近年來資訊安全防護是相當困擾企業的議題,許多企業都不斷尋找相關的解決方案。而面對多樣化的資安攻擊事件,廠商們都依據不同的攻擊途徑與方式規劃不同的解決方法,但這些都只是治標而非治本。對開發出第一台商用防火牆的Check Point而言,如何協助企業建構一套全方位資安防禦架構,才是最重要的特點。而Check Point亞太區及日本行銷副總裁Itzhak Weinreb便表示企業應該雙管齊下,不但要提升閘道端的安全防護能力,更需要強化端點防禦的效力,搭配集中化管理平台及簡明易懂的報表,才能兼顧不同資安面向,並落實管理機制,達到全方位資安防禦。
企業在建構資訊安全體系時,幾乎都是先以如何保障企業內部網路為優先考量,因此在企業網路閘道端上部署了多台包括防火牆、入侵防禦產品、各類過濾產品等安全設備,但由於這些疊床架屋的安全設備,不但延宕了訊息處理的時間,同時也造成架構的複雜性,讓管理上更顯麻煩。
 |
| ▲「網路安全與端點防禦分屬不同領域,」Itzhak Weinreb解釋,「必須同時兼顧才能達到全方位安全體系。」 |
「雖然UTM設備常為人詬病效能不彰的問題,」Check Point亞太區及日本行銷副總裁Itzhak Weinreb表示,「但事實上UTM才是解決企業閘道端設備過多難以管理的有效方式。」
UTM簡化管理
UTM的效能問題多半出自於單一硬體平台的硬體效能,難以負擔其上所運作的多項安全機制與過濾引擎,因此開啟多項安全功能後,當遭遇大量封包灌入企業網路時,就會造成UTM的效能大幅降低,甚至因此停擺,連帶影響企業網路的連通性。
不過針對這項問題,Check Point提出了2種方式以解決相關問題。第一是整合相似過濾機制,簡化處理流程。因為Check Point掌握防火牆的關鍵技術,因此除了第四層的SPI防火牆之外,更導入了第七層的應用防火牆架構,同時並將過濾流程大幅簡化,避免因為流程而影響整體過濾效能。
第二是開發專屬硬體搭配資安防護軟體,藉此簡化管理與維護機制。「Check Point依然會保持與原有硬體廠商的合作關係,」Itzhak Weinreb說明,「推出專屬硬體是為了減少管理人員安裝設定與維護所需的時間,讓他們可以專注在更重要的事情上。」
 |
資料來源:Check Point
▲商業需求與資安需求是背道而馳的兩端,必須要有良好的管理機制才能夠將這兩者緊密的連結在一起。藉由Check Point的單一管理平台,可以同時兼顧網路端的UTM設備,與終端安全防護上的代理程式,讓資安架構可以更全面。 |
領域不同 防護方式也不同
目前的資安防護架構可分為兩方面,一面是網路過濾,另一面則是終端防護。對於大多數固定在企業網路內的設備而言,在閘道端建立強固的防禦體系可以杜絕大多數的攻擊;而對於部分如筆記型電腦、手機或PDA等行動裝置,則應該強化端點上的過濾機制,避免駭客從這些設備滲透至企業內部網路。「這兩種防禦方式分屬不同領域,」Itzhak Weinreb認為,「不同領域應採取不同的思維模式,並採用不同的防護才能確保安全。」
事實上在網路閘道端,為了避免設備影響效能,在設計規劃上企業大多不會以「線上(In-Line)模式」放置太多與第七層相關的內容過濾機制,而會以映射方式將流量導開,讓如郵件過濾等設備負責。
但這樣的架構方式,不單需要管理人員瞭解網路架構,同時也需要規劃內部網路上的各項應用服務位置,不但麻煩也有管理上的困擾。
而終端防禦由於只要防護單台設備,並且採用的是軟體方式運作,由於目前硬體效能良好,這些資安過濾機制不至於影響太多系統效能,因此在終端則會加入多種內容過濾機制,避免因為使用者不當下載或瀏覽網頁,而導致資安風險。
「從這些方面我們可以明顯得知,網路端的防禦概念與知識不同於終端防禦,」Itzhak Weinreb解釋,「企業不能用同一套邏輯去概括所有的防禦體系。」也因此透過一套可以完整涵蓋兩項不同領域的資安防禦架構,是企業所必須考慮的。
集中管理 整合資訊
Check Point的安全防禦架構雖然是從網路端開始發展,但隨著自行開發與併購其他公司之後,同時兼具網路與終端兩種不同領域的資安技術。
「要能夠建構完整的防護體系,就必須要瞭解這兩種不同領域,」Itzhak Weinreb強調,「同時要以一套完整的管理平台整合相關資訊,才能讓資安防護事半功倍。」
目前Check Point的管理平台,不但能夠整合不同資安設備所回傳的各項資訊,同時也會將這些資訊依據事件、時間及相關訊息,整合而成以事件為主的報表。這種方式有別於其他以記錄為主的統計報表,管理人員可以更輕易瞭解攻擊者是由何種管道進入,並造成多大的影響。
「透過一套良好的管理平台,可以簡化管理人員的負擔,」Itzhak Weinreb表示,「同時也能夠更瞭解相關資安訊息,避免錯誤發生。」