對(duì)簽名文件的更新頻率進(jìn)行任何修改或任何的例外。其他廠(chǎng)商的產(chǎn)品就不支持對(duì)默認(rèn)策略的修改功能，表現(xiàn)得好像它們不知道默認(rèn)策略是具有只讀屬性一樣。因此，如果你希望能夠做出如前所述的改變，那么你將需要?jiǎng)?chuàng)建一個(gè)自定義的策略。

反惡意軟件系統(tǒng)的工作就是要在已知的威脅危害到端點(diǎn)之前檢測(cè)和隔離它們。一般情況下，這些威脅都是由安全管理員進(jìn)行隔離并審查的。經(jīng)審查，管理員通常會(huì)刪除實(shí)際的威脅并排除所有的誤報(bào)，以便于使這些文件不會(huì)在之后的掃描中被錯(cuò)誤地隔離。令人驚訝的是，并不是本次評(píng)估范圍內(nèi)的所有端點(diǎn)安全服務(wù)的反惡意軟件功能都提供了這個(gè)功能。一些安全服務(wù)只是簡(jiǎn)單地把文件檢測(cè)為病毒而移除它們。這可能是很多企業(yè)需共同面對(duì)的問(wèn)題。

同樣地，讓我們看看，當(dāng)一個(gè)被誤判為病毒的文件被隔離時(shí)，管理員可以采取哪些措施。因?yàn)椋幸恍┓?wù)甚至都沒(méi)有提供隔離功能，這樣管理員根本就是巧婦難為無(wú)米之炊。其中，只有一個(gè)服務(wù)允許管理員自動(dòng)在白名單中添加誤報(bào)文件。對(duì)于另一個(gè)服務(wù)來(lái)說(shuō)，防止誤報(bào)的唯一方法是回到端點(diǎn)策略生效的源頭，然后手動(dòng)編輯策略新增一條白名單記錄。(如果管理員需要處理大量的誤報(bào)，那么雖然這不是一個(gè)很大的工作量，但也肯定是一個(gè)不小的困擾。)

云端點(diǎn)安全性考慮：端點(diǎn)安全管理

云端點(diǎn)安全：管理每個(gè)端點(diǎn)

在我們研究的最后一部分中，我們將看看我們是如何以幾種方法與特定端點(diǎn)進(jìn)行交互的。

觸發(fā)按需掃描：如果一個(gè)端點(diǎn)正表現(xiàn)出異常行為或表現(xiàn)出大量的威脅，那么安全管理員將肯定能夠針對(duì)特定端點(diǎn)觸發(fā)一次按需掃描。令人奇怪的是，在我們?cè)u(píng)估的服務(wù)中竟然有一個(gè)服務(wù)根本沒(méi)有提供這個(gè)功能。而其中另一個(gè)服務(wù)只允許在組層次上進(jìn)行按需掃描。因此，如果需要對(duì)某一單個(gè)端點(diǎn)進(jìn)行掃描，那么就必須創(chuàng)建一個(gè)新的組并把該端點(diǎn)重新分配給這個(gè)組，之后才能觸發(fā)掃描。我們不得不質(zhì)疑，為什么廠(chǎng)商無(wú)法為單一設(shè)備提供這樣一個(gè)簡(jiǎn)單的掃描功能?我們很難想象，管理員將不得不執(zhí)行某些層次上的手動(dòng)干預(yù)操作。

暫時(shí)性禁用反惡意軟件功能：在進(jìn)行某些應(yīng)用程序的安裝時(shí)，安裝程序會(huì)要求暫時(shí)地禁用反惡意軟件以便于安裝完成，這一情況是非常普遍的。同樣，如果反惡意軟件掃描程序可以暫時(shí)性地被移除，那么針對(duì)一個(gè)端點(diǎn)的某些類(lèi)型的故障排除工作就能夠被大大簡(jiǎn)化。因此，有人就會(huì)希望在端點(diǎn)上有一個(gè)禁用/啟用反惡意軟件的管理功能，以便于實(shí)現(xiàn)更廣泛的可用性。再想想，在我們研究對(duì)象的五家廠(chǎng)商的服務(wù)中，只有一個(gè)服務(wù)提供了這個(gè)功能。而對(duì)于剩余的幾個(gè)服務(wù)，禁用反惡意軟件掃描功能的唯一方法似乎就是卸載之。對(duì)于眾多企業(yè)來(lái)說(shuō)，這可能就是一個(gè)主要的實(shí)施瓶頸了。

通過(guò)局域網(wǎng)的遠(yuǎn)程喚醒：通常來(lái)說(shuō)，休眠系統(tǒng)會(huì)因?yàn)楹灻募^(guò)期而結(jié)束休眠并進(jìn)行操作系統(tǒng)和應(yīng)用程序的安全補(bǔ)丁升級(jí)。由于大多數(shù)系統(tǒng)在開(kāi)機(jī)上電后都是自動(dòng)運(yùn)行該維護(hù)程序的，所以喚醒休眠系統(tǒng)這一功能是非常有用的。局域網(wǎng)喚醒(WoL)功能中有一個(gè)被稱(chēng)為“魔術(shù)包”的數(shù)據(jù)包被發(fā)送至局域網(wǎng)MAC地址，并觸發(fā)電腦的開(kāi)機(jī)程序。該功能可通過(guò)網(wǎng)絡(luò)觸發(fā)開(kāi)機(jī)順序信號(hào)。

在我們的研究范圍內(nèi)，五家云端點(diǎn)安全服務(wù)廠(chǎng)商中只有一家提供了WoL功能。也許其他的反惡意軟件廠(chǎng)商并沒(méi)有將其視作與威脅檢測(cè)過(guò)程相關(guān)的功能，但當(dāng)檢查系統(tǒng)狀態(tài)和/或確定系統(tǒng)是否有最新補(bǔ)丁和病毒簽名時(shí)，這個(gè)功能肯定是很有用的。

結(jié)論

傳統(tǒng)內(nèi)部端點(diǎn)安全產(chǎn)品市場(chǎng)是一個(gè)成熟的市場(chǎng)，而基于云的同類(lèi)產(chǎn)品市場(chǎng)則更顯稚嫩。隨著一些主要廠(chǎng)商推出的產(chǎn)品甚至都缺失了一些基本的功能，企業(yè)需要驗(yàn)證他們所需的功能是否確實(shí)都存在于他們視野中的云計(jì)算廠(chǎng)商產(chǎn)品中。好消息是，云計(jì)算服務(wù)廠(chǎng)商可以輕易并頻繁地改進(jìn)升級(jí)他們的產(chǎn)品，因?yàn)楫吘顾麄兪窃谠朴?jì)算中。

作者簡(jiǎn)介：

Kevin Tolly是Tolly Group的創(chuàng)始人，這是一家擁有二十多年歷史的第三方驗(yàn)證/測(cè)試服務(wù)的業(yè)內(nèi)領(lǐng)先廠(chǎng)商。