端點安全－誰在那？

你擁有哪些安全基礎建設
首先要了解現有的安全組合，端點安全解決方案是否與其切合。根據目前已有的設備，你可能會從各家端點解決方案中獲得重複的功能。

有些產品將入侵偵測、防護系統，及VPN閘道器視為是端點安全方案的重要必需品，而有些則是與現有的IPS、IDS，以及VPN等產品搭配。如果你正打算建置VPN，Juniper以及F5 Networks（或是Cisco）的VPN產品都提供了堅強的端點健康掃描功能。有一點必須注意的是，你的端點安全應該只涵蓋遠端使用者的機器，而不會掃描本端網路使用者的機器。

另外必須注意的還有，有些廠商會宣稱能支援其他廠商的VPN或IPS，但並不表示它們能夠緊密地結合，也不表示你只需建立一個統一的安全政策資料庫，就可以管控遠端以及LAN的連線。例如，AEP Networks提供了端點安全產品以及獨立的NACpoint產品線，但這兩類產品便無法共用安全政策資料庫，而且要到2007年之後才會做整合。同時，NACpoint產品線還會廣泛地支援各種VPN產品。
在這整合頻譜上的另一個極端則是Junipe r 的Unified Access Control。「管理員可在Secure Access SSL VPN與端點安全平台之間共用遠端存取以及LAN存取控制政策，以確保LAN與遠端存取都有共同的控制政策，」Juniper發言人Roger Fortier說。
若是進一步檢視其它產品，便可發現更細微的差異。例如，Lockdown Network的Network Access Control設備不具備任何IDS的功能，但卻可和Enterasys Network的Dragon IDS共同合作，最近還加入了自己的VPN功能。而大多數的產品都對IPsec VPN提供一般的支援，InfoExpress的CyberGatekeeper也支援Nortel Networks、F5、Juniper，以及Aventail的SSL VPN。ForeScout Technologies的CounterACT則對CheckPoint的VPN提供特別的支援，並即將支援Juniper與Nortel的VPN產品線。Vernier Networks提供了兩種不同的EdgeWall機型，7000與8800；每一種機型都有自己的IPS，而且7000型還支援自己的IPsec VPN功能。

還有一些端點套裝方案，也會在現有的網路基礎上提供重複的元件，要不然就是得下些功夫才能和你現有的設備完美運作。例如，Symantec的Network Access Control就使用了自家的RADIUS伺服器，並且還得在Microsoft的Active Directory上安裝額外的軟體來處理DHCP評估。而MetaInfo則會以自己的DHCP來取代你現有的DHCP伺服器，才能提供自己的端點安全功能。

另一項需要考慮的是你是否需要升級網路。例如，Nevis Networks與ConSentry Networks都提供了自己的48埠交換器以及整合的端點安全功能，如果你不想換掉現有的交換器的話，這可是項不小的花費。


你想保護什麼
接下來，你需要決定要在網路的什麼地方放置這些設備，以及你想保護哪些運算資源。有些設備應該直接放在防火牆後面，以便涵蓋整個網路；有些則最好放在交換器之後，伺服器之前，或是佈署在要保護的子網路或部門網路上。

有些設備是以共線（inline）的方式運作，這也意謂著在這些設備後的網路資源都會被保護，而且只有健康的網路用戶端才能通過設備並存取資源。有些設備則是以頻外（out-of-band）的方式運作，通常會以span port的方式來連接，可監看特定子網路的所有網路通訊，並在使用者成功通過Active Directory或VPN驗證之後，將其加入網路串流中。StillSecure則兩種方式皆有提供。

若要了解這些設備該放置在何處，有時得先了解它們能夠處理的相對流量有多少。Juniper的端點解決方案就提供了廣泛的處理流量，可從75MBps到30GBps。有些產品則受到限制，無法處理更高的流量或更大型的網路。


你的桌上型電腦佈署策略為何
每一項產品都結合了軟體代理程式，來對端點進行掃描並決定其健康程度。這項軟體也可以根據健康程度提供端點的修正以及網路資源的保護。

這些代理程式的工作非常繁重。它們必須檢查開放的通訊埠與執行的服務、在檔案系統上查看是否有問題的檔案與惡意軟體、監控Windows登錄、確定防毒軟體病毒碼的更新，以及檢查個人防火牆是否開啟或被竄改等。有些軟體可能會讓使用者登入多花上數分鐘，這讓某些使用者感覺困惑而去請求技術支援。

每種設備可能使用的代理程式可分為下列三個類型：
? 重型 (Thick) 代理程式：在每一台端點PC上永久安裝並執行。
? 隨選（on-demand）代理程式：PC連上網路的期間並不會一直執行，通常會隨著瀏覽器session或網路登入程序發佈。
? 無代理程式的解決方案：不需在端點上安裝任何軟體，但必須與PC既存的元件配合。

這三種方式各有顯著的差異，也會影響到你最終要使用哪一項產品。其中的差異包括了軟體發佈到端點的方式、執行時間的長短、在登入/連線程序中何時進行健康評估，以及當端點不再連接至網路時，程式本身是否會自動移除等。
「重型」代理程式最容易理解，但也最難全面佈署；這表示IT必須有能力管理並掌控這些系統。在大多數情況下，「重型」代理程式會需要各個電腦的Windows管理者帳號，以便在每一台機器上安全軟體。大多數廠商都提供了Windows 2000/XP上的「重型」代理程式，有些廠商（如AEP、InfoExpress與Lockdown等）還支援Mac OS。少數廠商，例如Symantec與ConSentry等，也在去年底宣佈支援Mac，或是會在接下來數月中在產品線加入對Mac的支援。

「重型」代理程式通常有能力對端點健康進行廣泛的評估，包括Windows登錄、檔案系統、系統服務，以及開啟的通訊埠的掃描，以確定機器是否具有風險。它也能夠對端點進行修復工作，以便將其調整成正常狀態。

未列管PC的問題是IT無法掌控，例如訪客或是企業夥伴所帶來的電腦。這是端點安全的邊緣地帶，在此你必須仔細了解各家供應商之間的差異。

主要的問題是受感染的電腦只要連接到特定的網路區段，便可在登入前損壞你的網路。大多數廠商的作法，是在提供端點IP位址前，先執行一些初步的健康評估。

「使用者驗證已不再表示能夠存取；使用者所使用的設備也必須先經過檢查。」F5的行銷經理Peter Silva說。

由於隨選代理程式無需安裝在嘗試連入的機器上，因此能涵蓋未受管理的PC。這些程式通常以JavaScript或Active X控制元件（或兩種都有）的型式，透過Web瀏覽時載入，和SSL VPN所使用的瀏覽器用戶程式類似。

有些隨選代理程式事實上會自我清除，業界稱之為「可溶性」（dissolvable）代理程式。「自動移除的功能讓我們的代理程式可在一定的時間後自己消失，很適合用來確認訪客的設備是否符合公司的規範，」Lockdown行銷經理Dan Clark說。

Lockdown與Mirage Networks等公司更進一步：這兩家公司都是把每一個端點置於自己的私有VLAN中，因此可確保具風險的設備能夠與其他設備隔離。

「因為這些被設備會互相感染，因此我們將其隔離出來，不與交換器整合，並把所有受感染的設備集中在同一個VLAN中，」Mirage的CTO，Grant Hartline說。

這些隨選代理程式需要特定的作業系統與瀏覽器，其中多數支援Firefox與Internet Explorer，而Windows之外的作業系統選擇就更少了。ConSentry具有Windows版的隨選代理程式，並計畫在今年提供Mac與Linux的版本，但其它廠商在非Windows系統上的支援則過於緩慢。

最後還有無代理程式的方法，雖然聽起來怪異，但道理卻很簡單，安全系統會利用端點上既有的一些資訊進行查詢。通常，這種作法無法提供太多的修正，但卻提供了最小化的驗證。同樣的，這些軟體也需要特定的作業系統。例如，雖然ForeScout的CounterACT完全沒有代理程式，但它在6.0版之前還是無法支援Mac OS的用戶端。

有些廠商提供了多種功能不同的代理程式。例如，Nevis提供了Windows的ActiveX控制元件作為健康評估之用。在其他作業系統上，則利用非代理程式的連線來做最小化的識別管控。Symantec的隨選代理程式可在Mac OS與Linux上執行，但「重型」代理程式只能夠在Windows 2000與XP上工作。

而Ve rni e r （ 使用隨選代理程式） 則是結合了Windows管控的介面來登入電腦並進行掃描。但評估的程度得視是否具有各台電腦的管理權限而定。若沒有管理權限，代理程式只會進行基本的漏洞評估，若需要更進一步的安全政策遵循掃描與修正，則需管理權限才能進行。


你必須管理非PC的端點嗎
若要找出合適的代理程式，還得先知道你的網路有什麼，要管理什麼。「重型」代理程式無法管理非PC設備，如企業網路中的印表伺服器、網路攝影機，以及PDA等，這些設備都各有獨自的作業系統與IP位址。它們無法輕易地被端點設備所控制。幾乎所有的廠商都能夠對MAC或IP位址做白名單或前置驗證，因此設備還是可以連上網路並進行工作。

但若是哪天嵌入式設備也被感染了怎麼辦？ForeScout的CounterACT有解決之道。「它有能力偵測這些設備並實行政策，不讓威脅隨著這些設備而爆發。」ForeScout的全球行銷副總Gord Boyce說。

「例如，我們可以利用政策來限制來自網路印表機的封包只能用作印表之用，」他說。「如果印表機開始運作的像其他設備一樣，而也有人假冒印表機的IP位址的話，CounterACT系統仍能夠偵測出改變，並將設備隔離並斷線。」

另外，像Mirage等廠商，也會監控這些設備，以確保它們不會帶來威脅。顯然要找出完美的端點安全方案非常不容易，尤其當企業有異質網路或設備及作業系統太廣泛時更為嚴重。雖然現今的設備都能夠幫助企業處理緊迫的問題，但若是Microsoft、Cisco，以及Trusted Computing Group等廠商能持續制訂出標準的話，端點安全的未來將更為輕鬆。

David Strom是密蘇里州聖路易士（St. Louis）市的作家、演講者，以及顧問，他時常撰寫有關安全的文章。