微軟新版Longhorn 深化端點安全

| | | | | | 留下回應

    

微軟今（19）日在台舉行Teched 2006技術大會，除發表新版防火牆產品ISA Server 2006之外，微軟安全事業與技術部門資深資訊安全策略專家Steve Riley在提及為期兩年與網路設備大廠思科（Cisco）的搓合時，表示俟明年推出Longhorn時，自家的網路存取保護（NAP, Network Access Protection）技術除了可與思科的網路管理控制（NAC, Network Admission Control）互通以外；包含了趨勢、賽門鐵克等防毒軟體廠商的產品，也可以架構在Longhorn之上，根據前者的規範，來管理所有存取Longhorn伺服器的終端設備。

微軟營運暨行銷處伺服器平台事業部協理王嘉玲補充這和目前Windows Server 2003 R2的端點安全內容最大不同處，表示在於目前在 Windows Server 2003 中的NAP功能事實上只是準NAP：亦即其僅能做到網路存取隔離控制（Network Access Quarantine Control ），透過撰寫檢查的指令碼（script），針對遠端存取做控制 (播接或VPN)；而到了Longhorn版本時，則是透過 NPS 伺服器，針對各種網路存取與通訊方式 (包括 LAN 等) 檢查系統健康政策，是否已有正確的設定與配置。

「換句話說，Longhorn版本的NAP技術，是更全面更底層的。在用戶開始連線前，即做系統檢查來決定是否要予以限制，而非等到用戶連線上來透過指令碼檢查之後才決定是否要予以限制。」她說。

思科是在2003年推出NAC架構。是年6月間，宣佈推出了支援NAC架構的路由器產品，同時也在2005年推出支援NAC的交換器。微軟在2004年宣佈NAP架構。

然而不管是NAC或者NAP，訴求的都是端點安全。技術內容簡而言之就是隔離未經安全政策認可，例如未更新病毒定義檔、已經中毒的電腦連進企業網路。微軟和思科之所以投身端點安全，原因在於在發現受病毒攻擊之後才開始處理或掃毒的成本較高，因此企業客戶不如在攻擊進入網路的第一時間就防患於未然。

而這也凸顯了以往企業透過防火牆阻擋駭客從外部的攻擊已經不足應付。因為企業員工的裝置倘若沒做好防護工作，在連到內部網路時，將讓病毒一併傳散至企業系統。因此企業必須要管制所有連進企業網路中的設備。

Riley引用美國FBI的資料表示，從內部和外部而來的攻擊事件所佔比重各半。

資安與網路設備廠商攜手 大勢所趨

從微軟的角度，以伺服器作業系統為出發點的端點安全功能，比網路設備端更勝一籌的地方即在於，其可防範從任何地點連網的不安全終端裝置。

「網路設備端出發，其鎖定是真正在企業內部連網的裝置，透過路由器和交換器來進行控管，」「但是現在即使人在公司坐，也有可能透過無線網路上網，這時候網路設備端的安全控管可能就發揮不了作用，」Riley說。

不過客戶要徹底落實安全工作，最好還是一併在主機端以及網路設備端部署。

「網路設備端的安全功能畢竟是硬體架構，速度會比較快。而且可以更細緻的過濾，例如針對通訊協定、封包內容等，」王嘉玲說。

「就像開車一樣：雖然ABS可以緊急煞車，但是客戶還是需要安全氣囊來保護自身，」微軟伺服器平台事業部資深行銷經理史百誠補充道。

除了微軟和思科的合作以外，事實上安全軟體廠商和網路設備業者的攜手，正如火如荼的進行。微軟在2004年即宣佈佈與25家系統整合商，及安全、管理，與網路商結盟。打算要開發應用的程式介面，或者所謂的API，讓合作廠商可以開發特殊的應用，使得他們的裝置與軟體可以和微軟的遠端存取伺服器直接連接，提供企業IT管理員一個可以更為集中化管理的安全政策。

目前推動的初步成果是，除了思科以外，Enterasys和Juniper Networks已經加入成為微軟夥伴。趨勢及賽門鐵克，則雙雙同時加入思科的NAC與微軟的NAP計畫。

Juniper Networks及Extreme Networks等廠商的IP路由器和乙太網路交換器，也都能與賽門鐵克等防毒軟體公司安裝在用戶端的防毒軟體連接，找出用戶端是否有做最新病毒的掃瞄。