終端安全管理,準入控制為先
近幾年來,隨著終端應用種類及數(shù)量的不斷增多,終端管理得到企事業(yè)單位越來越多的重視,不少單位已經(jīng)購買和部署了各種各樣的終端管理產(chǎn)品。有的使用國產(chǎn)品牌的產(chǎn)品,有的則購買了國外品牌的產(chǎn)品,但總體來說使用效果并不是那么盡如人意。
首要的問題就是,終端管理產(chǎn)品客戶端軟件的部署率太低,使得終端難以實現(xiàn)被管理。而如果不能很好地解決這個問題,終端管理也就成了空談。
終端為何難管理
一般來講,終端分散在企事業(yè)單位的不同辦公區(qū)域。但也有不同,比如分散在全國各地。
在這種情況下,如果想讓最終用戶自行安裝客戶端軟件,顯然難度非常大。先不說用戶的意愿,就是以用戶參差不齊的計算機水平而言,要用戶自行安裝客戶端軟件已經(jīng)是非常有難度的事了。而如果讓管理員逐臺手工完成安裝,這又是巨大的工作量,特別是對于有成千上萬終端的機構(gòu)來說,這簡直就是不可能完成的任務。更有甚者,好不容易給終端安裝了客戶端軟件,卻又被用戶給卸載了;或者終端重裝了操作系統(tǒng),客戶端軟件又需要重新部署;或者新購了電腦,這些新終端又可能成為終端管理的漏網(wǎng)之魚……
此外,還有很重要的一點,就是對于合作伙伴、客戶以及供應商等外來人員帶入的筆記本電腦,能讓其隨意接入嗎?該如何管理這些電腦?
如上種種,正在成為困擾終端管理者的問題所在。因為只有部署成功了客戶端,使終端接受了管理,后續(xù)的各種管理手段才能發(fā)揮作用。那么從技術(shù)和產(chǎn)品的角度是否可以解決上述難題呢?
利用準入控制技術(shù)攻克終端管理難題
其實,現(xiàn)在非常熱門的準入控制技術(shù),就可以非常好地解決客戶端部署的問題。
可以說,準入控制是終端管理的基礎(chǔ),只有打好了這個基礎(chǔ),終端管理產(chǎn)品才不至于花了錢成為擺設(shè),終端產(chǎn)品也才能真正為單位內(nèi)網(wǎng)合規(guī)管理、桌面自動化運維、以及保證網(wǎng)絡和終端的可用性發(fā)揮巨大的作用,進而在提高政府部門和企業(yè)的工作效率,保證業(yè)務始終可用,保護核心數(shù)據(jù)資產(chǎn)安全方面提供可靠的技術(shù)支撐。
那么準入控制是如何保障終端得以被管理的呢?
準入控制是在終端訪問網(wǎng)絡的必經(jīng)之處設(shè)置檢查點,檢查發(fā)起網(wǎng)絡訪問的終端是否安裝了客戶端軟件、其安全狀態(tài)是否合格--如果沒有安裝客戶端軟件,將引導用戶進行安裝;如果安全狀態(tài)不合格,將引導用戶進行修復。
根據(jù)準入控制點的不同,一般可分為3個層面的準入控制,即網(wǎng)絡層準入控制、應用層準入控制、終端層準入控制,每一層又可以選擇多種準入控制技術(shù)或手段。圖1是3層準入控制示意圖。
圖1 3層準入控制示意
網(wǎng)絡層準入控制
是利用終端和網(wǎng)絡設(shè)備的聯(lián)動,由網(wǎng)絡設(shè)備檢查終端是否安裝了客戶端軟件以及終端的安全狀態(tài)是否合格,從而達到準入控制的效果。在網(wǎng)絡的接入層,接入交換機采用標準的802.1X協(xié)議與終端進行聯(lián)動。在網(wǎng)絡的匯聚層,匯聚層交換機可以使用思科的私有EoU協(xié)議與終端聯(lián)動,不同的網(wǎng)絡廠商的交換機和路由器可以有自己的私有協(xié)議,利用這些私有協(xié)議與終端管理軟件進行聯(lián)動,達到準入控制的效果。在網(wǎng)絡的邊界,邊界網(wǎng)關(guān)設(shè)備與終端進行聯(lián)動,邊界網(wǎng)關(guān)設(shè)備一般包括防火墻、UTM、VPN等設(shè)備,而聯(lián)動協(xié)議一般也是私有協(xié)議。802.1X準入因為是在接入層進行控制,離終端最近,控制最為嚴格,可以直接將終端隔離出網(wǎng)絡,但部署相對困難。匯聚層及邊界層設(shè)備離終端稍遠,控制力度稍弱,但部署相對容易一些。對于外來電腦,通過網(wǎng)絡層準入控制,要么強制其安裝客戶端接受完整的管理,要么通過特殊的VLAN或ACL,限制其網(wǎng)絡訪問。
應用層準入控制
其原理是在不同的應用服務器上安裝準入控制軟件,當終端訪問這些應用服務器時,服務器上的準入控制軟件檢查終端是否接受了管理,安全狀態(tài)是否合格。一般可以在DNS服務器、代理服務器、Web服務器、ERP系統(tǒng)服務器,或者任意的應用服務器上安裝準入控制軟件。這些服務器是單位內(nèi)部員工最常訪問的服務器,因此覆蓋面較廣。實際部署時,一般只需在一到兩個服務器上部署控制點即可做到對全局的控制。因應用層離終端稍遠,所以控制力度也稍弱。
終端層準入
一般是指客戶端準入和ARP準入。客戶端準入在終端訪問網(wǎng)絡時檢查自身是否符合安全策略,如果不符合,則阻斷自身應用程序的網(wǎng)絡訪問;在終端接受訪問時,必須確認對端是否是接受管理的終端,否則拒絕對方的訪問,接受訪問時也檢查自身是否符合安全策略。ARP準入是有客戶端的終端對未裝客戶端的終端進行ARP欺騙,阻擾其正常的網(wǎng)絡訪問,直到該終端正確安裝了客戶端軟件。ARP準入因有較大的網(wǎng)絡副作用,比如廣播風暴,而且效果不理想,用戶對它的使用也越來越少了。此外,客戶端準入如果配合網(wǎng)絡層準入或應用層準入一起使用,可使準入控制更加靈活和強大。
通過上述的各種準入控制中的一種或多種手段,終端將被強制性地接受管理,終端管理將不再有盲點,終端管理產(chǎn)品將真正發(fā)揮作用,為政府部門和企業(yè)創(chuàng)造價值。
試想如果沒有準入控制,終端管理將沒有了確定性的手段,確保終端能夠接受管理。即使某種終端管理軟件的功能再強,如果不能部署在客戶端上,也絲毫不能發(fā)揮作用。可以說準入控制是終端管理的基石,要部署終端管理產(chǎn)品,必須首先考慮準入控制。
【編輯推薦】
