此前和大家分享了内网安全领域可能应用的两项前沿技术(还未广泛应用的沙盒,以及已经趋向成熟的准入控制)的一些个人看法,今天和大家探讨一下对于国内企业来说可能更加前沿的话题:移动设备应用为内网安全带来的威胁。
这两三年来,i-Pad,Blackberry,Android等移动设备不断的出现在公众的日常生活中,它们让信息的存储与传播更加方便和快捷,借助移动设备,随时随地的在线生活成为了可能。
同样的,移动设备的存在,不仅仅改变了作为个体的生活方式,GigaOm的一份最新报告显示,有38%的受访企业已经不同程度的在IT中应用了移动设备,而43%的受调查企业计划在1年内引入移动设备应用,而财富500强中65%的企业,已经不同程度部署了i-Pad。用户已经习惯用Blackberry收发邮件,用平板电脑为客户做演示,用移动设备远程接入企业网络获取信息,在线沟通,或者分享日程。
移动设备作为信息存储、使用与传递的新载体而被应用,面临着与传统的笔记本、台式机等传统设备一样的信息安全风险,不但如此,由于移动设备一些不同于传统IT应用的新特点,移动设备应用还为组织带来了更新的安全挑战,内网安全企业,也必须需要适应这一趋势的发展。
基于设备特征识别技术的精细化设备使用授权
从最先出现的U盘、移动硬盘,到数码相机、播放器,再到最新的智能手机、平板电脑,抛开其软件应用不谈,这些设备内部大部分都存在着巨量的存储空间。从早期的几百MB到现在的动辄几十GB,对于稍小一些的企业,一个32G的i-Pad可能已经足够存储其所有的数据并被轻易转移。随着蓝牙、wifi、USB等技术的普及,设备之间的信息传输也变得前所未有的方便,如果组织执行严格的IT安全策略,那么出于安全的考虑,移动设备可能会被全盘禁止,包括USB端口、蓝牙等甚至可能被禁用;然而,对于那些信息安全策略不那么严格的组织,全盘否定的移动设备策略又牺牲了可用性。这时,为不同的移动设备精细化区分授权就成为必然的选择。
我们一直都倡导精细化管理的理念,所在团队研发的IP-guard较早已实现了对于USB设备的精细化区分控制,例如对USB键鼠与USB存储的区分,以及通过各种端口与主机进行连接的识别与控制。未来,随着智能手机、平板电脑等的广泛采用,内网安全企业对不同设备的识别技术会更加准确和深入,包括基于硬件、操作系统等信息的识别。
基于802.1x
准入控制技术的移动设备准入控制技术的完善
移动设备的一大特征,就是可以方便的接入无线网络。借助无线网络,智能手机、平板电脑等可以经由局域网甚至互联网,接入到企业的内部网络中,访问和使用关键网络位置的信息资源,最为常见的应用就是Email。
另外,基于目前云计算的大趋势,越来越多的应用在云端而不是在本地被处理和运行,无论是公有云、私有云,还是SaaS,用户所需要的只是一个可以接入云的终端。试想一下,无论是CRM还是ERP,或者是其他的业务系统,只要放在云端,你需要的只是i-Pad或智能手机这样简单的设备接入,然后处理业务流程。这无疑大大加速了企业的信息化进程和信息处理速度。
然而,正像上面描述的一样,有革命性的进步,就有对应的风险。对于云计算大背景下的移动设备接入而言,网络准入无疑要发挥更重要的角色。
相对于目前较成熟的802.1x准入控制机制,对接入到内网的移动设备进行管理要更加困难。802.1x技术大部分会与基于Windows平台的AD域管理相结合,而i-OS、Android等目前流行的移动系统却与Windows平台有本质的不同。因此,大部分IT管理员都会将接入的移动设备划入802.1x管理下的来宾帐户,也就意味着这些设备对于内部网络的访问受到了最大的限制,无法满足现实的需求。
针对上面的难题,一个可行的趋势是通过识别移动设备的MAC、硬件、系统等“指纹”并将其映射到已有的基于802.1x和组策略配置的准入系统下。目前,已有部分公司的产品初步实现了这一功能,例如
Aruba Networks
公司的
Amigopod Visitor Management Appliance (VMA)
。此产品基于监控
DHCP
和
HTTP
信息来识别不同设备的指纹,并将信息映射到正确的访问控制策略中,从而实现准入控制的目的。
由此可见,要想实现对移动设备的精确准入控制,掌握
802.1x
准入控制机制是先决条件,而准入控制机制的缺乏,正是目前基于主机准入控制的内网安全产品普遍的弱点。
逐步完善基于
802.1x
,以及基于网关与客户端联动的准入控制机制,是我们目前亟需解决的,这也是IP-guard正努力的重点。相信不久的将来,对于移动设备准入的控制会有新的成果出炉。
基于内容分析的DLP
与边界封堵、加密技术的结合
在内部网络和移动设备之间传递的数据,往往在一定程度上属于涉密信息,需要在传输和使用中进行信息泄漏防护。目前,国内主流的信息防泄露技术,普遍是基于封堵和加密技术,在PC上应用确实无障碍,但移动设备的出现,为当前的信息防泄漏技术带来了挑战。
移动应用的本身,是为加速和便利信息的传递,而封堵则可能削弱这种便利性。云计算的应用,更使得越来越多的应用在云端而非本地实现,基于主机的封堵和加密机制就有了一定的局限。
如何解决上面提出的信息防泄漏难题?超越主机的级别,进一步对于数据本身进行分析、过滤与拦截,是一个可能的发展趋势。在这一点上,长于内容分析与过滤的国外DLP产品为我们提供了启发。
与国内的封堵与加密机制不同,以赛门铁克、麦咖啡为代表的国外DLP产品,更多的应用了内容分析与过滤技术,从信息层面进行信息防泄漏管理。通过在边界部署设备,DLP产品可以对通过网络、端口传输的信息进行内容分析,识别出符合预先设定的保密特征的涉密信息并过滤或阻断。过去,由于国内的信息防泄漏市场是以防主动泄密的需求为主,因此赛门铁克等产品的DLP技术无太大的用武之地。而随着移动设备和云计算的发展,这种便利性与安全性相平衡的技术将获得更好的认可。
无论是封堵、加密,还是内容分析与过滤,其本质的目的,都是信息防泄漏,只是在安全性与便捷性之间进行不同的权衡。作为定位于内网安全的产品,IP-guard在封堵与加密领域已经日渐成熟,为了更好适应用户的需求与技术的发展,我们也已经开始研究基于内容分析的过滤机制,希望将来与原本的封堵与加密机制相结合,为用户打造完整的信息防泄漏体系。
注重移动设备本身的安全措施的执行
目前,移动设备制造商也已经意识到了移动设备安全的重要性。例如,i-Pad就引入了丰富的安全机制,包括密码机制、设备加密、加密的网络连接、数据远程擦除等机制,都很大程度上提升了移动设备的安全性。
然而,使用移动设备的用户为贪图方便,可能并不会严格使用移动设备所提供的安全措施。作为移动设备的部署方和管理者,IT管理者就应该结合移动设备本身所采取的安全措施,让其发挥更大的作用。统一登记的接入管理,为移动设备特别开发安全的app应用,对移动设备安全策略执行的严格审查。我们一直强调技术与管理相结合,这些适应移动应用时代的管理手段,都是保障移动设备内网安全的必要条件。
作为先进信息技术的发源地,移动设备应用如今在美国等发达国家应用的更为普遍,而国内这一类应用还刚刚处于起步阶段。然而,这并不意味着我们可以忽略移动设备所带来的安全威胁,近两年的智能手机、平板电脑市场的高速增长证明,移动设备安全迟早会成为内网安全的一块前沿阵地,对此,未雨绸缪永远是正确的选择。