長久以來,我們的安全防護系統都各自獨立作業,把自有的資訊藏起來,彼此間互不分享。比方說,入侵偵測系統發現奇怪的行為時,只會記錄下來;而虛擬私有網路(VPN)閘道認證了某位使用者,但也不會把該使用者的身分傳給其他系統。我們應該要想辦法解決這種混亂。因為任何安全防護系統如果要達到成功又要符合經濟效益,就必須做到協調與合作。
其實系統彼此間的共用安全防護資訊並不是一個新的概念。從1990年代初期開始,RADIUS及其他身分管理協定已經讓我們從多重路徑邁向目前的身分管理系統。網路存取控制(NAC)系統收集終端的資訊,然後結合這類資訊與使用者身分,來決定網路的存取,然後安全防護管理系統就提供各個警示來源的相關聯性。但是,前面所說的溝通協調仍然算是單向的,真正需要的還是安全防護系統彼此之間能共用完整資訊。
幸好信任運算協會(Trusted Computing Group)在2008年5月為安全系統之間的協調定義出一個標準協定,就是IF-MAP(元數據接取點介面)。安全防護裝置(如VPN、NAC及IDS裝置)若使用IF-MAP協定,就可以把資料存入共用的資料庫,即元數據接取點(Metadata Access Point),簡稱MAP。其他安全防護裝置可以搜尋MAP或甚至訂閱一些特定的變更內容。
舉一個簡單的案例來說明IF-MAP的好處。使用者透過VPN或NAC系統,通過身分檢查及終端狀況檢查,連線到網路。如果該位使用者被允許進入網路,VPN或NAC系統會使用IF-MAP協定,把使用者及其終端的相關資訊存入MAP。如果IDS稍後發現終端裝置攻擊某人,或傳送垃圾郵件,或涉入其他一些不適當的行為,則IDS可使用IF-MAP協定,尋找先前存放在MAP內的終端裝置相關資訊,例如終端裝置使用者的身分。
IDS甚至可以把事件存入MAP,呈報不當行為。如果VPN或NAC系統已訂閱這類事件的通知,則MAP會使用IF-MAP協定將不當行為通報給VPN或NAC系統。IF-MAP協定的功能很多,這個例子只是它的一小部分。
IF-MAP協定的主要目的是要協助安全防護系統彼此之間共用資訊。互相協調的安全防護可以達成更好的安全性,並且更加自動化,因此降低了安全防護的管理成本。IF-MAP標準推出不滿一年。多家大廠商已開始有建置藍本。協調式安全防護是新的領域,相信這類產品將來還會有更多益處。