StillSecure CTO访谈:全面介绍终端安全
来源:赛迪网  更新时间:2012-04-13

米切尔·爱希里(Mitchell Ashley)是StillSecure公司的CTO,负责产品策略及网络安全产品的开发。在最近一次接受外电记者的采访中,爱希里先生主要谈论了终端安全(end-point security),向企业提出新的挑战,并为企业提供保证终端安全的建议。


Q:IT专业人士一直在用“终端安全”这个模糊的词语,但几乎没人能讲明白到底这个词是什么意思。您怎样定义“终端安全”呢?

A:终端安全是一个应用非常广泛的词,实际上,对于这个词,有三种不同的定义。第一种是传统的定义,现在已经过时了,指反病毒软件和专用防火墙。近来,终端安全的意义已经得到扩展,通常指保护终端设备的安全,比如说,笔记本、台式机等的安全。这是以设备为中心的概念,强调IT机构管理的终端设备的安全。这个不包括为数不少的非IT机构管理的终端设备,比如客座人员、合同工及员工的家用PC。

时至今日,当人们谈到终端安全时,他们通常指得是网络访问控制,这是个以网络为中心的概念,强调所有联网的终端设备的安全,保证这些设备免受蠕虫、木马、病毒等的侵害,并符合组织安全策略制定的安全标准。用了真正的网络访问控制,设备就被隔离了,或者说是只有有限的网络访问许可。

Q:访问控制、防火墙以及遵守客户端的策略,和终端安全的关系是怎样的?

A:这是终端安全的三个方面,但每个工具满足不同的要求。

比如说,访问控制,允许网络管理员依据终端设备的安全情况来限制终端用户对网络的访问。

专用防火墙通过限制可被访问到的,并且和设备相关的网络服务来达到访问控制。

遵守终端策略是关于测试某终端设备的安全状况的,看是否满足预先设定的策略。

这些方案合起来就保证了终端设备安全连到网上。

Q:中央管理的客户端安全和终端安全怎样互相补充呢?

A:中央控制的客户端安全是终端安全的一个方面。虽然中央控制的客户端安全在企业所有及管理的网络,和控制室内终端方面运行得很好,但它不能够控制不受公司管理的那些设备,我们称为外部终端(foreign endpoints)。终端策略,特别是网络访问控制技术,不仅可以管理被管终端,还可以管理外部终端,比如合同工、客座人员及在家工作的员工的笔记本和PDA。

最为灵活的终端安全策略测试有许多选项的终端设备的安全,这些选项包括较少代理、ActiveX插件(网络安装的代理)及预安装代理。安全专业人士可以部署其中一个或几个的组合,以便为他们提供最好的工作环境。管理员应该向自己提的第一个问题是,他们是只关心企业管理的设备,还是关心所有连向网络的设备。这会决定他们的方向。举例来讲,如果管理员也要照顾到合同工、在家工作员工等人的话,应该选择一种基于代理的方法。这种情况下,真正的较少代理(agent-less,非ActiveX)是最好的选择。

Q:今天,终端安全面临的挑战是什么?

A:是这样一些解决方案,由于部署设备、现有设备管理等的开支问题,这些解决方案要求使用客户端(或代理)限制效力。真正的少代理方案,比如StillSecure的Safe Access,可以高效地解决受管及不受管的设备,具体的做法是为网络管理员提供一定的灵活性,允许他们基于员工的身份(比如,执行长官、普通员工等)和安全状况(要有效地达到预设的安全策略)给员工授权

许多公司发现仅仅对设备补丁级别和反病毒软件限制终端安全还不够全面。更成熟的终端安全产品,比如说Safe Access,除补丁级别和反病毒软件之外还能提供很多方面的安全检查。一个成熟的解决方案必须能够检查对等软件,浏览器、应用程序及操作系统的安全设置,并对怪异的木马、蠕虫及病毒进行前期检查。因为终端在运行反病毒软件,你绝不可能知道在连网之前,用户在什么时候就已经把设备搞瘫了。

Q:企业怎样才能保证终端的安全呢?

1. 围绕可与现有交换机、路由器、DHCP、VPN,以及像802.1X这样的在核心路由设施中获取支持的支持标准协同工作的成熟技术构建你的终端安全解决方案。

2. 平衡安排真正的少代理技术,来避开繁重客户端和基于代理的方法的陷阱及限制。更好的是,选择提供多种选项的技术,少代理、ActiveX和代理。

3. 现有的可平衡基础设施并且不需要彻底的基础设施更新的解决方案不需要新一代产品,并且为你应用802.1X做好了准备。

4. 可扩展性是很重要的;安全补丁和反病毒检测仅仅达到了最低的要求。一个健壮的解决方案必须扩展到应用程序和浏览器安全之中,加强安全标准,为感染性的蠕虫和木马做前期检测。

Q:您怎样看待终端安全在未来5年的发展?

A:像其它所有的技术一样,终端安全会发展成可适应更新的市场需求。无线设备飞速发展,它们在安全方面的需求会随之增长,这样对终端安全解决方案的需求也就更大。

许多公司都会偏离基于代理的测试解决方案,转向选择更为灵活的少代理解决方案,以适应无线时代。因为这个趋势,我们预见,会有更多的公司实施层次化的终端安全策略,自动地和其它策略(比如漏洞管理、入侵检测、入侵保护等)整合。