起初,企业部署Web网关安全(SWG)设备来执行企业政策(例如,防止员工在办公时间内访问视频)。早在2008年,企业逐渐意识到他们不能仅仅依靠防火墙、杀毒软件和简单的URL过滤来阻止零日攻击,当时SWG被视为将各种单一用途设备(例如 URL过滤和带宽限制)的功能整合到一台设备的最佳方式。Web应用级控制和集中管理也是大卖点,加之非基于签名的检测和过滤也已经开始出现。
自SWG推出以来,企业所面临的威胁已经发生巨大变化,因此,企业必须重新考虑SWG包含的新特点和功能,并在挑选潜在部署时,确定哪些功能是最重要的。攻击者群体不断增长且日益复杂,加上终端多样化、移动性和BYOD的出现,都迫使SWG技术迅速发展以满足现代企业的需求。
在本文中,我们将从技术演进的角度重新审视,企业应该对Web安全网关有何期待,以及基于云的SWG和企业内部SWG设备部署之间的差异。
Web安全网关功能
• URL过滤
• HTTPS扫描
• 恶意软件检测,入站和出站
• 威胁情报源
• 移动支持
• 应用控制
• 数据丢失防护(DLP)
• 威胁和流量可视化
鉴于威胁格局瞬息万变的性质,企业应该注意控制质量,比如URL过滤、恶意软件检测和DLP支持存在的显著差异。例如,过滤和检测技术近年来已经得到显著改善。为了解决过时黑名单的问题,SWG现在依靠多种类型的分析方法,包括信誉分析、实时浏览器代码扫描、行为分析、内容控制和数据指纹等。
现代SWG的另一个显著进步是管理员在控制Web、电子邮件和数据流量时,具有更大的灵活性和细粒度。管理员可以分析和阻止动态Web页面中的个别元素, 并能在一天中特定时间或者当服务到达预定阀值时访问特定服务。可以根据内容类别为上行和下行流量指定带宽利用率参数,还可以根据特定访问要求为用户和组调整带宽利用率参数。
为了保持设备获取最新威胁和攻击信息,很多Web安全网关产品加入了来自云服务的智能情报信息。DLP支持越来越多地应用于各种移动设备,而移动设备是支持BYOD企业的关键要素。通过结合安全分类与自定义数据集,内容意识的数据丢失防护也同样在改进。很多SWG还支持“回呼(call home)”检测,或者对寻求远程指令的恶意软件发出警报,以帮助覆盖所有盲点。
可视化看起来像是一个花哨的功能,但它能使管理员轻松地发现网络中需要进一步关注的热点。例如,对捕捉流量的可视化可以快速找出试图利用网络邻居寻找可利用漏洞的被感染设备。此外,管理员还可以观察带宽利用率或实时网站访问情况,这可以对网络使用情况以及规则变化对生产力和安全性的影响提供更好的洞察力。这也让部署复杂的规则,使其按照预期执行的操作变得更加简单。
Web安全网关部署趋势
在如何部署Web安全网关方面,根据Gartner公司的最新Web安全网关Magic Quadrant 2012显示,企业内部企业级设备仍然占市场主导地位,但基于云的SWG即服务的细分市场正在迅速增长。此外,还有结合企业内部和基于云SWG元素的混合部署设备。
为了最大化当今SWG提供的优势,企业必须了解自身需求,以及企业内部、基于云或混合SWG部署各自的优缺点。通过基于云的SWG服务,企业可以向所有用户部署相同的保护和政策,而无论其身处何处,但企业必须选择一个能够整合其现有基础设施的基于云的SWG。对于企业内部SWG,企业必须使用代理服务器架构以处理所有Web流量。通过迫使所有web流量在该代理服务器停止,网关可以确保在未经检验或控制的情况下,没有流量流入或流自互联网。可以替代SWG的部署,例如TAP部署会通过网关来观察经过的流量,因为有流量流向网络侧边。如果由于流量没有被拦截,网关不能像内嵌设备一样及时检测到威胁,恶意软件或其他威胁可能会悄悄进入网络。这种方法对于执行组织策略很适用,但它绝对不是抵御web威胁的可靠方法。
最后,与大多数web安全技术一样,Web安全网关产品的营销材料堆砌着各种广告词,例如独特、最佳以及行业领先。企业在评估某个设备是否能满足企业要求时,应该尝试忽视这些在很大程度上毫无根据的说辞,而根据企业预先制定的必须具备功能列表,将可选产品范围进一步缩小,然后,根据价格、性能测试以及其他客户的建议来做出最终决定。
毫无疑问,web安全网关近几年发展非常迅速,新增了很多令人印象深刻的新功能,但单靠进步并不能保证成功。对当今产品能做什么,以及它们如何满足企业的需求进行仔细全面的审查,是选择正确web安全网关产品的先决条件。