微軟積極搶進資安管理平台市場－整合是唯一的道路

在一片質疑、批評聲浪中微軟發表了資安產品，如今其踏入資安市場已屆一年，儘管身為市場後進者，微軟仍挾其龐大資源急起直追。「整合」、「管理」是微軟經營資安市場的主軸，其眼光與其他資安大廠不謀而合。這將帶給企業與資安產業什麼啟示？
「一開始的確面對很多批評意見，」接任微軟大中華區首席資安專家一職已4年，負責直接面對客戶、擬定執行策略的江明灶笑說。但微軟就是靠直接與客戶面對面，了解客戶真正需求後，認為自己有勝算才決定跨入資安市場來。受訪當天江明灶也才剛結束與台灣客戶CIO、CISO的面談。

看不到問題在哪是企業資安最大問題

「事實上許多企業現今的問題就是根本不知道問題在哪，即使各種設備都已買了，但卻頭痛醫頭、腳痛醫腳，缺乏整體的看法，」江明灶直言。他接著指出，企業的問題不在於缺乏資安產品或技術，因為許多工具都可以免費取得，包括免費的防毒軟體、開放原始碼的入侵偵測或弱點掃描等工具，微軟的修補程式更新服務（WSUS）或安全分析工具（MBSA）也都是免費。因此，企業最大的問題在於眾多產品之間的整合。

縱深防禦的概念大家都知道，但是這些產品之間彼此是否能妥善配合則是關鍵。各種產品都產出各自的管理報表，但如果IT管理者不能從整體的角度來看，那麼面對眾多報表訊息，管理者依舊無法看見正在發生的資安事件。因此，微軟認為企業要做好資安一定要從管理面著手，所以管理便是微軟資安策略發展的主軸。至於外界質疑微軟的『資安技術不夠深厚』或『資安產品缺乏創意』，他們認為－技術不是焦點。


無獨有偶，IBM ISS亞太區副總經理林界宏亦認為，資訊安全今後的發展將以基礎平台（infrastructure platform）為核心，單只在作業系統端或網路端做安全防護都是不夠的。林界宏解釋，資安已從早期單點產品走向套裝化，再加上服務，這是現在許多廠商所提供的，但有了整套的資安防護後，今後更將朝向整合的基礎平台來發展。也就是企業要做好資安，應在統一平台上做到Policy設定、Procedure管理、監控與救援。

整合、管理是資安產品的趨勢

以整合、管理的角度來看微軟的資安產品線，不難發現System Center Operation Manager（SCOM）才是主角。除自家防毒軟體Forefront產品線是基本整合外，也強調能整合第三方防毒軟體或更新修補系統等。江明灶表示，企業在現實環境中早已佈署各種廠牌的資安軟硬體方案，SCOM若只能用來管理自家的伺服器或防毒軟體、ISA防火牆、IAG閘道器等，企業不會買單。因此在SCOM之前的MOM，就提供可與第三方產品整合的Adapter技術。而在SCOM裡則新增提供在桌面端檢視防毒軟體是否已啟用的功能（已啟用則以綠色圖示呈現），只要第三方防毒軟體廠商透過微軟提供的API程式即可整合。

此外，微軟SCOM上的ACS（Audit Collection Service）Adapter模組也在整合管理上扮演了重要角色。SCOM加上ACS Adapter的組合，目標是要能收集所有設備的Log日誌檔作備份及過濾，若再開發一些管理報表的話，則可做到日誌管理（LM, Log Management）平台的功能。至於能做到更進階、即時的關聯分析與警示作用的資安事件管理平台（SIEM, Security Information Event Management），江明灶表示SIEM目前市面上的選擇方案不多，對企業來說算是很大的一項投資。

談到LM或SIEM解決方案的市場表現，Gartner的研究報告清楚點出，在2007年由於企業對法規遵循的高度需求使LM市場詢問度暴增，因此在今年的產品魔術象限調查中，Gartner首度將LM的評比分數拉高，這使過去許多在領先象限的SIEM廠商落到挑戰者的區塊中。Novell產品經理李逸凡表示，企業即使目前僅為了被動滿足法規遵循的Compliance report需求，而選擇投入成本較低的LM產品，但應考量未來是否會要能針對異常事件做即時反應的Compliance monitor需求，並評估解決方案廠商是否有能力延展成為SIEM。目前SIM（Security Information Management）廠商與LM廠商重疊性是很高的，因此在評估時宜從產品架構面來考量，該LM產品是純粹以資料庫模式來搜集Log，或是有可以處理龐大、即時資料的架構，例如Message Queue。將延展性考慮進去才不會使先前投資的LM成為浪費。

同樣地，以整合、管理的角度來看，能做到政策執行的網路存取控制是企業在資安管理方面的重要佈署。微軟自家的網路存取控制架構－NAP(Network Access Protection)，主要透過用戶端的Vista搭配伺服器端的Windows Server 2008來啟動，現已納入SCOM的整合管理範圍內，能產出管理報表。特別的是在Forefront的下一代版本中－產品代碼為Stirling，也能支援整合NAP。當然，若企業選擇了第三方的網路存取控制架構，如Cisco的Network Admission Control，其Policy Server或Remedy Server也能整合至SCOM平台做管理。

將來ISS產品線也將整合成為IBM Tivoli平台上的模組之一，林界宏指出，企業面對監控管理平台或SIEM，要注意產品必須能做到雙向溝通，不只是監控設備匯出日誌檔至管理平台做分析而已，平台也須能直接管理、操控資安設備。此外，面對各有特色的SIEM方案，林界宏認為，除了考量產品功能外，各種程序服務能否做得好也是決定SIEM監控是否有效的關鍵，這才是廠商一較高下之處。

整合的意義

對於資安市場，微軟喊出了『全面架構，簡單管理』的口號。試圖解決現今企業在異質環境、複雜架構下，資安問題仍無法根除的窘況。不只微軟，許多資安廠商也都看到了資安走向「整合」的潮流，例如McAfee以其ePO為基礎，將自家的入侵防禦、弱點管理等系統都整合進來，並計畫開發出整合第三方產品的介接工具。可見未來衡量資安產品除本身的功能之外，產品與其他系統的整合彈性也將成為企業評估的選項之一。而且，恐怕企業絕不是只要簡單整合的程度而已，這將考驗各家廠商的研發進度。廠商們光是會購併還不夠，完成產品整合的時候，才能真正為用戶帶來合併的價值。

至於對企業而言，該考慮的是選擇集結各家之大成的資安架構，是否已從制高點作集中管理，以便能有效抵擋威脅並降低風險。或者機房有如聯合國的環境，反而分散了對問題處理的注意力？