安全管理無(wú)止境 統(tǒng)一威脅管理設(shè)備大放異彩

字號(hào):

企業(yè)信息系統(tǒng)選型寶典首先,讓我們來(lái)想象一下通過(guò)機(jī)場(chǎng)安檢時(shí)的情景。你先走到安檢員面前,讓他仔細(xì)檢查你的登機(jī)牌和證件,通過(guò)后馬上又有機(jī)場(chǎng)警察拿著金屬探測(cè)器擋住你的去路,如果探測(cè)器沒(méi)有發(fā)出警報(bào),你就可以繼續(xù)前行,但走不到幾步,又得在行李檢查線(xiàn)前停下來(lái),等待警衛(wèi)搜查行李內(nèi)是否有易燃易爆物品。
    在IT世界里,當(dāng)數(shù)據(jù)包進(jìn)入一個(gè)高度警戒的網(wǎng)絡(luò)時(shí),也會(huì)遇到類(lèi)似的情況。隨著越來(lái)越多用于檢查非法入侵、惡意程序、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄漏和垃圾郵件的安全軟件投入應(yīng)用,進(jìn)入系統(tǒng)的數(shù)據(jù)必須經(jīng)過(guò)多重的檢查與核證。與此同時(shí),企業(yè)的安全成本當(dāng)然也在日益增加。有人提出了用一種多功能的產(chǎn)品來(lái)替代以上所有的這些安全程序,統(tǒng)一威脅管理(unified threat management,下稱(chēng)UIM)的理念就這樣誕生了。
    UTM產(chǎn)品適用于各種規(guī)模的網(wǎng)絡(luò)。盡管它們目前主要用于中小型企業(yè),但在分布廣泛的大型企業(yè)中UIM仍然大有勇武之地。毫無(wú)疑問(wèn),分布式企業(yè)以后將會(huì)配置多種UTM產(chǎn)品,而這就會(huì)帶來(lái)管理問(wèn)題。
    企業(yè)需要對(duì)UTM設(shè)備的廣布網(wǎng)絡(luò)進(jìn)行管理,并將其整合到現(xiàn)有的安全體系當(dāng)中,幸運(yùn)的是,大多數(shù)廠商都支持用于管理和整合的平臺(tái)。像Check Point軟件公司、思科系統(tǒng)公司(Cisco Systems)、國(guó)際商業(yè)機(jī)器公司(IBM)及Juniper網(wǎng)絡(luò)公司這類(lèi)具有成熟安全套件的大型廠商,都將UTM設(shè)備集成到了公司現(xiàn)有的整體安全體系中,這是不足為奇的。令人欣喜的是,一些還沒(méi)有大型綜合安全套件的廠商,如Astaro公司、Cyberoam公司、飛塔公司(Fortinet)、信客公司(Secure Computing)、索尼克公司(SonicWall)和合勤公司(ZyXel),也明確表示要解決多重設(shè)備管理和安全技術(shù)整合的問(wèn)題。
    至于成本方面,UTM市場(chǎng)有一個(gè)很有趣的現(xiàn)象,那就是許多設(shè)備的內(nèi)部都整合了開(kāi)源組件,因此催生出了不少成本低廉的設(shè)備,促進(jìn)了競(jìng)爭(zhēng),使用戶(hù)大大受益。不過(guò),企業(yè)必須同時(shí)關(guān)注通用公共授權(quán)證(GPL)的變動(dòng),以免惹上侵權(quán)官司。
    優(yōu)劣分明
    將安全功能全部集成到一個(gè)設(shè)備上的做法具有很多顯而易見(jiàn)的優(yōu)點(diǎn),如降低成本、整理安全報(bào)告、統(tǒng)一操作界面、簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)以及減輕管理負(fù)擔(dān)等。事實(shí)上,這些優(yōu)點(diǎn)也促進(jìn)了終端安全套件市場(chǎng)的進(jìn)一步整合。在桌面電腦市場(chǎng)上,殺毒產(chǎn)品已經(jīng)成為了安全體系的核心,圍繞這一核心正不斷地添加周邊功能;而在網(wǎng)絡(luò)市場(chǎng),防火墻產(chǎn)品則占據(jù)了主導(dǎo)地位。
    另外,集成安全設(shè)備還有一些潛在的好處。首先,它不僅僅意味著虛擬化程度的提高,還能促進(jìn)計(jì)算機(jī)向著節(jié)能的方向發(fā)展。通過(guò)UTM可以減少安全設(shè)備的數(shù)量,從而減少能源開(kāi)支。此外,UTM還能增強(qiáng)更多成熟產(chǎn)品之間的協(xié)作,這可不是我們?cè)谡f(shuō)笑。比如說(shuō),防病毒模塊、反垃圾郵件模塊和內(nèi)容過(guò)濾模塊可以共享同一個(gè)惡意網(wǎng)址的數(shù)據(jù)庫(kù)。飛塔公司發(fā)揮了這種集成做法的功用,其整個(gè)網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)完全以UTM為中心,同時(shí)保留了自身的所有模塊和電子簽名數(shù)據(jù)庫(kù),這在UTM廠商中是極為罕見(jiàn)的。
    當(dāng)然,把所有功能集成到一起還是有缺點(diǎn)的。單個(gè)UTM產(chǎn)品不可能發(fā)揮所有部件的功效。Check Point公司、IBM和Juniper公司的UTM設(shè)備集成了公司端的防入侵系統(tǒng)(intrusion-prevention systems) ,但除了它們之外,大多數(shù)UTM防入侵系統(tǒng)在入侵偵測(cè)和防御的功能和深度上還是不及獨(dú)立的系統(tǒng)。同樣,UTM的防病毒和反垃圾郵件功能也不如獨(dú)立的產(chǎn)品。
    另外,廠商在推銷(xiāo)UTM產(chǎn)品時(shí)也會(huì)有意夸大其辭。君不見(jiàn),哪款筆記本電腦的電池壽命能有廠商承諾的那么長(zhǎng),而又有哪種啤酒能像電視廣告上吹得那樣讓你周?chē)琅萍??因此,?duì)于UTM銷(xiāo)售人員夸下的海口,企業(yè)應(yīng)當(dāng)有充分的準(zhǔn)備。對(duì)安全產(chǎn)品進(jìn)行單一性能評(píng)估時(shí),就已經(jīng)很難量化網(wǎng)絡(luò)的帶寬請(qǐng)求了,而對(duì)于由6個(gè)或更多獨(dú)立模塊組成的設(shè)備來(lái)說(shuō),在真實(shí)的網(wǎng)絡(luò)環(huán)境下,如果所有模塊全部開(kāi)啟,那實(shí)際性能肯定大大低于廠商的承諾。正因?yàn)榇?,許多產(chǎn)品都添加了硬件加速功能,但是,如果你沒(méi)有在網(wǎng)絡(luò)上實(shí)際試用過(guò),你根本無(wú)法知道是否可行。
    集成安全系統(tǒng)的另一個(gè)潛在缺陷,在于把所有的雞蛋都放進(jìn)了一個(gè)籃子里,也就是說(shuō),如果安全體系的某一個(gè)環(huán)節(jié)被突破,那很可能會(huì)對(duì)整個(gè)體系造成影響?,F(xiàn)在安全軟件的發(fā)展趨勢(shì)是增強(qiáng)保護(hù)效果,而不是全面整合。
    開(kāi)源之爭(zhēng)
    某些UTM產(chǎn)品一開(kāi)始其實(shí)就是一堆開(kāi)源技術(shù)的簡(jiǎn)單組合。例如,把 Snort的入侵檢測(cè)和防御系統(tǒng)、ClamAV的防病毒技術(shù)以及IPTables和Netfilter的防火墻拼湊在一起,就基本上可以搭建出一個(gè)UTM了。通過(guò)簡(jiǎn)單的整合,再加上一個(gè)接口和報(bào)告機(jī)制,這款UTM就可作為產(chǎn)品上市了。
    Smoothwall公司銷(xiāo)售的正是這樣的產(chǎn)品,并且對(duì)此毫不諱言。該公司的產(chǎn)品甚至連界面都是開(kāi)源和免費(fèi)的。SmoothGuard 1000能夠保護(hù)1,000個(gè)網(wǎng)絡(luò)節(jié)點(diǎn),而售價(jià)僅為5,000美元,是其他同類(lèi)產(chǎn)品的1/2到1/3.Check Point公司的同類(lèi)產(chǎn)品就賣(mài)到了15,500美元。而Astaro公司也坦率地承認(rèn),其UTM產(chǎn)品(起價(jià)1,200美元)的引導(dǎo)區(qū)使用了開(kāi)源,不過(guò)它聲稱(chēng)這是同類(lèi)中的總體方案,還表示最近將開(kāi)源的Squid HTTP代理?yè)Q成了內(nèi)部開(kāi)發(fā)的代理。
    有些UTM廠商瞧不起那些基于開(kāi)源技術(shù)的產(chǎn)品,但事實(shí)上,開(kāi)源軟件同商業(yè)軟件不分伯仲。對(duì)于內(nèi)部資源有限但又想采用UTM的公司而言,它們可以先對(duì)各個(gè)環(huán)節(jié)進(jìn)行風(fēng)險(xiǎn)評(píng)估,在風(fēng)險(xiǎn)的環(huán)節(jié)投入資金使用商業(yè)軟件,而其他地方則可用開(kāi)源軟件作為補(bǔ)充。
    盡管如此,在選擇開(kāi)源還是商業(yè)UTM產(chǎn)品時(shí),還是需要注意一些問(wèn)題。首先,授權(quán)的變化可能會(huì)影響到新版軟件的開(kāi)發(fā)。例如,在Nessus弱點(diǎn)掃描軟件由2.0升級(jí)到3.0時(shí),Tenable Network SecurITy公司改變了它對(duì)這款軟件的授權(quán),盡管主要原因可能是由于3.0版軟件的絕大部分開(kāi)發(fā)工作都是由內(nèi)部程序員進(jìn)行的。不過(guò),此前版本的授權(quán)是不會(huì)被撤銷(xiāo)的。
    另外一個(gè)問(wèn)題涉及到GPL的衍生作品條款。有關(guān)GPL的許多早期解釋都認(rèn)為,基于編譯版的應(yīng)用程序接口開(kāi)發(fā)的程序不能算是衍生程序。舉例來(lái)說(shuō),把Snort軟件拿出來(lái),在配置、管理和輸出數(shù)據(jù)模塊上封裝一個(gè)Web接口,這樣得到的產(chǎn)品不算是衍生品。只要原來(lái)的程序沒(méi)有被修改,那么整個(gè)軟件就不需要GPL授權(quán)。但是,現(xiàn)在有一些開(kāi)源作者對(duì)此慣例提出了反對(duì)意見(jiàn)。Nmap和Snort公司現(xiàn)在已明確要求,任何利用其程序來(lái)制作的軟件,如果影響到了UTM廠商的利益,那就必須事先獲得授權(quán),例如添加源文件及數(shù)據(jù)文件,或是用安裝程序來(lái)封裝等。
    在我們采訪(fǎng)過(guò)的UTM廠商中,Snort的應(yīng)用極為普遍,但只有在Sourcefire公司的網(wǎng)站上,Astaro公司才被列為了集成商。其他公司要么正計(jì)劃放棄使用3.0系列的產(chǎn)品,要么就是和Sourcefire公司私下達(dá)成了某種授權(quán)協(xié)定。Sourcefire公司拒絕透露其中的具體細(xì)節(jié)