https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

守護端點安全

2009 / 07 / 09
David Strom 譯 ■ 夏客
守護端點安全

4位企業經理人分享他們佈署網路存取控制的經驗。

 
 網路存取控制( N A C , N e t w o r k A c c e s s Control)的需求仍一直不斷地成長著。該項技術克服了早期顢頇顛簸,現在正式進入到了青澀年代。業界分析家指出,雖然企業在過去一開始佈署NAC機制的腳步緩慢,但現在很多公司卻逐漸地向NAC靠攏。「我們正看見不少主流企業展現出高度興趣,並準備將NAC佈署在大型商業網路上。」年初剛寫過分析報告Forrest Research的首席分析師和研究人員Robert Whiteley表示。

  本文中,我們更深入探討4個案例,從中去了解該項技術如何在企業裡扮演成功角色。實際上,在資安事件發生之後,企業總會試著去維護端點的安全,避免自身網路遭到感染,但是,解決方案的路卻不會只有這一條。儘管有明確的好處,企業佈署比例仍在進展中,而NAC市場也會面臨持續成長的陣痛。特別是事後的補救會比政策的執行來得困難,就像我們可以十分輕易地找到不安份,未遵守規定的PC,但是要為它們自動進行適當的修補工作,那可就不是那麼簡單!

TechTeam:透視端點安全

  總部位於密西根州S o u t h f i e l d 市的TechTeam Global公司,其主要業務是協助跨國企業客戶遞送全球性,多國語言的求助台(Help desk)服務。該公司採用Sophos的防毒軟體已有數年光景,於去年期間把軟體升級到Sophos Endpoint and Secutiry Control 8.0之後,便將防毒和防火牆防護功能與端點安全整併在一起。目前,1台伺服主機負責防護60個用戶端安全,預計在18個月內,要將規模擴展到1,400台機器上。此外,TechTeam還想要將安全回報和管理工作集中作業,並確保受管理之PC仍會擁有多一層的安全保護。

  「在佈署8.0版的Sophos NAC client軟體之前,我們需要去確認不同的升級來源和管道,有些是採自動化方式,有些手動作業甚至得實地去某人辦公室裡的實體PC進行。」TechTeam的資深資安管理師John Endahl接著說,「不過,現在我們能透過單一管道,便可查看是否所有PC都符合安全規定。假若這些用戶的防火牆都有開啟並運作著,這不僅會給我們帶來信心,還能讓我們了解到所有管理下的端點設備,仍然受到最好的管控跟保護。再者,藉此我們更可延伸管理視野,知道端點在實際能碰觸到企業網路前,是否已經存在著入侵的風險?」

  TechTeam最初佈署軟體的範圍僅限IT部門,不過,目前正擴展到整個企業,並將其當成是桌上型電腦硬體更換週期計畫的一部份。但是,現在卻出了一點小小的狀況,「因為我們遇到的其中一個問題,就是所有最新採購進來的硬體,搭配的都是64-bit的Vista作業系統,也就是說,它目前還不受到Sophos NAC client軟體的支援。」Endahl說(編註)。該公司這幾個月來一直延後採購Vista授權,為的就是能搭上Sophos支援版本的釋出時間。另外,雖然目前Sophos NAC client可以執行Mac OS和Linux的病毒掃描,但卻仍無法支援端點防護。

  TechTeam對於能夠將端點控制的功能加入到Sophos防毒軟體當中一事,顯得相當興奮。「整套軟體真的感覺強化了不少。」Endahl又說,「除此之外,我們能夠更清楚地檢視到每台PC的安全政策狀態。因為在佈署NAC模組之前,只透過Windows Group Policies功能,我們無法很明確地驗證到每台PC上的防火牆狀態。」

  但佈署NAC後,接踵而來的另一個難題則是,NAC會增加用戶端登入次數,而且,如果PC需要比以往較久的時間才能連結上網路,使用者也會查覺到不對勁。所以,將這個因素列入考慮是有必要的,因為不少TechTeam的用戶都是call center的業務代表,他們對於延遲一事會十分敏感。

  「我們嘗試去確認每位員工能夠被納入,並能夠照期待的快速登入到他們的PC上。基本上,公司屬於服務業,所以,我們對於未能提供客戶及時服務一事,會相當在意。」Endahl接著又說,「我們以碼表計時,並發現到在PC完成應用程式載入作業之前,Sophos NAC client早就已經跟所屬的政策伺服器確認檢查過了。所以,任何會對客戶所造成的影響和延遲,應該是不存在的。」

NAC組織標準一籮筐

  NAC市場也會面臨持續成長的陣痛。特別是事後的補救會比政策的執行來得困難,就像我們可以輕易地找到不安份,未遵守規定的PC,但是要為它們自動進行適當的修補工作,就不是那麼簡單!NAC鋪天蓋地的標準,造成了佈署上面的困難,欲探索NAC形勢的組織,會發現自己必須要越過一大片的標準和文字遊戲。這裡不乏有Cisco的NAC(Network Admission Control)計畫,微軟的NAP(Network Access Protection)創始會,和Trusted Computing Group的TNC(Trusted Network Connect)協會。而近來另一個新加入戰局的,則是Internet Engineering Task Force的NEA(Network Endpoint Assessment)工作小組。

  依照Forrest Research機構的首席分析師和研究人員Robert Whiteley的講法,這些始祖們的計畫,不過是宣揚NAC互動互連的初階作法,而不見如何去建立一個具延伸性的政策架構與廠商協同作業。

  「這種狀況下,最重要的事情是:企業需要手動去將NAC元件組合在一起,而許多主流企業是無法逃脫要小心的去運用這門獨門技術的命運。」今年春天Robert在報告中下了這樣的註解。


GEHA:承包商的管控

  HIPAA法規遵循新增控管供應商和承包商存取網路的法條需求,促使美國公務人員健康管理協會(GEHA, Government Employees Health Association)找上了NAC解決方案。不過,倒是特別有一件事,讓這個為政府職員和退休員工服務的保險業者,將NAC列為必要需求。

  「有一天,我們在檢查DHCP伺服器,看到了一個陌生的主機名稱取得了一組IP位址。我們將其攔了下來,並且十分確定是某個顧問用他的筆電連上了公司網路。」GEHA的資深系統工程師JustineGerharter說,「這就像往臉上賞了一巴掌!也因此,NAC從原本的想要,變成了需要。」

  該企業所裝設的Nevis Networks LANenforcer裝置,跨越了1,800個邊緣交換器去保護800名員工。最大的好處就是能擁有管控承包商和其他訪客的能力。Gerharter說,「我們能讓外部廠商,或不管是誰插上他們的筆電,就只會擁有所需要的存取權限,但這通常都僅限制具備上網際網路的能力而已。」

  G E H A目前仍未使用用戶端完整性檢查掃描(client integrity scanning)功能。「我們將其設定於回報模式(reporting-only mode),讓我們能看到目前所有發生的狀況。」Gerharter說。

  不過,記錄檔不只符合法規遵循,同時也能作為除錯使用。「當用戶在某天登錄系統過後,我們能回溯查看這些人到過那裡。」Gerharter又說,「每位用戶到過的地方我們會留下稽核軌跡,這不僅遵守HIPAA規範,同時要是一有狀況,我們也能找到任何的蛛絲馬跡,回過頭去查看問題是否為源自於某個端點所造成。」

  GEHA最初將Nevis技術佈署到網路維運中心,並把那裡當成是延伸的起點。佈署工作大約花費5周,並且不需要再付額外的軟硬體費用。「這可真是節省了不少開銷!」Gerharter說。該組織除了主要以Windows系統為主之外,同時也擁有IP網路電話,通常也都需要作一些額外設定,好讓它們得以通過NAC裝置的驗證。

  「不過就是把M A C位置加入到白名單裡而已。」Gerharter說。

  GEHA的工程人員安裝了2台LANenforcer 2024的機器,外加上LANsight management軟體,但是8月份預計會再新增2台2024主機作高可用性機制。再者,它們也會為了企業的Citrix伺服主機,而裝上LANenforcer 1048 Secure Access Switch。

  GEHA目前使用的是McAfee軟體,去保護端點免受間諜程式和惡意軟體的襲擊,但是如果測試順利的話,不排除會將Nevis用戶端完整性檢查掃描加入安全防護行列。

  IT部門正在測試這些功能,但是該項測試卻因為不少部門電腦升級至Vista而被迫中止,事實上,原因就是出在於Nevis代理程式根本就還未支援新作業系統的關係。Gerharter接著又說,當GEHA得到了來自於Nevis最新的程式碼後,會再重新測試。如果所有事情進行順利,就會佈署該代理程式,以作為保護端點的另一安全防護層。

7堂必修課  7個從企業實務得來的訣竅,免掉你的NAC麻煩事
訣竅1 決定到底是要授權給人,還是機器?

NAC最初的出發點,就是在允許用戶登入前,去查核機器的組態設定和確定它能夠通過一連串的必要檢查。但在有些情況下,像是Papa Gino''s用合理的手段,將機器緊緊地綁在特定的使用者身上,並懂得利用生物辨識技術去保障授權這件事。
訣竅2 漏洞修補不會一次達陣。

當安全產品發現到未遵守規定的端點時,你會如何修正?而端點用戶又會在這個過程中看見什麼?你會先將他們移往網路隔離區,讓他們在完成修補更新和提升瀏覽器防護之前都無法作任何事情?或者乾脆就封掉他們?採何種方式進行修補更新,會對前來支援的資源造成影響?那也就是為什麼就算解決方案能有所效力,但許多執行結果仍無法達到100%修護的原因。事實上,好的對策就是依情況訂定安全政策,並了解去升級未達規範之PC的資源調配上的難處。最後,你會發現,資訊求助台從此不需要再處理大量來自於隔離區用戶們的電話。
訣竅3 若你有不同於Windows XP的系統等著要保護,那麼,等在前頭 
    的會是一條崎嶇道路。

不少廠商還是以XP為主,而且是32-bit的XP系統。僅有少數廠商準備支援其他作業系統,包含Mac OS、Linux和PDA在內。像是StillSecure的Safe Access,就有支援代理程式和免代理程式(agentless)兩款,但許多免代理程式產品的防護功能,只有Windows XP代理程式所提供的一小部份。當然,解決的辦法就是,把XP SP2列為桌機的標準吧!
訣竅4 安全政策的制訂是多頭馬車和多人管理?

如果是這樣子的話,該是時候將這些資源整合在一塊兒了。相異的端點方案,有時會因多頭政策的關係而共同存在一些議題,所以,有可能可以使用部份資源,去作好解決和整合的工作。
訣竅5 仔細挑選前導團隊進行測試。

對於不同使用者,要採不同策略:像是本身的用戶,離線的用戶,IT部門等。也許,一開始就要先找那些風險值最高的使用者,或者是未受到嚴密管理的機器下手。挑選最適當的人選去試驗NAC機制,並且,在還未進入到佈署階段前,趕緊先擺平那些特定的問題吧!
訣竅6 從最簡單的防護開始作起。

舉例來說,在配置一組DHCP IP位址前,先作個事前掃描,或者佈署TPM加密的筆電後,接著當你知道誰合格,誰不合格時,就將未遵守規範的放在一起,之後的工作就是去修補那些不乖的機器。
訣竅7 全面防護不必要,也不建議,尤其是打從一開始的時候。

讓每個端點都得到全面防護,這種設計理念當然好;不過,實際的情況則是遠不能讓人滿足。(見訣竅1) 想想看,這些日子以來,有多少的內嵌裝置都有IP位址,要作到全面防護是幾近不可能的事情。最成功的佈署投資始於最高風險的機器,比方像是臨時雇員,未列入管理的端點,或者從這些範圍延伸出去的部份都算。


Allina:集中管理的必要

  Allina Hospitals & Clinics醫療網路,是明尼蘇達州醫療院所的大型集散地,它也在找尋一種更好的方式,以維持用戶端PC能保有最新的作業系統更程式和病毒特徵碼。該組織除了想要確保病患資料得到良好的保護外,而且還得考量辦公室遍及全州這個問題。

  最後,A l l i n a選擇M i c r o s o f t F o r e f r o n t C l i e n t Security和Enterprise Manager2樣產品,並且在近2年的使用期間,只透過單一台政策伺服器,來管理超過2萬台的端點用戶。Forefront是微軟推廣網路存取防護(NAP, Network Access Protection)的主打方案,Forefront結合了多項的安全軟體,包含了防毒、反垃圾郵件、漏洞修補管理,以及政策執行。

  有趣的是,所有用戶端僅能在Windows XP SP2上執行,而Allina不但是微軟的大用戶,網路更是包含了Windows Server,目錄服務(Active Directory),Operations Manager和其他產品。不過,即使完全都是走微軟的環境架構,但是,該公司仍舊需要添購一台Windows 2008 Server來掌管NAP服務(甚至是連較早期版本的Windows Server都不支援),並且尚需要變更Active Directory群組政策設定,不過這還不是最煩人的事。公司IT人員表示,政策初始化和伺服器的佈署,還得花上近2個工作天。

  「Forefront所採行的是病毒特徵碼辨識方式,對於重大的修補更新會有完整訊息,而且,這讓你對本身安全有較清楚的視野。」Allina的桌上型電腦技術部主管Brad Myrvold說。

  不過,在安裝Forefront之前,醫院的IT人員嘗試過CA、賽門鐵克(Symantec)和McAfee的防毒方案,但是卻因為幾項原因,而無法滿足他們的需求。

  要完全作完整個網路的病毒特徵碼更新,會花上許久的時間,甚至有時在某些狀況下,會完全耗損掉網路頻寬。此外,他們同時也發現這些解決方案難以達到集中管理的目的,並且,也無法與AD政策整合在一塊兒。佈署Forefront前,安全政策的更新需要先後在3種不同的系統當中作改變,現在,只消修改一個地方,便能管理所有的政策。

  不過,或許在裝設過程中最引人注意的地方,是當Allina的IT人員一開始執行Forefront的時候。他們發現超過500台受感染的PC需要執行修補作業。「只有少數需要重新將映象檔倒回安裝,多數主機光靠自動化工具就能搞定,而且還不需要重開機。」Myrvold說。IT人員盡可能不去中止掉用戶們的網路存取能力,同時也希望利用自動化工具,去修補Forefront揭露出來的問題。

Papa Gino''s:安全測謊器

  當提及要保護端點安全和控管網路存取時,Papa Gino''s比薩連鎖店採取了不同的作法。這家新英格蘭的公司,採用了一整組Trusted Computing Module(TPM),及其他相關軟體的工具,以幫忙保護那些不同辦公用途之筆電的安全。Papa Gino''s的IT團隊決定利用管控端點存取的方法,去管理整個網路的存取。

  「我們需要強化端點本身的安全。」Papa Gino''s網路維運部主管Chris Cahalin接著說,「事實上,我們了解到一件事,只要能管好端點的存取,就能夠管控存取網路的人。」

  打從2005年春天開始,IT人員開始採買裝有TPM模組的筆電,而現在它們已經是戴爾(Dells)出廠的標準配備。TPM是一塊特殊的晶片,在過去幾年已經植入在所有主要筆電的組態設定檔中,它提供一個無法從Windows作業系統存取的受保護環境以儲存安全密鑰和其他加密資訊。Papa Gino''s的佈署工作是從250台的PC和筆電開始,但在下一年度,可能會延伸到數以千台的機器當中。當然,這會取決於公司是否延伸該計畫去處理PC型態的POS收銀機系統。

  整個解決方案,包含Wave System的Embassy Trust Suite防護軟體,及內建加密功能的Seagate硬碟,前者會協同TPM一起作業,去檢查機器的狀態。每台筆電的用戶指紋會被記錄起來,並使用內建讀卡機,作開機前(pre-boot)的驗證檢查,和完整的磁碟加密。「當PC壽終正寢,或是需要被重新分派任務的時候,只要利用遠端立即加密重整(remote instantaneous cryptographic shredding)功能,在數秒鐘內就可以不自覺地轉作其他用途。」Cahalin說。再者,他和他的團隊也正找尋能整合指紋搜尋,作為認證用戶存取網路的工具。「我們的解決方案,再加上Embassy,可以與Active Directory協同運作的十分順暢。大約在30分鐘內,就可以搞定一連串的群組政策設定,就是那麼簡單且運作得很好。」

  另外,與TPM防護一起搭配使用生物辨識技術還有一項好處,就是IT人員可以正大光明的提供員工便條資訊,記載如何存取網路的方式,而毋須擔心資料外洩到其他人手中;這些提醒資訊是受WaveSystem所保護的。「資料從未有過這樣完整的保護,也未曾能讓對的人那樣地快速登入系統過。」Cahalin說。另一項好處,就是用戶端能夠為特定使用者或因特殊目的,而建立起資料共享庫藏(shared data repository),比方說,像是私密的人力資源福利津貼文件。

  「沒有人可以存取這些資料,即便是部門秘書也不行,因為實際上,他們也不該看到這類的資訊。還有,用以保護這類資料的秘密金鑰,會好好地存放在我們的伺服器當中,可以很容易地回復。而利用這種方式,我們可以避免員工遺失加密金鑰後所帶來的風險。因為人總有失手;所以我們仍然需要對資料防護和資料存取作好集中控管工作。」Cahalin說。

  「這些增加的成本,比起一台筆電所要耗費的還要少,幾乎不費吹灰之力!」他補充道。該公司最終計畫要把機器升至Windows Server 2008,採用NAP架構,並且未來也將以TPM方案作為監控核心。「TPM的角色就如同是各個端點的測謊器一樣,因為它會督促端點糾正自己的行為舉止。」他說。

  說白一點,端點防護和NAC可以用於很多面向,而以上4個實例不過是現存產品下的小部份。每項解決方案都有各自要挑戰的地方,而當IT工作更多元化時,佈署方式就會持續向上發展,比方說,面對桌上型電腦越來越多的情況,就要有更好的漏洞修補機制和更完善的防護是一樣的道理。

  不過,好消息是,在廠商廣泛支援多種系統的用戶端,又整合現存防毒和其他安全服務之後,端點問題已持續獲得改善。

David Strom是位旅居St. Louis的作者,也是演說家,亦是播客(podcaster),同時也是常寫有關於安全議題的顧問。編註:截稿前,台灣Sophos表示該產品已支援Vista作業系統。