在云端點(diǎn)安全服務(wù)的幫助下，企業(yè)用戶能夠省去內(nèi)部服務(wù)器管理所必需的部署及配置流程，從而將成本立即轉(zhuǎn)化為收益。遺憾的是，不少云基礎(chǔ)安全產(chǎn)品只能提供相對(duì)原始且較為有限的功能，最終將企業(yè)成本推向錯(cuò)誤的運(yùn)作方向。需要提醒大家的是，在對(duì)云基礎(chǔ)端點(diǎn)安全服務(wù)進(jìn)行評(píng)估時(shí)，千萬不可先入為主地假設(shè)某些現(xiàn)有內(nèi)部功能已經(jīng)存在于云服務(wù)當(dāng)中。

在本文中，我們將共同探討如何從部署、警報(bào)及報(bào)告三大方面對(duì)云端點(diǎn)安全功能進(jìn)行準(zhǔn)確評(píng)估。這里提及的云端點(diǎn)安全對(duì)比方案以Tolly集團(tuán)最近進(jìn)行的原型部署流程研究為基礎(chǔ)，分別來自五家全球知名的云安全產(chǎn)品供應(yīng)商。

部署機(jī)制需靈活

無論一套端點(diǎn)安全方案究竟涵蓋整個(gè)企業(yè)還是僅涉及數(shù)位新用戶，部署機(jī)制的靈活性與便捷性都是必不可少的。對(duì)于云基礎(chǔ)安全方案這類管理系統(tǒng)處于業(yè)務(wù)環(huán)境之外的實(shí)例而言，部署流程必須做出適當(dāng)調(diào)整。盡管部署工作必然屬于一次性而非重復(fù)性任務(wù)，但對(duì)于大型業(yè)務(wù)環(huán)境來說其流程仍然規(guī)?？捎^，因此我們應(yīng)該從起步階段就開始以審慎的態(tài)度加以處理。

傳統(tǒng)端點(diǎn)部署與云基礎(chǔ)端點(diǎn)部署的根本區(qū)別在于：云產(chǎn)品的相關(guān)端點(diǎn)處于內(nèi)部私有網(wǎng)絡(luò)環(huán)境之中，而管理服務(wù)器則處于外部公共網(wǎng)絡(luò)環(huán)境。由于業(yè)務(wù)端點(diǎn)必須處于防火墻的保護(hù)之下(且?guī)缀醣厝皇褂盟接蠭P地址空間)，所以服務(wù)器與受控客戶端之間的通信需要由客戶端負(fù)責(zé)發(fā)起。

我們?cè)谘芯堪l(fā)現(xiàn)，目前主要存在三大主流部署方案：通過軟件包安裝、通過軟件下載URL安裝以及借助網(wǎng)關(guān)設(shè)備。前兩種方案由客戶端發(fā)起并調(diào)用來自服務(wù)器的代理與端點(diǎn)安全文件。第三種方案則從服務(wù)器端將代理及相關(guān)軟件(通過防火墻內(nèi)預(yù)設(shè)的網(wǎng)關(guān)系統(tǒng))推送至客戶端。

那么即使供應(yīng)商提供自動(dòng)化“推送”選項(xiàng)，云部署工作也至少需要在端點(diǎn)客戶端中實(shí)施一次調(diào)用式安裝。這是因?yàn)橥扑褪桨惭b需要利用一臺(tái)本地計(jì)算機(jī)作為網(wǎng)關(guān)設(shè)備，從而在外部云管理服務(wù)器與內(nèi)部客戶端之間建立起推送通道。不過根據(jù)我們的評(píng)估，五款產(chǎn)品中只有一款提供“推送”選項(xiàng)。

說到安裝端點(diǎn)代理，最簡(jiǎn)單的方式是利用管理控制臺(tái)將安裝URL通過郵件發(fā)送給端點(diǎn)用戶。(URL與調(diào)用方案中的安裝工具皆由客戶企業(yè)的云安全I(xiàn)D編寫，從而實(shí)現(xiàn)客戶端與客戶云安全管理服務(wù)器之間的自動(dòng)關(guān)聯(lián)。)

推送式系統(tǒng)能在無需用戶介入的前提下完成安裝。只要通過管理控制臺(tái)上顯示的名稱與IP地址找到目標(biāo)設(shè)備，再為自動(dòng)安裝機(jī)制提供必要的端點(diǎn)登錄證書，其它任務(wù)都可交由系統(tǒng)自行打理。

云端點(diǎn)安全警報(bào)有大用

安裝工作結(jié)束之后，接下來要關(guān)注的就是警報(bào)功能。警報(bào)功能會(huì)幫助管理員快速了解潛在安全問題。除了在產(chǎn)品的管理控制臺(tái)上顯示警示信息，大多數(shù)云端點(diǎn)安全產(chǎn)品還可以通過電子郵件及/或短信(文本消息)發(fā)送警報(bào)通知。

典型警報(bào)條件一般包括檢測(cè)到威脅活動(dòng)、檢測(cè)到URL受阻、病毒定義庫(kù)過期以及連續(xù)數(shù)天未進(jìn)行安全掃描等項(xiàng)目。令人驚訝的是，我們?cè)谘芯恐邪l(fā)現(xiàn)某些服務(wù)方案只提供有限的幾種甚至完全不支持警報(bào)功能。與實(shí)時(shí)分析機(jī)制不同，安全管理工具必須以報(bào)告為運(yùn)行基礎(chǔ)。

管理員不可能全天候守在控制臺(tái)前，因此警報(bào)機(jī)制就成了至關(guān)重要的安全功能，企業(yè)不應(yīng)該將其置之不理，而應(yīng)確保其良好運(yùn)行。

完善云端點(diǎn)安全報(bào)告

相信大家對(duì)于報(bào)告的意義已經(jīng)非常了解。安全管理工具一般都會(huì)列出已經(jīng)檢測(cè)到的威脅活動(dòng)、受感染設(shè)備并嘗試向受阻網(wǎng)站發(fā)起訪問。但讓人始料未及的是，我們進(jìn)行評(píng)估的五款服務(wù)中，有三款都不提供任何預(yù)定義報(bào)告功能。雖然手動(dòng)生成報(bào)告也不算什么重活，但事實(shí)上幾大供應(yīng)商并沒有真正拿出時(shí)間完善自家產(chǎn)品。其生成的報(bào)告內(nèi)容太過基本、缺乏深度，無法準(zhǔn)確反映業(yè)務(wù)環(huán)境的運(yùn)行狀況。相比之下，很多功能性產(chǎn)品的表現(xiàn)要好得多。

在著手部署之前，請(qǐng)務(wù)必對(duì)企業(yè)的警報(bào)及報(bào)告需求進(jìn)行嚴(yán)格定義。新系統(tǒng)應(yīng)當(dāng)提供哪些現(xiàn)有端點(diǎn)安全報(bào)告中已經(jīng)涵蓋的內(nèi)容?我們是否需要新增或添加必要的報(bào)告機(jī)制?其運(yùn)行目的是什么?為這些問題找到合理的答案，并將這份規(guī)劃遞交給云端點(diǎn)安全供應(yīng)商，要求他們通過產(chǎn)品滿足其中列出的所有需求——當(dāng)然，***是不要產(chǎn)生額外成本。