透過雲端環境的運用,原廠以代管形式直接對中小企業用戶提供防毒軟體服務(SaaS),逐漸興起,目前市面上,像是趨勢、Symantec、F-Secure和Sophos等資安廠商,都已經推出相關方案。

由於企業端的用戶端電腦大多是Windows平臺,這些防毒SaaS所保護的對象,也都以Windows電腦為主,基於愛屋及屋、雨露均沾,或是亟欲推廣到中小企業的考量,多家防毒資安服務對於Windows Server的防護,也都被涵蓋在內。

在早期,多數公司為了系統效能考量,以及本身有網路防火牆、UTM、甚至設置了專用防毒牆,所以不傾向在伺服器上安裝防毒軟體,而有些廠商當時在套裝軟體的包裝上,也往往將伺服器防毒應用的功能獨立出來,成為不同的版本,例如Windows File Server,因此對於需要這麼做的公司而言,IT人員在採購企業防毒軟體時,往往要注意是否同時包含到Windows Server的版本使用授權,而需個別選購。

到了雲端代管服務當道的現在,上述作法趨於簡化,大部分廠商的方案均可將代理程式安裝到Windows Server上,並能將這些伺服器列管,以政策強制實施來協助做到資料中心端的端點防護。

不過,這個情勢最近又有些變化。像是Sophos Cloud這套端點安全SaaS服務上,在2014年11月的時候,又特別針對伺服器端防護應用,推出了名為Sophos Cloud Server Protection的版本。

該版的功能主要是能將那些安裝Windows Server作業系統的電腦,從所有Sophos Cloud所列管的端點設備中,特別獨立出來予以操控,管理者能針對指定的伺服器套用專屬的整機安全政策,而不是只針對登入該臺電腦的特定使用者;此外,也能自動辨識常見的伺服器應用程式,而不需為此設定複雜的惡意程式與網站掃描例外規則。

Sophos Cloud的用戶端與伺服器端之間的基本架構。左邊是受控管的各種用戶端電腦,就算電腦是在公司內部網路環境以外,例如在家上班、行動辦公或是在駐外辦公室/分公司工作的使用者,都可以被這樣的端點防護方案所涵蓋到。右邊則是管理端,分為架設在雲端環境的管理伺服器,以及透過瀏覽器登入系統的管理者。

為Windows Server防護而設立的版本

整體而言,Server Protection仍然是架構在Sophos Cloud的環境之上,該公司也將這次的發布,稱為Sophos Cloud v3。

相較於過往,v3包含兩大部分:

首先,就是上述的Server Protection,由於這次功能僅著墨在Windows Server平臺,因此Sophos內部也稱之為Windows Server Protection (Standard)。

事實上,若就Sophos伺服器防護方案的授權類型來說,目前總共分為三種產品,其中的Server Protection for Windows, Linux and vShield,以及Server Protection Enterprise,都是屬於管理平臺架設在用戶端環境的專屬套裝軟體,皆可保護Windows、Linux環境下的伺服器,並且整合VMware vShield Endpoint,提供無代理程式的伺服器防護,但差別在於前者並不支援HP/UX、Oracle Solaris、IBM AIX等Unix環境;而屬於雲端SaaS服務型態的,是另一套產品Sophos Cloud Server Protection Standard,目前僅防護到Windows Server環境,未來將會針對Linux平臺的伺服器提供安全管控能力。

有了Windows Server Protection (Standard)之後,Sophos Cloud的管理主控臺網頁介面,僅增加了一個名為Server的功能分頁,其餘部分的主設定項目幾乎不變。

若擁有Cloud Server Protection Standard的授權,對於列管的Windows伺服器,預設將啟動自動例外的原則,系統的惡意程式掃描作業若存取到Exchange(2010版~2013版)、SQL Server (2005版~2014版)等應用系統所專屬的資料夾,會自動忽略掃描(Automatic Exclusions)。

這裡也提供進階的資料夾例外掃描設定功能,以及周邊裝置控管政策。前者可讓管理者針對四種鬆綁需求來新增例外條件,例如:檔案或資料夾路徑、應用程式處理程序(關鍵字,可搭配萬用字元)、網站(DNS名稱或IP位址)與潛在非必要程式(Potential Unwanted Application,PUA)的名稱。

僅提供惡意程式掃描與阻擋瀏覽惡意網站、HIPS

與針對一般用戶端電腦與行動裝置管控的Sophos Cloud相比,Server Protection所提供的政策設定項目數量較少,像是網頁存取控管(Web Control)、電腦外接裝置控管、MDM,這裡都不提供。由於這些防護在伺服器環境應用的需求少,必要性原本就比較低,所以少了這些功能,其實也無傷大雅。

Server Protection所提供的政策選項,只專注在掃描──可即時偵測伺服器目前正在執行的應用程式與存取的檔案,找出並隔離那些具有惡意的檔案或是病毒檔。但這裡的選項比較細緻,例如,對於內部網路環境的存取,管理者可自行選擇是否掃描本機伺服器與遠端存取的檔案,甚至能做到僅針對資料在讀取或寫入時,才執行即時掃描;對於網際網路的存取,例如檔案下載與網站瀏覽,Server Protection也可允許管理者自定是否同時進行即時掃描。

即時掃描設定項目下,也有一些選用功能,像是上述的自動忽略掃描、可阻擋惡意存取行為動作的主機入侵防護(HIPS),以及Sophos特有的雲端防毒信譽服務Live Protection整合、自動提交惡意程式樣本檔給Sophos原廠,這些也都可以由管理者設定停用或啟用。

至於Server Protection排程掃描,則跟原本的Sophos Cloud一致。系統也設定期掃描伺服器中的檔案與資料夾,管理者可自行調整排程掃描作業週期,不過只能以每週為單位,去設定其中幾天的特定時段下,自動執行掃毒工作。此外,若要強制掃描硬碟或網路儲存上的壓縮檔,也可在這裡指定,代理程式就會自動解開ZIP、CAB等壓縮檔,來掃描當中是否包含惡意程式。

Server Protection的政策是獨立的功能分頁,有別於一般用戶端電腦的控管政策之處,在於更聚焦於提供掃描惡意程式的細部操作選項。管理者可自行取消或啟用即時掃描的某些操作,以進一步降低對伺服器本身的存取效能影響。這裡也特別提供了自動排除掃描(Automatic Exclusions)的輔助選項,可忽略Exchange和SQL Server所使用的預設資料夾,以免衝擊這些應用伺服器的I/O性能。
而這裡的排程掃描的選項,則與Sophos Cloud的用戶端防護政策一樣,僅提供以每週為單位的執行設定選項

除了自動排除掃描之外,管理者也可以手動新增一些不想被防毒程式掃描的系統物件,例如伺服器端的檔案與資料夾、網站、應用程式。

當管理者從網頁介面登入時,若點選「Server」的分頁,系統會以清單方式呈現目前受Sophos Cloud Server Protection控管的伺服器端點。

若再進一步點選指定的伺服器,Sophos Cloud會顯示出各臺伺服器詳細的資訊。以上圖為例,左側列出伺服器的基本資訊,右側則列出這臺伺服器裡面所發生的系統重大事件。

在詳細檢視的項目當中,管理者除了可以瀏覽伺服器上的事件,也可以查看自動排除掃描所定義的資料夾,在圖中,Sophos Cloud Server Protection已經納入了兩大類型的例外,一個是微軟內建在Windows Server上的網站伺服器平臺IIS所用的資料夾,另一個是Exchange伺服器的資料夾。

若用戶原本使用的是一般Sophos Cloud授權,像是Endpoint Protection Standard、Endpoint Protection Advanced、Enduser Protection等,後續才加購Server Protection,既有的Windows Server電腦需透過一些方式,才能歸到Server Protection的功能上。
Sophos Cloud在管理主控臺的裝置列表上,提供了升級至伺服器的按鈕或是下拉式選項,讓IT人員能夠從遠端執行快速、大量的升級作業。

上圖是Sophos Cloud現有各種不同授權版本的功能比較,這裡可看出最右邊的Server Protection與左邊其他版本的差異所在。

產品資訊

●建議售價:Cloud Server Protection Standard版,每臺伺服器為2,188元(50-99人環境),包含防毒、防間諜軟體、雲端防護、網頁瀏覽防護、例外管控原則

●原廠:Sophos(02)7709-1980

●管理主控臺系統需求:微軟IE 10/11、Mozilla Firefox、Apple Safari、Google Chrome

受監控的伺服器

●作業系統需求:Windows Server 2003/2003 R2/2008/2008 R2/2012/2012 R2

●記憶體需求:1GB

●硬碟空間需求:1GB


Advertisement

更多 iThome相關內容