iThome
企業版與個人版的防毒軟體,最大的差別在於集中控管的平臺的有無,在臺灣有高達97%是中小型企業,但對他們來說,以往只能兩者擇一。
在企業的資安防護而言,防毒軟體就好像房屋門鎖,但光是有鎖,並無法防止小偷從陽臺爬窗戶入侵,另一方面,也要確保屋子裡面的人沒把門關好,以免竊賊有機可乘闖空門,因此限制內部電腦能夠瀏覽的網站,以及可連接的USB裝置管制,也同等重要。然而,對於只能做到單點防護的個人版軟體,管理者必須每臺電腦逐一設定,後續的防護,可能就要由使用者自行判斷。如有主控臺集體遠端設定,快速且方便。
但是,要自行架設主控臺,對這些企業而言並不容易,除了建置的費用,光是要維護這臺機器,就相當麻煩,更何況組織編制中不一定有MIS,想要管理也並非易事。
近兩三年來,開始陸續有廠商推出採用雲端主控臺的解決方案,價格也與個人版防毒軟體差不多,最低價者每臺電腦一年的授權費用不到1,000元,對於規模較小的企業終於有了新的選擇。
這種架構,乃是由防毒廠商提供線上管理平臺,對於有意採用的企業而言,可以隨時線上申請使用,管理者即使外出也能夠直接操作。這個管理平臺的功能,也與一般架設內部的主控臺功能類似,同樣可以設定管制政策,限制電腦不能連線到某些網站,或是管制工作站可外接的裝置等,以符合資安要求。由於控管在雲端平臺,員工若是帶著公司的筆電出差,只要連線到網路,就受到管理與保護,不若一般內部建置架構的企業防毒系統,僅能用於區域網路。
但這樣的產品並非完全沒有缺點,例如企業內部只允許使用內網的電腦,在雲端的外部主控臺便無法直接連線管理,雖然像Sophos Cloud與Symantec Endpoint Protection Small Business Edition產品,可藉由連接外網的電腦當作快取伺服器,讓這些內網電腦能取得最新版本的端點程式與病毒碼。不過,想要管理這些內部網路電腦,可能就需要架設專用的管理伺服器及主控臺。
現在許多防毒廠商在中小企業的方案中,同時提供這兩種主從式架構,不過,普遍來說,雲端主控臺缺少自建主控臺架構產品的部分功能。例如以趨勢Worry-Free Pro雲端服務而言,就不支援垃圾郵件防護的功能,而BitDefender GravityZone Advanced Business Security的雲端服務,則不能管理行動裝置。
而我們這次測試的5款產品來說,主控臺仍然採用單一的帳號密碼認證機制,難保管理者的不良習慣,使有心人士可以容易取得這些資料,連線主控臺修改公司政策設定。尤其現在許多線上服務都具備雙重或是多重機制,我們認為身為資安管控的入口,應該也要採用更嚴謹的認證方式。
管理介面同時顯示摘要資訊,與詳細記錄,MIS可在同一頁面檢視,並匯出報表
許多雲端防毒主控臺產品優先顯示重點資訊,若想要檢視詳細的記錄,可點選摘要察看進一步的內容。而Sophos Cloud也在這些記錄的頁面上,優先顯示最重要的訊息,因此在同一個頁面可快速瀏覽,或是找尋可能有問題的執行記錄。
提供以群組設定限制政策的措施,不再倚賴內網的AD架構
雲端的防毒主控臺,與傳統架構有很大的差別,因為主控臺並沒有與公司內部電腦在同樣的網域,對於電腦的管理,不再那麼依賴Windows AD架構。
不過,我們這次取得的產品中,還是有可整合AD身分認證的解決方案,例如Sophos Cloud可透過在網域中的電腦執行同步程式,擷取AD身分認證資料,將使用者與所用的電腦整合。而這款產品的設計出發點,在於Sophos認為,同一個使用者在不同裝置上,所需要遵守公司內部上網規範應該要相同。不過,McAfee Endpoint Protection for SMB與Symantec Endpoint Protection Small Business Edition的雲端服務產品,並未支援AD認證,想要這個功能,必須採用傳統自架的主控臺。
也因為與網域架構沒有直接關連,這些解決方案大多都有各自針對端點用戶的管理,分別是對使用者透過採取群組分類,並設定對應的政策,達到公司資安規範的要求。以趨勢的Worry-Free Pro為例,這套產品可針對指定群組建立端點安裝程式,因此當使用者透過收到的信件,依照指示下載,執行安裝完成後,這些電腦就會自動納入管理員設定的群組中,省下管理者必須自行依據電腦名稱歸類的情況。
這些群組機制的目的,還是在於提供管理者可統一管制多臺電腦,並針對不同的使用者,配置對應的管控措施。
限制用戶端上網行為,是現在企業防毒的標準配備,同時也時段管制
趨勢Worry-Free Pro的主控臺在上網行為提供許多管制方式,除了標準的黑白名單機制外,還有採用趨勢的內容類別的過濾規則,可設定上班時段及上班日,並能詳細限制可使用時段。
防護重點以Windows為主,並擴及其他作業系統
這次我們測試的產品,幾乎都支援Windows與Mac OS X作業系統的工作站電腦,不過,像是防火牆、HIPS防護,以及控管外接周邊裝置(USB儲存裝置、光碟片、印表機等等)機制,大多只有Windows版提供。因此,我們這次端點防護功能的比較,以檢視Windows平臺為主。
針對最新的Windows 10作業系統,這次的5款產品都有支援,這款作業系統正式推出接近4個月,甚至最近還推出名為11月更新的重大改版,雖說這類改版規模,不像作業系統改朝換代的差距頗大,不過照這個發布時程看來,未來微軟改版的速度會更頻繁。
但改版難免會有相容性問題,而這也突顯雲端平臺的優勢,廠商可隨時直接從主控臺推送最新版的修補程式,減少端點不相容的情況。
而這些方案也都支援Windows Server 2012 R2伺服器平臺,值得一提的是,在端點防護程式的支援,除了Sophos Cloud以外,都採取所有電腦裝置均一價的策略,也就是取得伺服器版防毒軟體與工作站電腦的價格相同,比起單機版伺服器專用軟體而言,便宜許多。
另外,雖然微軟已經宣告Windows XP與Windows Server 2003產品生命周期已經結束,但目前5家廠商都有支援,仍採用這些作業系統的電腦,至少能夠取得基本的防護能力。不過,由於微軟已經不再修補系統漏洞,若要繼續使用,就要採用其他防護措施,除了防毒軟體,企業或許也要考慮在閘道端部署防火牆。
值得一提的是,針對行動裝置,這次趨勢Worry-Free Pro與Sophos Cloud同時具備Android與iOS裝置管理與防護,而McAfee EndpointProtection for SMB的方案則是可支援Android平臺產品。雖說在中小企業較少有公司配發員工智慧型手機的情況,不過,如果企業想要採取防護措施,也有工具可以使用。
用戶端程式也能提供豐富的管理者設定選項,配置掃描方式與開啟進階的防護功能
設定簡單、好上手是許多中小企業雲端防毒軟體服務的主要訴求,但也有一些廠商,在這樣等級的產品裡,引進中大型企業環境也能適用的進階設定項目,以圖中的McAfee Endpoint Protection for SMB為例,它所搭配的McAfee Endpoint Security用戶端程式預設只呈現基本狀態,一旦管理者輸入密碼後,即可開啟更詳細的設定項目。
有了雲端架構,大幅降低防毒集中管控的導入門檻
這些解決方案,最低限制都是要購買5臺電腦(或5人)的授權,換言之,取得這類產品的門檻其實並不高,由於價格已與個人版差不多,甚至對於裝置較多的家庭用戶,其實也可以考慮使用這樣的方案。
而且廠商將主控臺以雲端服務提供的機制,使得申請導入或是試用都相當快速,可直接線上申請,開通主控臺,就能開始部署端點程式。企業取得防毒軟體的方式,也與以往非常不同。
甚至,像趨勢Worry-Free Pro採取更進一步的作法,結合在地優勢,針對臺灣的小型企業特性,將產品與專家客服結合,協助沒有專屬資訊人員的公司,解決使用的疑難雜症,或是由廠商或代理商協助管理,而平時也會檢視客戶使用有無尚未得到解決的中毒情事,減少客戶使用與管理上不足產生的狀況。而這是以往沒有出現的做法,會不會接著其他廠商也推出類似的解決方案,值得後續觀察。
提供關鍵字過濾規則,強化個人機敏資料保護
針對個人資料保護政策,BitDefender可進行偵測規則設定。這個保護範圍包含住家地址、電話號碼、銀行帳號、信用卡卡號、密碼等資料,不過由於只有簡略的說明,沒有範例,管理者想建立關鍵過濾字串並不容易,但它是在同類型產品中,少數提供這樣的保護機制的主控臺。
雲端管理功能漸成氣候,企業能否無痛轉換或回歸內部管理?
乍看之下,大部分的雲端主控架構,是從現有的傳統內部主控臺轉型而成。不過,這兩種主控臺卻又有不可直接取代的特性,包括雲端主控臺可以快速建置,企業只需付費就能使用,而不需花費建置後的維護成本,可是,這種架構卻不適用於封閉的內部網路端點防護,但在公司內部架設主控臺,則是難以管制所有攜出企業外部的電腦。
我們這次測試的產品,多半仍定位適用於中小企業規模,雖說與傳統主控臺的產品功能仍有差異,但已經相去不遠。以BitDefender針對中型與小型企業的Business Security來看,針對較小規模的標準版本,兩種版本已經功能完全相同,而進階版本才有管控行動裝置能力的差異。
但是,這類產品規格單一,因此未來想要更進階的功能,企業仍然得考慮較大型的方案,而且幾乎只有公司自行建置主控臺主機一途。
而Sophos Cloud是其中的例外,他們採取全面性的雲端架構,一統各種等級的產品的管理,甚至它的管理畫面,更打算整合旗下的軟體與硬體防護產品──例如XG Firewall實體防火牆。不過,對於企業而言,若是全部的防毒與管理都上了雲端之後,未來想要回歸傳統架構,還有回頭的餘地嗎?抑或這是一去不回頭的趨勢?
另一方面,對於企業來說,可能因應只能使用區域網路的內網電腦,以及常要攜出公司的裝置,兩種架構的防護措施同時採用,形成同時採用兩種以上防毒軟體的情況,是否有辦法得到整合?在現在混合雲的運用議題正熱門的同時,若是防毒廠商能將兩種版本合而為一,管理者可自由選擇要採用自建主控臺或是位於雲端的管理介面,也較符合現在各家廠商正將個人版的授權管理,以及企業端的產品管控集中化的做法。
管理主控臺有兩種,可從雲端網站介面或專屬程式操作擇一使用
為了簡化管理者的日常作業,以及無需佔用一臺伺服器作為管理防毒軟體專用設備的負擔,一些中小企業防毒軟體服務,也開始提供由廠商所代管的網頁主控臺,以Symantec Endpoint Protection中小企業版為例,申請試用時,原廠網站主要推薦的是雲端管理方案。若希望將管理伺服器建置在企業內部網路環境,廠商也仍然提供傳統的軟體安裝方式。
在員工網頁行為控管之外,這類產品應考量加入個人隱私保護
採用雲端管理平臺的主從式架構防護產品,雖然提供了個人版所沒有的集中管理能力,不過也相對普遍缺乏近年來個人版強調的個人資料防護功能。
在企業當中,員工先自行付款採購,再向公司請款,其實是相當常見的採買模式,而現在線上刷卡的機會又比以往增加許多,若員工使用這種方法付款,針對個人資料的防護措施其實也相當重要,尤其是這些資料若是遭到盜用,可能也代表公司的防護門戶大開,其他人的會有同樣的風險。
此外,在手機與平板電腦等行動裝置之外,物聯網(IoT)裝置的防護議題也不能忽視。以往類似的裝置,可能採取封閉式的架構,因此沒有防護機制也還好,不過,IoT裝置講究輕薄短小,功能單純但卻相當倚賴網路,若是沒有任何保護措施,這類裝置與伺服器之間傳輸的資料,也很容易遭受攔截。
而與行動裝置不同的是,這些裝置多半是員工所擁有的設備,列管與否尚有討論的空間。不過,IoT裝置可能會是公司的電子看板等設備,透過無線網路可直接置換展示內容,若是沒有防護,很可能產生企業資安的漏洞,成為有心人士的跳板。根據趨勢科技2016年未來資安預測,這類裝置極有可能成為駭客下一個目標。因此在現有的電腦與行動裝置平臺之外,將物聯網裝置納入企業防護範圍,或許會是下一個兵家必爭之地。
5款雲端主控臺防毒服務產品功能比較表 |