觀點

微軟積極搶進資安管理平台市場-整合是唯一的道路

2008 / 05 / 12
編輯部
微軟積極搶進資安管理平台市場-整合是唯一的道路
在一片質疑、批評聲浪中微軟發表了資安產品,如今其踏入資安市場已屆一年,儘管身為市場後進者,微軟仍挾其龐大資源急起直追。「整合」、「管理」是微軟經營資安市場的主軸,其眼光與其他資安大廠不謀而合。這將帶給企業與資安產業什麼啟示?
「一開始的確面對很多批評意見,」接任微軟大中華區首席資安專家一職已4年,負責直接面對客戶、擬定執行策略的江明灶笑說。但微軟就是靠直接與客戶面對面,了解客戶真正需求後,認為自己有勝算才決定跨入資安市場來。受訪當天江明灶也才剛結束與台灣客戶CIO、CISO的面談。

看不到問題在哪是企業資安最大問題

「事實上許多企業現今的問題就是根本不知道問題在哪,即使各種設備都已買了,但卻頭痛醫頭、腳痛醫腳,缺乏整體的看法,」江明灶直言。他接著指出,企業的問題不在於缺乏資安產品或技術,因為許多工具都可以免費取得,包括免費的防毒軟體、開放原始碼的入侵偵測或弱點掃描等工具,微軟的修補程式更新服務(WSUS)或安全分析工具(MBSA)也都是免費。因此,企業最大的問題在於眾多產品之間的整合。

縱深防禦的概念大家都知道,但是這些產品之間彼此是否能妥善配合則是關鍵。各種產品都產出各自的管理報表,但如果IT管理者不能從整體的角度來看,那麼面對眾多報表訊息,管理者依舊無法看見正在發生的資安事件。因此,微軟認為企業要做好資安一定要從管理面著手,所以管理便是微軟資安策略發展的主軸。至於外界質疑微軟的『資安技術不夠深厚』或『資安產品缺乏創意』,他們認為-技術不是焦點。


無獨有偶,IBM ISS亞太區副總經理林界宏亦認為,資訊安全今後的發展將以基礎平台(infrastructure platform)為核心,單只在作業系統端或網路端做安全防護都是不夠的。林界宏解釋,資安已從早期單點產品走向套裝化,再加上服務,這是現在許多廠商所提供的,但有了整套的資安防護後,今後更將朝向整合的基礎平台來發展。也就是企業要做好資安,應在統一平台上做到Policy設定、Procedure管理、監控與救援。

整合、管理是資安產品的趨勢

以整合、管理的角度來看微軟的資安產品線,不難發現System Center Operation Manager(SCOM)才是主角。除自家防毒軟體Forefront產品線是基本整合外,也強調能整合第三方防毒軟體或更新修補系統等。江明灶表示,企業在現實環境中早已佈署各種廠牌的資安軟硬體方案,SCOM若只能用來管理自家的伺服器或防毒軟體、ISA防火牆、IAG閘道器等,企業不會買單。因此在SCOM之前的MOM,就提供可與第三方產品整合的Adapter技術。而在SCOM裡則新增提供在桌面端檢視防毒軟體是否已啟用的功能(已啟用則以綠色圖示呈現),只要第三方防毒軟體廠商透過微軟提供的API程式即可整合。

此外,微軟SCOM上的ACS(Audit Collection Service)Adapter模組也在整合管理上扮演了重要角色。SCOM加上ACS Adapter的組合,目標是要能收集所有設備的Log日誌檔作備份及過濾,若再開發一些管理報表的話,則可做到日誌管理(LM, Log Management)平台的功能。至於能做到更進階、即時的關聯分析與警示作用的資安事件管理平台(SIEM, Security Information Event Management),江明灶表示SIEM目前市面上的選擇方案不多,對企業來說算是很大的一項投資。

談到LM或SIEM解決方案的市場表現,Gartner的研究報告清楚點出,在2007年由於企業對法規遵循的高度需求使LM市場詢問度暴增,因此在今年的產品魔術象限調查中,Gartner首度將LM的評比分數拉高,這使過去許多在領先象限的SIEM廠商落到挑戰者的區塊中。Novell產品經理李逸凡表示,企業即使目前僅為了被動滿足法規遵循的Compliance report需求,而選擇投入成本較低的LM產品,但應考量未來是否會要能針對異常事件做即時反應的Compliance monitor需求,並評估解決方案廠商是否有能力延展成為SIEM。目前SIM(Security Information Management)廠商與LM廠商重疊性是很高的,因此在評估時宜從產品架構面來考量,該LM產品是純粹以資料庫模式來搜集Log,或是有可以處理龐大、即時資料的架構,例如Message Queue。將延展性考慮進去才不會使先前投資的LM成為浪費。

同樣地,以整合、管理的角度來看,能做到政策執行的網路存取控制是企業在資安管理方面的重要佈署。微軟自家的網路存取控制架構-NAP(Network Access Protection),主要透過用戶端的Vista搭配伺服器端的Windows Server 2008來啟動,現已納入SCOM的整合管理範圍內,能產出管理報表。特別的是在Forefront的下一代版本中-產品代碼為Stirling,也能支援整合NAP。當然,若企業選擇了第三方的網路存取控制架構,如Cisco的Network Admission Control,其Policy Server或Remedy Server也能整合至SCOM平台做管理。

將來ISS產品線也將整合成為IBM Tivoli平台上的模組之一,林界宏指出,企業面對監控管理平台或SIEM,要注意產品必須能做到雙向溝通,不只是監控設備匯出日誌檔至管理平台做分析而已,平台也須能直接管理、操控資安設備。此外,面對各有特色的SIEM方案,林界宏認為,除了考量產品功能外,各種程序服務能否做得好也是決定SIEM監控是否有效的關鍵,這才是廠商一較高下之處。

整合的意義

對於資安市場,微軟喊出了『全面架構,簡單管理』的口號。試圖解決現今企業在異質環境、複雜架構下,資安問題仍無法根除的窘況。不只微軟,許多資安廠商也都看到了資安走向「整合」的潮流,例如McAfee以其ePO為基礎,將自家的入侵防禦、弱點管理等系統都整合進來,並計畫開發出整合第三方產品的介接工具。可見未來衡量資安產品除本身的功能之外,產品與其他系統的整合彈性也將成為企業評估的選項之一。而且,恐怕企業絕不是只要簡單整合的程度而已,這將考驗各家廠商的研發進度。廠商們光是會購併還不夠,完成產品整合的時候,才能真正為用戶帶來合併的價值。

至於對企業而言,該考慮的是選擇集結各家之大成的資安架構,是否已從制高點作集中管理,以便能有效抵擋威脅並降低風險。或者機房有如聯合國的環境,反而分散了對問題處理的注意力?