守護端點安全

4位企業經理人分享他們佈署網路存取控制的經驗。

　　網路存取控制( N A C , N e t w o r k A c c e s s Control)的需求仍一直不斷地成長著。該項技術克服了早期顢頇顛簸，現在正式進入到了青澀年代。業界分析家指出，雖然企業在過去一開始佈署NAC機制的腳步緩慢，但現在很多公司卻逐漸地向NAC靠攏。「我們正看見不少主流企業展現出高度興趣，並準備將NAC佈署在大型商業網路上。」年初剛寫過分析報告Forrest Research的首席分析師和研究人員Robert Whiteley表示。

　　本文中，我們更深入探討4個案例，從中去了解該項技術如何在企業裡扮演成功角色。實際上，在資安事件發生之後，企業總會試著去維護端點的安全，避免自身網路遭到感染，但是，解決方案的路卻不會只有這一條。儘管有明確的好處，企業佈署比例仍在進展中，而NAC市場也會面臨持續成長的陣痛。特別是事後的補救會比政策的執行來得困難，就像我們可以十分輕易地找到不安份，未遵守規定的PC，但是要為它們自動進行適當的修補工作，那可就不是那麼簡單！

TechTeam：透視端點安全

　　總部位於密西根州S o u t h f i e l d 市的TechTeam Global公司，其主要業務是協助跨國企業客戶遞送全球性，多國語言的求助台(Help desk)服務。該公司採用Sophos的防毒軟體已有數年光景，於去年期間把軟體升級到Sophos Endpoint and Secutiry Control 8.0之後，便將防毒和防火牆防護功能與端點安全整併在一起。目前，1台伺服主機負責防護60個用戶端安全，預計在18個月內，要將規模擴展到1,400台機器上。此外，TechTeam還想要將安全回報和管理工作集中作業，並確保受管理之PC仍會擁有多一層的安全保護。

　　「在佈署8.0版的Sophos NAC client軟體之前，我們需要去確認不同的升級來源和管道，有些是採自動化方式，有些手動作業甚至得實地去某人辦公室裡的實體PC進行。」TechTeam的資深資安管理師John Endahl接著說，「不過，現在我們能透過單一管道，便可查看是否所有PC都符合安全規定。假若這些用戶的防火牆都有開啟並運作著，這不僅會給我們帶來信心，還能讓我們了解到所有管理下的端點設備，仍然受到最好的管控跟保護。再者，藉此我們更可延伸管理視野，知道端點在實際能碰觸到企業網路前，是否已經存在著入侵的風險？」

　　TechTeam最初佈署軟體的範圍僅限IT部門，不過，目前正擴展到整個企業，並將其當成是桌上型電腦硬體更換週期計畫的一部份。但是，現在卻出了一點小小的狀況，「因為我們遇到的其中一個問題，就是所有最新採購進來的硬體，搭配的都是64-bit的Vista作業系統，也就是說，它目前還不受到Sophos NAC client軟體的支援。」Endahl說（編註）。該公司這幾個月來一直延後採購Vista授權，為的就是能搭上Sophos支援版本的釋出時間。另外，雖然目前Sophos NAC client可以執行Mac OS和Linux的病毒掃描，但卻仍無法支援端點防護。

　　TechTeam對於能夠將端點控制的功能加入到Sophos防毒軟體當中一事，顯得相當興奮。「整套軟體真的感覺強化了不少。」Endahl又說，「除此之外，我們能夠更清楚地檢視到每台PC的安全政策狀態。因為在佈署NAC模組之前，只透過Windows Group Policies功能，我們無法很明確地驗證到每台PC上的防火牆狀態。」

　　但佈署NAC後，接踵而來的另一個難題則是，NAC會增加用戶端登入次數，而且，如果PC需要比以往較久的時間才能連結上網路，使用者也會查覺到不對勁。所以，將這個因素列入考慮是有必要的，因為不少TechTeam的用戶都是call center的業務代表，他們對於延遲一事會十分敏感。

　　「我們嘗試去確認每位員工能夠被納入，並能夠照期待的快速登入到他們的PC上。基本上，公司屬於服務業，所以，我們對於未能提供客戶及時服務一事，會相當在意。」Endahl接著又說，「我們以碼表計時，並發現到在PC完成應用程式載入作業之前，Sophos NAC client早就已經跟所屬的政策伺服器確認檢查過了。所以，任何會對客戶所造成的影響和延遲，應該是不存在的。」

NAC組織標準一籮筐 　　NAC市場也會面臨持續成長的陣痛。特別是事後的補救會比政策的執行來得困難，就像我們可以輕易地找到不安份，未遵守規定的PC，但是要為它們自動進行適當的修補工作，就不是那麼簡單！NAC鋪天蓋地的標準，造成了佈署上面的困難，欲探索NAC形勢的組織，會發現自己必須要越過一大片的標準和文字遊戲。這裡不乏有Cisco的NAC(Network Admission Control)計畫，微軟的NAP(Network Access Protection)創始會，和Trusted Computing Group的TNC(Trusted Network Connect)協會。而近來另一個新加入戰局的，則是Internet Engineering Task Force的NEA(Network Endpoint Assessment)工作小組。 　　依照Forrest Research機構的首席分析師和研究人員Robert Whiteley的講法，這些始祖們的計畫，不過是宣揚NAC互動互連的初階作法，而不見如何去建立一個具延伸性的政策架構與廠商協同作業。 　　「這種狀況下，最重要的事情是：企業需要手動去將NAC元件組合在一起，而許多主流企業是無法逃脫要小心的去運用這門獨門技術的命運。」今年春天Robert在報告中下了這樣的註解。

GEHA：承包商的管控

　　HIPAA法規遵循新增控管供應商和承包商存取網路的法條需求，促使美國公務人員健康管理協會(GEHA, Government Employees Health Association)找上了NAC解決方案。不過，倒是特別有一件事，讓這個為政府職員和退休員工服務的保險業者，將NAC列為必要需求。

　　「有一天，我們在檢查DHCP伺服器，看到了一個陌生的主機名稱取得了一組IP位址。我們將其攔了下來，並且十分確定是某個顧問用他的筆電連上了公司網路。」GEHA的資深系統工程師JustineGerharter說，「這就像往臉上賞了一巴掌！也因此，NAC從原本的想要，變成了需要。」

　　該企業所裝設的Nevis Networks LANenforcer裝置，跨越了1,800個邊緣交換器去保護800名員工。最大的好處就是能擁有管控承包商和其他訪客的能力。Gerharter說，「我們能讓外部廠商，或不管是誰插上他們的筆電，就只會擁有所需要的存取權限，但這通常都僅限制具備上網際網路的能力而已。」

　　G E H A目前仍未使用用戶端完整性檢查掃描(client integrity scanning)功能。「我們將其設定於回報模式(reporting-only mode)，讓我們能看到目前所有發生的狀況。」Gerharter說。

　　不過，記錄檔不只符合法規遵循，同時也能作為除錯使用。「當用戶在某天登錄系統過後，我們能回溯查看這些人到過那裡。」Gerharter又說，「每位用戶到過的地方我們會留下稽核軌跡，這不僅遵守HIPAA規範，同時要是一有狀況，我們也能找到任何的蛛絲馬跡，回過頭去查看問題是否為源自於某個端點所造成。」

　　GEHA最初將Nevis技術佈署到網路維運中心，並把那裡當成是延伸的起點。佈署工作大約花費5周，並且不需要再付額外的軟硬體費用。「這可真是節省了不少開銷！」Gerharter說。該組織除了主要以Windows系統為主之外，同時也擁有IP網路電話，通常也都需要作一些額外設定，好讓它們得以通過NAC裝置的驗證。

　　「不過就是把M A C位置加入到白名單裡而已。」Gerharter說。

　　GEHA的工程人員安裝了2台LANenforcer 2024的機器，外加上LANsight management軟體，但是8月份預計會再新增2台2024主機作高可用性機制。再者，它們也會為了企業的Citrix伺服主機，而裝上LANenforcer 1048 Secure Access Switch。

　　GEHA目前使用的是McAfee軟體，去保護端點免受間諜程式和惡意軟體的襲擊，但是如果測試順利的話，不排除會將Nevis用戶端完整性檢查掃描加入安全防護行列。

　　IT部門正在測試這些功能，但是該項測試卻因為不少部門電腦升級至Vista而被迫中止，事實上，原因就是出在於Nevis代理程式根本就還未支援新作業系統的關係。Gerharter接著又說，當GEHA得到了來自於Nevis最新的程式碼後，會再重新測試。如果所有事情進行順利，就會佈署該代理程式，以作為保護端點的另一安全防護層。

7堂必修課　　7個從企業實務得來的訣竅，免掉你的NAC麻煩事

訣竅1　決定到底是要授權給人，還是機器？ NAC最初的出發點，就是在允許用戶登入前，去查核機器的組態設定和確定它能夠通過一連串的必要檢查。但在有些情況下，像是Papa Gino''s用合理的手段，將機器緊緊地綁在特定的使用者身上，並懂得利用生物辨識技術去保障授權這件事。

訣竅2　漏洞修補不會一次達陣。 當安全產品發現到未遵守規定的端點時，你會如何修正？而端點用戶又會在這個過程中看見什麼？你會先將他們移往網路隔離區，讓他們在完成修補更新和提升瀏覽器防護之前都無法作任何事情？或者乾脆就封掉他們？採何種方式進行修補更新，會對前來支援的資源造成影響？那也就是為什麼就算解決方案能有所效力，但許多執行結果仍無法達到100%修護的原因。事實上，好的對策就是依情況訂定安全政策，並了解去升級未達規範之PC的資源調配上的難處。最後，你會發現，資訊求助台從此不需要再處理大量來自於隔離區用戶們的電話。

訣竅3　若你有不同於Windows XP的系統等著要保護，那麼，等在前頭　 　　　　的會是一條崎嶇道路。 不少廠商還是以XP為主，而且是32-bit的XP系統。僅有少數廠商準備支援其他作業系統，包含Mac OS、Linux和PDA在內。像是StillSecure的Safe Access，就有支援代理程式和免代理程式(agentless)兩款，但許多免代理程式產品的防護功能，只有Windows XP代理程式所提供的一小部份。當然，解決的辦法就是，把XP SP2列為桌機的標準吧！

訣竅4　安全政策的制訂是多頭馬車和多人管理？ 如果是這樣子的話，該是時候將這些資源整合在一塊兒了。相異的端點方案，有時會因多頭政策的關係而共同存在一些議題，所以，有可能可以使用部份資源，去作好解決和整合的工作。

訣竅5　仔細挑選前導團隊進行測試。 對於不同使用者，要採不同策略：像是本身的用戶，離線的用戶，IT部門等。也許，一開始就要先找那些風險值最高的使用者，或者是未受到嚴密管理的機器下手。挑選最適當的人選去試驗NAC機制，並且，在還未進入到佈署階段前，趕緊先擺平那些特定的問題吧！

訣竅6　從最簡單的防護開始作起。 舉例來說，在配置一組DHCP IP位址前，先作個事前掃描，或者佈署TPM加密的筆電後，接著當你知道誰合格，誰不合格時，就將未遵守規範的放在一起，之後的工作就是去修補那些不乖的機器。

訣竅7　全面防護不必要，也不建議，尤其是打從一開始的時候。 讓每個端點都得到全面防護，這種設計理念當然好；不過，實際的情況則是遠不能讓人滿足。(見訣竅1) 想想看，這些日子以來，有多少的內嵌裝置都有IP位址，要作到全面防護是幾近不可能的事情。最成功的佈署投資始於最高風險的機器，比方像是臨時雇員，未列入管理的端點，或者從這些範圍延伸出去的部份都算。

Allina：集中管理的必要

　　Allina Hospitals & Clinics醫療網路，是明尼蘇達州醫療院所的大型集散地，它也在找尋一種更好的方式，以維持用戶端PC能保有最新的作業系統更程式和病毒特徵碼。該組織除了想要確保病患資料得到良好的保護外，而且還得考量辦公室遍及全州這個問題。

　　最後，A l l i n a選擇M i c r o s o f t F o r e f r o n t C l i e n t Security和Enterprise Manager2樣產品，並且在近2年的使用期間，只透過單一台政策伺服器，來管理超過2萬台的端點用戶。Forefront是微軟推廣網路存取防護(NAP, Network Access Protection)的主打方案，Forefront結合了多項的安全軟體，包含了防毒、反垃圾郵件、漏洞修補管理，以及政策執行。

　　有趣的是，所有用戶端僅能在Windows XP SP2上執行，而Allina不但是微軟的大用戶，網路更是包含了Windows Server，目錄服務(Active Directory)，Operations Manager和其他產品。不過，即使完全都是走微軟的環境架構，但是，該公司仍舊需要添購一台Windows 2008 Server來掌管NAP服務（甚至是連較早期版本的Windows Server都不支援），並且尚需要變更Active Directory群組政策設定，不過這還不是最煩人的事。公司IT人員表示，政策初始化和伺服器的佈署，還得花上近2個工作天。

　　「Forefront所採行的是病毒特徵碼辨識方式，對於重大的修補更新會有完整訊息，而且，這讓你對本身安全有較清楚的視野。」Allina的桌上型電腦技術部主管Brad Myrvold說。

　　不過，在安裝Forefront之前，醫院的IT人員嘗試過CA、賽門鐵克(Symantec)和McAfee的防毒方案，但是卻因為幾項原因，而無法滿足他們的需求。

　　要完全作完整個網路的病毒特徵碼更新，會花上許久的時間，甚至有時在某些狀況下，會完全耗損掉網路頻寬。此外，他們同時也發現這些解決方案難以達到集中管理的目的，並且，也無法與AD政策整合在一塊兒。佈署Forefront前，安全政策的更新需要先後在3種不同的系統當中作改變，現在，只消修改一個地方，便能管理所有的政策。

　　不過，或許在裝設過程中最引人注意的地方，是當Allina的IT人員一開始執行Forefront的時候。他們發現超過500台受感染的PC需要執行修補作業。「只有少數需要重新將映象檔倒回安裝，多數主機光靠自動化工具就能搞定，而且還不需要重開機。」Myrvold說。IT人員盡可能不去中止掉用戶們的網路存取能力，同時也希望利用自動化工具，去修補Forefront揭露出來的問題。

Papa Gino''s：安全測謊器

　　當提及要保護端點安全和控管網路存取時，Papa Gino''s比薩連鎖店採取了不同的作法。這家新英格蘭的公司，採用了一整組Trusted Computing Module(TPM)，及其他相關軟體的工具，以幫忙保護那些不同辦公用途之筆電的安全。Papa Gino''s的IT團隊決定利用管控端點存取的方法，去管理整個網路的存取。

　　「我們需要強化端點本身的安全。」Papa Gino''s網路維運部主管Chris Cahalin接著說，「事實上，我們了解到一件事，只要能管好端點的存取，就能夠管控存取網路的人。」

　　打從2005年春天開始，IT人員開始採買裝有TPM模組的筆電，而現在它們已經是戴爾(Dells)出廠的標準配備。TPM是一塊特殊的晶片，在過去幾年已經植入在所有主要筆電的組態設定檔中，它提供一個無法從Windows作業系統存取的受保護環境以儲存安全密鑰和其他加密資訊。Papa Gino''s的佈署工作是從250台的PC和筆電開始，但在下一年度，可能會延伸到數以千台的機器當中。當然，這會取決於公司是否延伸該計畫去處理PC型態的POS收銀機系統。

　　整個解決方案，包含Wave System的Embassy Trust Suite防護軟體，及內建加密功能的Seagate硬碟，前者會協同TPM一起作業，去檢查機器的狀態。每台筆電的用戶指紋會被記錄起來，並使用內建讀卡機，作開機前(pre-boot)的驗證檢查，和完整的磁碟加密。「當PC壽終正寢，或是需要被重新分派任務的時候，只要利用遠端立即加密重整(remote instantaneous cryptographic shredding)功能，在數秒鐘內就可以不自覺地轉作其他用途。」Cahalin說。再者，他和他的團隊也正找尋能整合指紋搜尋，作為認證用戶存取網路的工具。「我們的解決方案，再加上Embassy，可以與Active Directory協同運作的十分順暢。大約在30分鐘內，就可以搞定一連串的群組政策設定，就是那麼簡單且運作得很好。」

　　另外，與TPM防護一起搭配使用生物辨識技術還有一項好處，就是IT人員可以正大光明的提供員工便條資訊，記載如何存取網路的方式，而毋須擔心資料外洩到其他人手中；這些提醒資訊是受WaveSystem所保護的。「資料從未有過這樣完整的保護，也未曾能讓對的人那樣地快速登入系統過。」Cahalin說。另一項好處，就是用戶端能夠為特定使用者或因特殊目的，而建立起資料共享庫藏(shared data repository)，比方說，像是私密的人力資源福利津貼文件。

　　「沒有人可以存取這些資料，即便是部門秘書也不行，因為實際上，他們也不該看到這類的資訊。還有，用以保護這類資料的秘密金鑰，會好好地存放在我們的伺服器當中，可以很容易地回復。而利用這種方式，我們可以避免員工遺失加密金鑰後所帶來的風險。因為人總有失手；所以我們仍然需要對資料防護和資料存取作好集中控管工作。」Cahalin說。

　　「這些增加的成本，比起一台筆電所要耗費的還要少，幾乎不費吹灰之力！」他補充道。該公司最終計畫要把機器升至Windows Server 2008，採用NAP架構，並且未來也將以TPM方案作為監控核心。「TPM的角色就如同是各個端點的測謊器一樣，因為它會督促端點糾正自己的行為舉止。」他說。

　　說白一點，端點防護和NAC可以用於很多面向，而以上4個實例不過是現存產品下的小部份。每項解決方案都有各自要挑戰的地方，而當IT工作更多元化時，佈署方式就會持續向上發展，比方說，面對桌上型電腦越來越多的情況，就要有更好的漏洞修補機制和更完善的防護是一樣的道理。

　　不過，好消息是，在廠商廣泛支援多種系統的用戶端，又整合現存防毒和其他安全服務之後，端點問題已持續獲得改善。

David Strom是位旅居St. Louis的作者，也是演說家，亦是播客(podcaster)，同時也是常寫有關於安全議題的顧問。編註：截稿前，台灣Sophos表示該產品已支援Vista作業系統。