概述
隨著 SSL VPN 技術(shù)日趨主流,企業(yè)允許外部的用戶利用其內(nèi)部基礎(chǔ)設(shè)施,因此,端點(diǎn)安全性也就越來(lái)越受到關(guān)注。僅僅保護(hù)自己的資產(chǎn)免受惡意入侵者的攻擊已經(jīng)遠(yuǎn)遠(yuǎn)不夠了。企業(yè)需要保護(hù)其資產(chǎn),避免信任的員工從尚未安裝補(bǔ)丁的家用電腦進(jìn)行連接,還需要防止在開(kāi)會(huì)時(shí),這些員工在公用終端輸入他們敏感的認(rèn)證憑證。
遠(yuǎn)程訪問(wèn)既變得更容易,同時(shí)也變得更加復(fù)雜。IPSec 通常僅供員工使用,它具有嚴(yán)格的設(shè)置和特定的端口,并且無(wú)需進(jìn)行端點(diǎn)檢查。SSL VPN 使任意用戶都能夠更輕松地連接到網(wǎng)絡(luò)資源上,而由于同樣的原因,也使其變得更加復(fù)雜。隨著許多不同類型的用戶通過(guò)各種各樣的設(shè)備進(jìn)行連接,同時(shí)訪問(wèn)大量不同的內(nèi)部資源,要求對(duì)每個(gè)請(qǐng)求主體進(jìn)行檢查,以確保用戶和設(shè)備都是值得信任的,這一點(diǎn)變得愈加重要。
挑戰(zhàn)
SSL VPN 使遠(yuǎn)程訪問(wèn)向公眾開(kāi)放,而實(shí)現(xiàn)該訪問(wèn)所需的僅僅是一個(gè)瀏覽器,所以您不僅需要能夠檢測(cè)計(jì)算機(jī)類型(如,便攜式電腦、PDA 或信息亭等),同時(shí)還必須能夠檢測(cè)其安全狀況。由于市場(chǎng)上存在大量可訪問(wèn)互聯(lián)網(wǎng)的設(shè)備,因此,在任意給定時(shí)刻,都可能會(huì)有 Windows 計(jì)算機(jī)、Linux設(shè)備 和 WAP 電話同時(shí)要求訪問(wèn)。在用戶輸入認(rèn)證憑證前,對(duì)每個(gè)設(shè)備進(jìn)行檢測(cè),以確保該設(shè)備是您允許訪問(wèn)的設(shè)備,這一點(diǎn)是非常必要的。如果檢測(cè)失敗,又如何解決這個(gè)問(wèn)題以使用戶可以具有某種等級(jí)的訪問(wèn)權(quán)限?如果請(qǐng)求主體是可允許訪問(wèn)的,您又如何決定哪些是他們有權(quán)訪問(wèn)的內(nèi)容?并且,如果允許用戶和設(shè)備進(jìn)行訪問(wèn),那么采用什么機(jī)制才能夠保證他們沒(méi)有帶走或留下任何保密信息?關(guān)鍵的問(wèn)題是確保僅有“安全”的系統(tǒng)才能訪問(wèn)您的高敏感基礎(chǔ)設(shè)施。
實(shí)現(xiàn)該目標(biāo)的第一步是列出使用環(huán)境。同安全策略配合使用,為不同類型的用戶及他們可能使用的多種設(shè)備揭示使用環(huán)境和訪問(wèn)模式是非常重要的。下表是不同使用環(huán)境的一個(gè)很好的示例。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity1.gif")
圖 1:使用環(huán)境——資料來(lái)源:SSL VPN 中心
該圖表可能會(huì)發(fā)生變化,但是這一練習(xí)可以使管理員開(kāi)始制定端點(diǎn)計(jì)劃。該圖顯示了用戶類型、從何處進(jìn)行連接、誰(shuí)擁有并管理設(shè)備(如可能,還顯示了設(shè)備類型)以及是否允許 ActiveX 或 Java 下載(通常用于運(yùn)行端點(diǎn)檢測(cè)器)。工作環(huán)境也可能會(huì)發(fā)生改變,因?yàn)樵谀承r(shí)刻,通常通過(guò)公司電腦連接到 LAN 的“辦公室工作人員”,可能需要在一個(gè)開(kāi)放的 Wi-Fi 系統(tǒng)上訪問(wèn)他們個(gè)人電腦里的資源。立即識(shí)別這種改變是非常重要的,因?yàn)橛脩綦m然可能是有效用戶,但他們的設(shè)備也許是不可信任的,這時(shí)您應(yīng)該采用更精細(xì)的訪問(wèn)控制,僅允許他們?cè)L問(wèn)通常訪問(wèn)的子集。
解決方案
允許受感染的設(shè)備訪問(wèn)網(wǎng)絡(luò),同允許無(wú)效用戶訪問(wèn)專有內(nèi)部信息一樣糟糕。在這種情況下,可采用 F5 FirePass 強(qiáng)大的端點(diǎn)安全性。端點(diǎn)安全性可阻止已受感染的個(gè)人電腦、主機(jī)或用戶設(shè)備與網(wǎng)絡(luò)進(jìn)行相連。對(duì)已受感染的個(gè)人電腦進(jìn)行自動(dòng)重新路由可減少呼叫幫助中心的次數(shù),并防止按鍵記錄器和惡意程序?qū)γ舾袛?shù)據(jù)的竊取。
預(yù)登錄檢測(cè)
決定訪問(wèn)的第一步已不再是確認(rèn)用戶,而是首先檢查用戶正在使用的設(shè)備。預(yù)登錄檢測(cè)(見(jiàn)圖 2)在實(shí)際登錄頁(yè)面出現(xiàn)之前運(yùn)行,所以如果客戶端不符合標(biāo)準(zhǔn),則用戶無(wú)法獲得登錄機(jī)會(huì)。這些檢測(cè)和其它許多檢測(cè)器一起,可以測(cè)定客戶端設(shè)備是否運(yùn)行了防病毒軟件或防火墻,以及這些軟件是否為最新版本。
FirePass 可以將用戶引導(dǎo)入糾正頁(yè)面來(lái)獲得更多指示,甚至還可以為用戶打開(kāi)防病毒軟件或防火墻。檢測(cè)器可以搜索特定的注冊(cè)密碼或文件(這些密碼或文件是您公司電腦架構(gòu)/映像的一部分),以決定它是否是公司的資產(chǎn)。預(yù)登錄可以檢索擴(kuò)展的 Windows 和 IE 信息,以確保安裝了某些特定的補(bǔ)丁。如果根據(jù)這些檢測(cè),F(xiàn)irePass 發(fā)現(xiàn)客戶端不符合規(guī)定,但是用戶是經(jīng)過(guò)授權(quán)的用戶,則它會(huì)為該會(huì)話創(chuàng)建一個(gè)安全的、受保護(hù)的工作區(qū),并且使用戶可以用安全虛擬鍵盤 (Secure Virtual Keyboard) 輸入他們的敏感信息。該功能可利用 FirePass 易于使用的可視化策略編輯器 (Visual Policy Editor) 完成。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity2.gif")
圖 2:FirePass 預(yù)登錄檢測(cè)
可視化策略編輯器是一個(gè)簡(jiǎn)單的圖形用戶界面 (GUI),它使復(fù)雜的執(zhí)行簡(jiǎn)單化并靈活化。使用可視化策略編輯器,可以創(chuàng)建一個(gè)預(yù)登錄安全策略,該策略可對(duì)每個(gè)要求登錄 FirePass 控制網(wǎng)絡(luò)的端點(diǎn)系統(tǒng)進(jìn)行評(píng)估。FirePass 提供各種不同的預(yù)制模板,包括超過(guò) 25 個(gè)不同的防病毒/防火墻廠商、Google 桌面和客戶端證書,用于對(duì)策略進(jìn)行自動(dòng)初始化。它還允許您以空白模板開(kāi)始,從而進(jìn)行完整的定制構(gòu)建策略。管理員所需做的僅是“指向并點(diǎn)擊”,即可建立規(guī)則,并根據(jù)結(jié)果采取行動(dòng)。FirePass 集成的端點(diǎn)安全性為內(nèi)置,但同樣能夠與第三方端點(diǎn)檢測(cè)器共同使用,如,WholeSecurity 公司的 Confidence Online Server。
用戶輸入安全 FirePass 地址后,當(dāng)收集關(guān)于最終用戶系統(tǒng)的信息時(shí),用戶可以得到檢測(cè)的可視化指示。預(yù)登錄序列(見(jiàn)圖 3)根據(jù)評(píng)估來(lái)決定激活哪個(gè)檢測(cè)器。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity3.gif")
圖 3:FirePass 預(yù)登錄序列
如果順利,結(jié)果將會(huì)成功,用戶可以進(jìn)入登錄頁(yè)面。當(dāng)然,另一個(gè)結(jié)果就是拒絕登錄。告知用戶發(fā)生失敗的原因,以及解決問(wèn)題的方法:“我們發(fā)現(xiàn)您安裝了防病毒軟件,但沒(méi)有運(yùn)行。請(qǐng)啟用您的防病毒軟件再進(jìn)行訪問(wèn)。”在某些拒絕訪問(wèn)的例子中,F(xiàn)irePass 可以立即將客戶端重新引導(dǎo)至糾正服務(wù)器。您可以將他們自動(dòng)帶入用來(lái)改正或更新用戶軟件環(huán)境的糾正網(wǎng)站,無(wú)需任何用戶交互即可滿足預(yù)登錄檢測(cè)所要求的策略,從而不必拒絕用戶訪問(wèn),并寫出詳細(xì)信息。
如果管理員對(duì)設(shè)備仍然不確定,或希望實(shí)現(xiàn)可控制的訪問(wèn),那么就可以使用受保護(hù)的工作區(qū)。受保護(hù)工作區(qū) (PWS) 允許您在客戶訪問(wèn) FirePass 上對(duì)最終用戶打印、保存文件,或存儲(chǔ)信息進(jìn)行限制。它將用戶限制在遠(yuǎn)程系統(tǒng)上臨時(shí)的工作區(qū)內(nèi),該工作區(qū)包含臨時(shí)的 Desktop(桌面)和“My Documents(我的文檔)”文件夾。在受保護(hù)模式下,用戶不會(huì)無(wú)心地或意外地將文件寫入到臨時(shí)文件夾以外的位置。PWS 控制會(huì)在會(huì)話結(jié)束時(shí)刪除臨時(shí)工作區(qū)和所有的文件夾內(nèi)容。當(dāng)用戶在不應(yīng)存儲(chǔ)信息的設(shè)備上工作時(shí),如不受 IT 控制的拇指驅(qū)動(dòng)器 (thumb drive),受保護(hù)工作區(qū)尤為有用。
預(yù)登錄檢測(cè)在端點(diǎn)安全性中,是非常重要的第一步,因?yàn)樗构芾韱T能夠在允許登錄前對(duì)請(qǐng)求設(shè)備進(jìn)行評(píng)估。
受保護(hù)的資源
最后,隨著不斷擴(kuò)大虛擬網(wǎng)絡(luò)的持續(xù)增長(zhǎng),企業(yè)的內(nèi)部資源最需要受到保護(hù)。大部分企業(yè)并沒(méi)有必要讓所有的用戶設(shè)備一直能夠訪問(wèn)全部資源。和預(yù)登錄序列配合使用,F(xiàn)irePass 可以收集設(shè)備信息(如,IP 地址或時(shí)間),從而決定是否提供資源。
一個(gè)受保護(hù)配置可以通過(guò)預(yù)登錄序列收集的信息權(quán)衡風(fēng)險(xiǎn)因素,因此它們是配合使用的。FirePass 可以利用各種安全措施創(chuàng)建詳細(xì)的受保護(hù)配置。它可以檢測(cè)到一個(gè)登錄是否來(lái)自可信任的網(wǎng)絡(luò),端點(diǎn)運(yùn)行的是什么防病毒軟件,或客戶端正在使用的是哪種認(rèn)證方式。大量不同的檢測(cè)涵蓋了保護(hù)標(biāo)準(zhǔn)(見(jiàn)圖 3),如,鍵盤記錄器 (logger)、病毒感染、信息泄露以及非法訪問(wèn)。然后,管理員可以為每種風(fēng)險(xiǎn)因素選擇所需要的安全特性。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity4.gif")
圖 4:保護(hù)標(biāo)準(zhǔn)
例如,ABC 公司有一些承包商需要能夠訪問(wèn) ABC 的企業(yè) LAN。這在工作時(shí)間并不是什么問(wèn)題,但是 FCI 不希望在下班后這種訪問(wèn)還繼續(xù)。通過(guò)恰當(dāng)?shù)呐渲茫邪炭梢栽谙挛?10 點(diǎn)登錄, FirePass 能夠檢測(cè)到該時(shí)間;它還知道只有在正常的工作時(shí)間內(nèi)“承包商”才能夠訪問(wèn)他們所需的資源,這一時(shí)段是從上午 9 點(diǎn)到下午 5 點(diǎn)。“承包商”在正常工作時(shí)間能夠看到的網(wǎng)絡(luò)訪問(wèn)鏈接現(xiàn)在已經(jīng)消失了。如果用戶的端點(diǎn)保護(hù)不能滿足定義的等級(jí),則系統(tǒng)將不允許用戶訪問(wèn)資源。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity5.gif")
圖 5:端點(diǎn)安全性:受保護(hù)的資源
ABC 公司可能允許“承包商”在工作時(shí)間后訪問(wèn)某些 web 應(yīng)用(如,外聯(lián)網(wǎng)門戶),但不是完整的 SSL VPN 隧道。這種組合可能是無(wú)止境的,但 FirePass 端點(diǎn)安全性使這望而生畏的工作變得非常簡(jiǎn)單。
當(dāng)通過(guò)預(yù)登錄檢測(cè),并確定設(shè)備是安全的,則第二步就是保護(hù)您的資源。
登錄完畢后
登錄后操作可以保護(hù)敏感的信息不被“遺留”在客戶端上。FirePass 可以利用高速緩存清除器清除所有用戶遺留下的信息,如瀏覽器的歷史記錄、窗口、cookies、自動(dòng)完成信息以及其它更多內(nèi)容。FirePass 能夠關(guān)閉 Google 桌面搜索,因此在會(huì)話過(guò)程中任何信息都不會(huì)被編入索引。對(duì)于不能安裝“清除”控制的系統(tǒng),可以配置 FirePass,以攔截所有的文件下載,從而避免無(wú)意中遺留臨時(shí)文件的可能,同時(shí)仍允許訪問(wèn)所需的應(yīng)用。對(duì)于那些允許不可信任設(shè)備訪問(wèn),但不希望它們?cè)跁?huì)話后保留任何數(shù)據(jù)的情形,登錄后操作顯得尤為重要。
![]("http://www.f5.com.cn/tpl/website/images/solution/technology/fp_endpointsecurity6.gif")
圖 6:登錄后操作
總之:第一步,檢測(cè)請(qǐng)求設(shè)備;第二步,依據(jù)檢測(cè)中獲取的數(shù)據(jù)對(duì)資源進(jìn)行保護(hù);第三步,確保沒(méi)有留下任何會(huì)話遺留信息。
結(jié)論
典型地,安全是信任的問(wèn)題。是否存在足夠的信任,能夠允許某個(gè)特定的用戶和特定的設(shè)備對(duì)企業(yè)資源進(jìn)行完全訪問(wèn)?端點(diǎn)安全性使企業(yè)能夠核實(shí)信任的程度,從而決定客戶端可以訪問(wèn)全部資源、部分資源還是根本不允許訪問(wèn)。
FirePass 集成的端點(diǎn)安全性提供了:
☆ 安全兼容系統(tǒng)自動(dòng)檢測(cè),防止受到感染
☆ 與業(yè)內(nèi)數(shù)量最多的病毒掃描及個(gè)人防火墻解決方案(超過(guò) 100 種不同的防病毒和個(gè)人防火墻版本)自動(dòng)集成。
☆ 自動(dòng)攔截受感染的文件上傳或電子郵件附件
☆ 自動(dòng)重新路由并隔離受感染或非標(biāo)準(zhǔn)的系統(tǒng),將其放入自我補(bǔ)救網(wǎng)絡(luò)中 (self remediation network)——以減少呼叫幫助中心的次數(shù)。
☆ 安全工作區(qū)可阻止竊聽(tīng)及竊取敏感數(shù)據(jù)
☆ 使用隨機(jī)鍵輸入系統(tǒng)進(jìn)行安全登錄可防止按鍵記錄器的竊聽(tīng)
☆ 由于能夠與 FirePass 可視化策略編輯器完全集成因此,可創(chuàng)建基于端點(diǎn)訪問(wèn)您的網(wǎng)絡(luò)及您公司的安全配置文件的定制模板策略
