說到許多人最害怕的事情之一,莫過於會把檔案加密的勒索軟體。使用者很可能在收到來路不明的電子郵件,點選裡面的連結之後,便啟動了這類惡意攻擊,或是被帶到具有這類軟體的惡意網站,過一段時間之後,就發現電腦裡面的檔案遭到加密了。

即使有些使用者具有比較良好的資安意識,知道避免點選電子郵件裡的這類連結,也很有可能在上網的時候,遭受到類似的攻擊。如果企業只倚賴端點電腦的防毒軟體,由於大多數的惡意程式解析都在使用者這端,相當耗費個人電腦的運算效能,甚至可能會影響到使用者的生產力。

而若是透過網頁安全閘道提供多一道防護,事先阻擋可能有問題的網址、惡意攻擊行為,對於提升企業的安全性幫助相當大。雖然UTM也有網頁安全防護功能,但實際上要做好使用者上網的把關,對於設備的負擔相當大,因此採用專屬的網頁安全閘道設備有其必要性,在考量人力與金錢等成本,又不想要在機房多擺放一臺機器,採用雲端服務或是虛擬版本的網頁安全閘道,就能符合這樣的需求。

能簡易符合資料保護法規要求
在企業中,具有敏感性的隱私資料,必須因應特定的法律規範要求,以McAfee Web Gateway為例,就提供這種快速設定的政策選項,管理人員只要依據公司需要遵循的法規,勾選套用有關選項即可。

採用虛擬版本部署,可享有快速建置並保有硬體擴充的彈性

以往網頁安全閘道產品,大多都以硬體設備型式,或是將網頁安全閘道軟體安裝在企業自備的伺服器中。但無論是採用硬體設備還是軟體部署,都擺脫不了事先必須評估,需要配置那種等級的硬體效能,才能負荷所有使用者上網的流量掃描?會不會選擇太高階的硬體設備,而造成採購上負擔?

而隨著虛擬化技術的成熟,這些廠商陸續推出針對虛擬化設計的版本和雲端服務,我們之前在一月份的時候就介紹了雲端服務版的網頁安全閘道,卻也發現這類產品,大多雖然能夠線上申請就立即開通,但是功能上比起企業內部建置的硬體設備或是軟體來說,就較為精簡,例如同樣是基於Forcepoint的產品技術,AP-WEB Cloud的資料防護措施上,只提供監控的功能,而不像在企業內建置的AP-WEB能夠選用功能較為豐富的AP-DATA模組,針對指定國家與需要遵循的法規,提供相關的阻擋功能。

而同樣的情況,也在McAfee的雲端服務SaaS Web Protection中出現,它所提供的網路狀態資訊就不像在企業內部署的McAfee Web Gateway(MWG)那麼豐富,也不像MWG擁有進階設定模式,可以設定政策的內容執行順序。此外,政策設定只能由MWG套用到雲端服務,而無法反向同步。

不過,也有兩種版本的功能各有特點的做法,像Sophos推出的雲端服務Cloud Web Gateway,就整合企業內部架設的Web Appliance所沒有的Sophos實驗室網路安全情報,但企業內部架設的版本則能在儀表板中,隨時得知當下的網路負載情形。

因此,採用虛擬版本的網頁安全閘道,就能在功能毋須精簡,保有與硬體設備和軟體建置相同的防護能力之下,具備接近像雲端服務能夠快速導入或是建置的特性。

管理介面採用的網頁技術應趕上時代潮流

在我們這次測試的產品裡面,基本上只要在網頁安全閘道中,設定好IP位址等初始設定之後,接下來只要透過瀏覽器連線到管理主控臺,就能進行相關的管理。但這次也有像MWG,管理者電腦必須安裝JRE(Java Runtime Environment)軟體,才能執行管理主控臺。

以往採用JRE的應用程式,或是由瀏覽器搭配Java外掛程式,可以提供較為豐富的操作介面,並且能夠提供跨平臺的一致性操作體驗。然而現在,我們不時聽聞這個軟體的安全性漏洞,甚至主流瀏覽器已經開始封殺這樣的技術:像Google Chrome完全停止支援,而Firefox則是預設不會啟用外掛功能,在這種態勢之下,Java從改善操作介面互動性的推手,變成人人喊打的過街老鼠。

這種情形普遍出現在各類系統的管理介面上,但網頁安全閘道的賣點,偏偏就是防護企業的上網安全,當年為了改善管理者的使用體驗,廠商採用了這樣的技術,很難想到現在會演變成讓買家覺得產品落伍的象徵。

但這也不代表廠商沒有應用較新技術框架,像趨勢的IWSVA停留在靜態網頁技術就是好事。尤其現在使用者都操作過各式各樣的動態圖表,甚至是我們之前介紹過、可申請馬上使用的雲端服務版本,普遍來說,它們的主控臺介面設計質感,都比企業內部建置版本要來得好,也幾乎不需要額外外掛程式。

我們並非認為管理介面一定要相當的華麗、酷炫,只是在網頁趨勢已經大幅轉變的情況下,廠商也應該適時跟上這股潮流。

 

 各家部署虛擬設備的作法並未統一 

每一家廠商對於網頁安全閘道虛擬化的定義可能有所不同,對於導入的IT人員來說,可能最希望取得的,是在虛擬化平臺能夠直接導入的OVF或是VHD等虛擬機器檔案,而這是其他提供虛擬化的網路設備產品中,已經相當普遍的部署型式。

我們這次的產品測試,主要希望以虛擬設備來建置網頁安全閘道,不過,McAfee Web Gateway仍以安裝光碟提供。

雖然這種部署方式,對我們而言,與能夠直接導入的虛擬機器期待有所落差,不過以實際建置的過程來說,由於採用廠商自行修改的Linux作業系統為基礎,安裝的過程需要的額外設定並不多,因此,不論是使用ISO映像檔安裝,或是直接導入虛擬機器檔案,在網頁安全閘道上都需要完成基本的網路設定,之後再透過瀏覽器連線到管理主控臺,執行相關的政策管理或是狀態監看。因此採用安裝的方式,在建置的便利性上,與直接匯入採用OVF和VHD檔案的差異不大。

然而,我們測試時,還遇到一個混合使用的例子,像Forcepoint在產品設計架構的不同,它的管理主控臺伺服器必須獨立於網頁安全閘道之外,因此對於IT人員就必須以2臺虛擬機器建置。但麻煩的地方在於,因為管理主控臺受限於指定的Windows Server作業系統與資料庫環境,在建置時必須先準備1個這類作業系統的VM,再執行管理軟體的安裝。而我們在實際架設測試環境時,也花費較多的時間在配置這套主控臺伺服器上。

雖然,之後若要再建置第2臺網頁安全閘道時,由於不需再重新架設管理主控臺伺服器,就能與運用虛擬設備的特性,快速建置。但是這樣的部署經驗,在這套網頁安全閘道上,並沒有充分發揮虛擬設備部署的便利性,若是後續版本的管理主控臺也能提供快速建置的OVF或VHD檔案,對於想要部署這套產品的IT人員來說,將會輕鬆許多。

這也突顯了認知上的差異。廠商對於提供虛擬設備版本的網頁安全閘道產品,理想上,應該是針對VMware ESXi或是微軟Hyper-V等虛擬化平臺性能最佳化後,再封裝成虛擬機器檔案。但實際上,很可能礙於原本的軟體架構,以致於廠商推出的虛擬設備版本,變成只是半調子,雖然部署AP-WEB網頁安全閘道的速度相當快,但管理主控臺就要從架設Windows Server虛擬機器逐步開始做起,這與使用者期待採用虛擬版本的落差相當大,因此有待廠商多加把勁解決。

可快速建置的網頁安全閘道
架設虛擬版網頁安全閘道其實很容易,以Sophos Virtual Web Appliance為例,IT人員只要匯入OVF檔案之後,出現如圖中的文字介面時,只要輸入這臺VM的主機名稱,並且回答系統要採用的DHCP和DNS等設定之後,就完成第一步的設定,接下來較為詳細的步驟,都是透過網頁管理主控臺,進行後續的設定流程。

【相關報導請參考「網頁安全閘道虛擬設備採購大特輯」】


Advertisement

更多 iThome相關內容