近年資安工具蓬勃發展,可大致區分為雲端部署或地端部署兩種方式,本文將以端點威脅偵測與回應(EDR)及託管式偵測與回應服務(MDR)為例,介紹雲端部署或地端部署的差異性,以及如何從中選擇適合的部署方式。
近年資安工具蓬勃發展,可大致區分為雲端部署或地端部署兩種方式,本文將以端點威脅偵測與回應(Endpoint Detection and Response,EDR)及託管式偵測與回應服務(Managed Detection and Response,MDR)介紹雲端部署和地端部署的差異,以及從中選擇適合的部署方式。
何謂雲端或地端部署模型
地端軟體部署泛指產品安裝並運行於企業內部環境,企業對於產品的控制流與資料流能有百分之百的控制權,故資料無須傳輸至外網環境即可運行。產品更新頻率視企業環境與政策而異,若在隔離環境多採用離線更新包的方式。而維運方面,廠商通常僅提供技術支援服務,企業須自行負擔硬體成本與軟體的維運管理責任。傳統資安產品通常採取地端部署的方式,例如防毒軟體、防火牆等等。
近年來,虛擬化技術成熟進而帶動雲端產業蓬勃發展,許多資安廠商開始以雲端的方式交付產品,即所謂的安全即服務(Security as a Service,SECaaS)。雲端部署將產品核心的運算邏輯與資料儲存從地端移至雲端上,企業作為客戶端定期與外部雲端溝通並將資料往外傳輸,客戶不必自行負擔硬體購置與維運的成本,也無須擔心產品未來的擴展性與可用性。廠商除了技術支援服務外,亦能快速協助企業部署與維護產品,甚至直接提供代管服務。次世代資安產品通常需要較高的運算與儲存資源,故大多採用雲端部署的方式,例如端點偵測與回應(EDR)(圖1)、網路偵測與回應(NDR)以及延伸式偵測與回應(XDR)等。
圖1 EDR部署模型。
如何決定資安防護系統的部署方式
大多數企業早已部署許多傳統邊界防禦類型的資安產品,例如端點裝置的防毒軟體、網路閘道的防火牆與入侵偵測系統等,但隨著進階持續性威脅(Advanced Persistent Threat,APT)的肆虐,邊界防禦不足以有效預防攻擊。
有鑑於此,即時監控企業資安態勢的威脅偵測與回應產品逐漸受到大家的重視,而由於端點裝置是駭客主要的入侵破口,端點威脅偵測與回應(EDR)因而成為關鍵。
傳統只仰賴簡單規則與病毒特徵碼的防毒軟體不足以完全阻擋駭客多變的攻擊手法,端點威脅偵測與回應能透過蒐集端點數據更全面地捕捉可疑行為,搭配機器學習模型與威脅情資自動交叉比對、獵補出潛在難以察覺的進階威脅、快速地補救與回應威脅,並協助歷史事件調查分析,這些功能各方面補強了傳統防毒軟體,形成企業資安縱深防禦中一道更完善的防線,故以下以EDR為例說明雲端與地端部署之差異性。
雲端部署 v.s. 地端部署
常見雲端部署之EDR將核心威脅分析偵測的伺服器架設於雲端上,企業只須在端點裝置上安裝代理程式,即可將各式系統紀錄檔與事件持續上傳至雲端進行威脅分析,此方式大幅降低系統部署的難度,企業也毋須擔心昂貴的硬體購置費用與後續的硬體∕系統維護,且未來若需求增加也不用擔心擴充性與可用性。
對於資安廠商而言,產品架設於雲端上使其無須擔心產品硬體運算與儲存資源需求令人望而卻步的問題。EDR由於需要同時消化並分析龐大數量的端點資訊,系統穩定性一直是極困難的挑戰,然而雲端能靈活分配運算資源、快速更新版本以修正問題,使廠商能專注於研發進階偵測技術與威脅分析,提供客戶更好的防護力與威脅情資,而乘著雲端化的趨勢,近年來EDR大廠幾乎都支援雲端部署模式,其中少數甚至只提供雲端方案。
地端(On-Premises)部署早已行之有年,由於核心威脅分析偵測的伺服器及代理程式皆直接安裝於企業內部,企業對於產品系統與資料都能有百分百的掌控權,不會產生額外上傳至外部雲端的流量,亦無須擔心資料隱私與安全性的問題。
近年來雲端興起,資料不再單純儲存於企業內部而可能散落於世界各地的雲端,大家逐漸意識到資料隱私與保護的重要性,尤其中大型的企業可能制定複雜且嚴謹的資料保護政策,所以儘管EDR雲端部署看似優勢很多卻仍舊無法取代地端部署,而對於地端需求,EDR系統如何在離線的地端環境能穩定運行且具備高擴充性將是未來的一大挑戰。
最後,值得注意的是因不同地區與國家硬體裝置的成本不一,地端部署雖因硬體資源須負擔較高的初始成本(硬體購置),但雲端維運成本也隨效能擴充或使用量增加而成長,兩者最終的總體擁有成本(Total Cost Optimization,TCO)仍須視不同情況而定(表1),企業如何衡量與計算成本也是一大課題。
託管式偵測與回應服務的隱憂
儘管雲端部署大幅降低部署與維運的門檻,許多中小型企業依舊沒有足夠的人力與相關專業能力來分析並處理資安事件,因此託管式偵測與回應服務(MDR)應運而生。
MDR服務基於雲端部署的優勢,統一將各客戶的端點資料上傳至雲端,從EDR伺服器的管理、威脅偵測、關聯分析與事件回應皆由廠商資安專家負責監控與回報,企業只須定期透過分析報告瞭解自身資安態勢並依建議處理風險即可。但對於人員與裝置較多的中大型企業,採用MDR的成本將大幅上升,並且與前述的雲端部署一樣有資料隱私與安全性的疑慮;且各企業裝置分布、網路行為與不同部門間之使用情境相差甚大,有許多誤報與例外狀況需要企業內部人員處理才能達到最好的防護效果。
地端部署的EDR基本上無法直接將系統委外託管,也與地端部署的精神相悖,但仍能向資安廠商購買資安諮詢∕顧問服務,如此一來,不僅讓企業自身資安意識提升,也能發揮所購買之EDR的所有潛能。
隨著資安意識抬頭,各企業逐漸瞭解其重要性,若企業能培養自己的資安人員來維護並處理EDR或其他資安產品的第一線告警,在毋須依靠託管服務也不用擔心資料安全與隱私的情況下,持續監控並獵捕企業內部潛在威脅,使企業自身擁有應付資安威脅的能力。與MDR相比,企業面對資安事件的反應速度與掌控程度大幅提升,或許對於企業資安防護才是根本解決之道。
綜上所述,地端與雲端部署彼此間並無絕對的優劣,企業在挑選資安產品時,除了功能性與成本考量外,也應通盤考量自身資料隱私、安全性政策,選擇最合適之部署方式。企業若採用委外的託管式服務,仍應重視自身資安能力養成問題,逐步培養自身的資安人員、提高資安意識與奠定資安防護技術基礎,長遠來看才是提升企業資安的關鍵。
<本文作者:啄木科技(Woodpecker Technology)位於新竹的本土新創資安公司,擁有資安及AI研發團隊,秉持「安全第一」原則,協助企業強化威脅獵捕能力,不論傳統產業或高科技業,承諾「客戶至上」,志在打造貼近使用者、具競爭力的資安可視性解決方案。>