行业资讯

以虚拟设备建立企业上网新防线

2017-10-19 15:26  浏览:

  采用虚拟设备来部署网页安全闸道的好处,是保留了传统实体设备的所有功能,又能运用虚拟化平台的优势——加速部署,同时使用多台网页安全闸道变得更加容易。

 

 以虚拟设备建立企业上网新防线

 

  说到许多人最害怕的事情之一,莫过于会把档案加密的勒索软体。使用者很可能在收到来路不明的电子邮件,点选裡面的连结之后,便启动了这类恶意攻击,或是被带到具有这类软体的恶意网站,过一段时间之后,就发现电脑里面的档案遭到加密了。

 

 

  即使有些使用者具有比较良好的资安意识,知道避免点选电子邮件里的这类连结,也很有可能在上网的时候,遭受到类似的攻击。如果企业只倚赖端点电脑的防毒软体,由于大多数的恶意程式解析都在使用者这端,相当耗费个人电脑的运算效能,甚至可能会影响到使用者的生产力。

 

 

  而若是透过网页安全闸道提供多一道防护,事先阻挡可能有问题的网址、恶意攻击行为,对于提升企业的安全性帮助相当大。虽然UTM也有网页安全防护功能,但实际上要做好使用者上网的把关,对于设备的负担相当大,因此採用专属的网页安全闸道设备有其必要性,在考量人力与金钱等成本,又不想要在机房多摆放一台机器,採用云端服务或是虚拟版本的网页安全闸道,就能符合这样的需求。

 

 

  能简易符合资料保护法规要求

  在企业中,具有敏感性的隐私资料,必须因应特定的法律规範要求,以McAfee Web Gateway为例,就提供这种快速设定的政策选项,管理人员只要依据公司需要遵循的法规,勾选套用有关选项即可。

 

 

  采用虚拟版本部署,可享有快速建置并保有硬体扩充的弹性

  以往网页安全闸道产品,大多都以硬体设备型式,或是将网页安全闸道软体安装在企业自备的伺服器中。但无论是採用硬体设备还是软体部署,都摆脱不了事先必须评估,需要配置那种等级的硬体效能,才能负荷所有使用者上网的流量扫描?会不会选择太高阶的硬体设备,而造成采购上负担?

 

 

  而随着虚拟化技术的成熟,这些厂商陆续推出针对虚拟化设计的版本和云端服务,我们之前在一月份的时候就介绍了云端服务版的网页安全闸道,却也发现这类产品,大多虽然能够线上申请就立即开通,但是功能上比起企业内部建置的硬体设备或是软体来说,就较为精简,例如同样是基于Forcepoint的产品技术,AP-WEB Cloud的资料防护措施上,只提供监控的功能,而不像在企业内建置的AP-WEB能够选用功能较为丰富的AP-DATA模组,针对指定国家与需要遵循的法规,提供相关的阻挡功能。

 

 

  而同样的情况,也在McAfee的云端服务SaaS Web Protection中出现,它所提供的网路状态资讯就不像在企业内部署的McAfee Web Gateway(MWG)那么丰富,也不像MWG拥有进阶设定模式,可以设定政策的内容执行顺序。此外,政策设定只能由MWG套用到云端服务,而无法反向同步。

 

 

  不过,也有两种版本的功能各有特点的做法,像Sophos推出的云端服务Cloud Web Gateway,就整合企业内部架设的Web Appliance所没有的Sophos实验室网路安全情报,但企业内部架设的版本则能在仪表板中,随时得知当下的网路负载情形。

 

 

  因此,采用虚拟版本的网页安全闸道,就能在功能毋须精简,保有与硬体设备和软体建置相同的防护能力之下,具备接近像云端服务能够快速导入或是建置的特性。

 

 以虚拟设备建立企业上网新防线

 

 

  管理介面采用的网页技术应赶上时代潮流

  在我们这次测试的产品裡面,基本上只要在网页安全闸道中,设定好IP位址等初始设定之后,接下来只要透过浏览器连线到管理主控台,就能进行相关的管理。但这次也有像MWG,管理者电脑必须安装JRE(Java Runtime Environment)软体,才能执行管理主控台。

 

 

  以往採用JRE的应用程式,或是由浏览器搭配Java外挂程式,可以提供较为丰富的操作介面,并且能够提供跨平台的一致性操作体验。然而现在,我们不时听闻这个软体的安全性漏洞,甚至主流浏览器已经开始封杀这样的技术:像Google Chrome完全停止支援,而Firefox则是预设不会启用外挂功能,在这种态势之下,Java从改善操作介面互动性的推手,变成人人喊打的过街老鼠。

 

 

  这种情形普遍出现在各类系统的管理介面上,但网页安全闸道的卖点,偏偏就是防护企业的上网安全,当年为了改善管理者的使用体验,厂商采用了这样的技术,很难想到现在会演变成让买家觉得产品落伍的象征。

 

 

  但这也不代表厂商没有应用较新技术框架,像趋势的IWSVA停留在静态网页技术就是好事。尤其现在使用者都操作过各式各样的动态图表,甚至是我们之前介绍过、可申请马上使用的云端服务版本,普遍来说,它们的主控台介面设计质感,都比企业内部建置版本要来得好,也几乎不需要额外外挂程式。

 

 

  我们并非认为管理介面一定要相当的华丽、酷炫,只是在网页趋势已经大幅转变的情况下,厂商也应该适时跟上这股潮流。

 

 

  各家部署虚拟设备的作法并未统一

  每一家厂商对于网页安全闸道虚拟化的定义可能有所不同,对于导入的IT人员来说,可能最希望取得的,是在虚拟化平台能够直接导入的OVF或是VHD等虚拟机器档案,而这是其他提供虚拟化的网路设备产品中,已经相当普遍的部署型式。

 

 

  我们这次的产品测试,主要希望以虚拟设备来建置网页安全闸道,不过,McAfee Web Gateway仍以安装光碟提供。

 

 

  虽然这种部署方式,对我们而言,与能够直接导入的虚拟机器期待有所落差,不过以实际建置的过程来说,由于採用厂商自行修改的Linux作业系统为基础,安装的过程需要的额外设定并不多,因此,不论是使用ISO映像档安装,或是直接导入虚拟机器档案,在网页安全闸道上都需要完成基本的网路设定,之后再透过浏览器连线到管理主控台,执行相关的政策管理或是状态监看。因此採用安装的方式,在建置的便利性上,与直接进入采用OVF和VHD档案的差异不大。

 

 

  然而,我们测试时,还遇到一个混合使用的例子,像Forcepoint在产品设计架构的不同,它的管理主控台服务器必须独立于网页安全闸道之外,因此对于IT人员就必须以2台虚拟机器建置。但麻烦的地方在于,因为管理主控台受限于指定的Windows Server作业系统与资料库环境,在建置时必须先準备1个这类作业系统的VM,再执行管理软体的安装。而我们在实际架设测试环境时,也花费较多的时间在配置这套主控台服务器上。

 

 

  虽然,之后若要再建置第2台网页安全闸道时,由于不需再重新架设管理主控台服务器,就能与运用虚拟设备的特性,快速建置。但是这样的部署经验,在这套网页安全闸道上,并没有充分发挥虚拟设备部署的便利性,若是后续版本的管理主控台也能提供快速建置的OVF或VHD档案,对于想要部署这套产品的IT人员来说,将会轻松许多。

 

 

  这也突显了认知上的差异。厂商对于提供虚拟设备版本的网页安全闸道产品,理想上,应该是针对VMware ESXi或是微软Hyper-V等虚拟化平台性能最佳化后,再封装成虚拟机器档案。但实际上,很可能碍于塬本的软体架构,以致于厂商推出的虚拟设备版本,变成只是半调子,虽然部署AP-WEB网页安全闸道的速度相当快,但管理主控台就要从架设Windows Server虚拟机器逐步开始做起,这与使用者期待采用虚拟版本的落差相当大,因此有待厂商多加把劲解决。

【免责声明】:部分内容、图片来源于互联网,如有侵权请联系删除,QQ:228866015

下一篇:快速认识常见DDoS攻击 上一篇:云储存与虚拟阵列是大势所趋
24H服务热线:4006388808 立即拨打