客户、供应商和分析家常常会问:哪些安全功能属于端点层面?而又有哪些安全功能属于网络层面?虽然无法为这两类安全功能划清界限,但当公司在构建其端点及网络安全体系架构时,却需要考虑以下关键要素:
以我们所使用的反病毒(AV)为例。 AV长期以来大多被部署在终端部分:笔记本电脑、台式机、服务器等。之所以这样,主要出于以下原因:
•强烈的处理和隔离要求(如对大型文件,甚至某些图像等)使之变得困难重重。如果非要在高流量网络设备上这样做,那么无疑会影响很多用户的流量(而用户流量则在不断变化) 。另一方面,将其分散并做成小块,(如,通过由每台电脑/台式机或服务器来针对各个用户或应用程序的具体内容)将非常实际可行。
•当员工需要在家中或在路上使用电脑上网,您的企业网络中没有任何网络设备能由此帮助您阻止病毒从该系统进入公司网络。相反,你必须依靠端点AV ,然后借助访问控制解决方案,以帮助用户接入企业网络。
•加密,许多连接到第三方网站的行为不受公司控制,这些连接通过HTTPS加密,因此,最好的并且唯一的选择是对端点进行扫描。
这并不意味着网络设备不需要防御病毒。这是因为你对端点做反病毒并不意味着你可以对网络反病毒置之不理(反之亦然)。例如,许多公司认为在前端邮件服务器方面(尤其是考虑到电子邮件的存储和转发特性),采用AV的强大的专用电子邮件网关配合防垃圾邮件等网络设备,是一种很有意义的方式。
对那些您允许分流(直接互联网接入,比如承包商、访客等),但又无法控制其使用何种设备接入公司网络的分支机构而言, 很有必要在分支机构使用内嵌式AV以及访问控制解决方案,以防病毒潜入网络。这使得在分支机构以广域网连接速度进行AV扫描,变得很有意义。
另一个产生关于"网络安全与端点安全"问题的例子出现在对远程访问和局域网接入解决方案的讨论方面,如SSL VPN和网络访问控制(NAC) 。关键在于,当选择访问控制解决方案时需要考虑两个端点和实时数据网络安全(除终端用户的"身份"和"位置"以外),以决定"哪个用户/角色能够访问我的网络,并能够接入何种级别的应用程序/服务。"
瞻博SSL VPN以及UAC解决方案是两个不错的例子。这两种方案能够以一种开放标准的形式为客户提供检查并评估端点安全状态,以及从IPS获得实时网络威胁数据的能力。AV网络装置能为用户提供接入。通过允许双方-无论您的主机是否基于IPS或者基于网络IPS(或者基于二者),无论该设备是否由一个不在你控制范围的实体所有(如,合作伙伴、承包商、客户),亦或在你控制之内(雇员使用固定笔记本电脑) ,等等–企业现在可以使用从端点和网络全方位安全数据来进行正确接入。