当我需要网络或电子邮件安全的专家时,我转向我的同伴加入redelings。所以,当它来写下这个话题时,我就向他伸出了。Garett足够友好地编写以下文章,详细描述了最近在Cisco IronPort Web安全设备产品中发布的新的应用意识,可见性和控制功能。如果您对Garett有任何评论,请张贴。
思科的IronPort应用程序可见性控制-不是你奶奶的Web过滤解决方案我们很多人都非常熟悉传统网站过滤,也就是URL过滤和分类。历史上过滤用户访问Internet的方式要么是通过URL,要么是URL、IP地址甚至可能是正则表达式规则的组合。这些网站的分类名称通常包括:成人、教育、健康、网络邮件、科技等等。类别的数量,以及被分类的网站的数量,经常被用作衡量网络过滤产品质量的基准。
图1 - 典型的URL类别,而这种类型的分类系统是原油,它通常会使管理员提供在非常高水平的能力控制的能力,用户可以访问哪些站点以及它们的哪些网站。这种对互联网的控制使人力资源和CXO类型跳跃欢喜,因为互联网可以再次制造“安全”,公司可以保护自己免受讨论的诉讼和其他这种愚蠢。下一波控件带来了许多功能,如能力在每个用户或群组的基础上分配Internet权限。这些更新之后是额外的增强功能,例如用于控制网站内的特定页面或位置的粒度选项以及网站的其他类别和子类别。竞争在互联网上对内容进行分类是竞争供应商之间建立的数字游戏。思科继续加速IronPort Web安全设备自2007年以来的Ironport Web安全设备的特点。最新版本7.0版本没有例外,为今年的产品,应用程序可见性控制或简单的产品提供最大的功能版本之一AVC。AVC的概念很简单,动态和不断变化的Web使用不仅仅是一个简单的过滤引擎,可以检测和控制用户访问网站的访问。更重要的是,应用程序过滤需要检测用户如何以及使用哪些工具,用户与这些网站进行交互。
图2 - 应用程序可见性控制Web筛选解决方案,例如IronPort WSA和此空间中的其他产品正在实现弥合历史URL过滤之间的差距以及今天使用的Web应用程序的新类型。以下数据从我的工作中收集了该领域的工作,作为思科与IronPort产品线一起使用的思科。Cisco Ironport AVC技术:At the core the fundamental difference with Cisco’s IronPort AVC approach are three major design directives: 1. Application Visibility Controls should be flexible and independent of platform 2. AVC updates should be dynamic along with the Internet and website content 3. Features of AVC should focus and follow current Internet usage These three design points differentiate the Cisco solution in some significant ways in an effort to change the web application space from a game by numbers to one of dynamic adaptation. This begs the question, “Ok, so what’s the real difference with Cisco’s solution?”灵活且独立于平台也许网络最大的问题是它一直在变化。网站内容会随着时间的变化而变化,通常大多数网站内容来自于由一个完全独立的实体拥有和维护的其他网络服务器,(想想广告牌的所有者和付费让他们的广告显示的公司)。分类网站的数据库在这个世界上是无效的,当涉及到应用程序控制时,因为它是静态的,因此是无用的。现在考虑一下你每天是如何使用互联网访问新闻网站、社交网络、网络邮件和博客的。在你一天中的任何时候,你都可以通过使用http和https的各种设备更新你的位置,让网上的朋友看到或在你的博客上发布你的最新想法。也许在平常的一天中,你甚至会在网络会议间隙挤出一些时间,用你的移动设备或笔记本电脑上的会议软件玩一两个游戏。对使用http和https的游戏和网络会议软件等应用程序的控制必须灵活,以处理这些应用程序可能因更新或新功能而发生的变化。操作系统更新需要花费数月的工程和QA资源才能交付一个测试版。具有硬编码检测机制的静态系统无法在足够的时间内对平台或操作系统更新做出反应。应用程序检测需要建立在一个平台上,该平台允许更改,可以跟上不需要操作系统更新的最新版本。动态就像Web一样随着web内容和web应用程序不断更新和增强,对任何web解决方案来说,保持与这些版本同步的需求都是至关重要的。这是IronPort Web Security Appliance的新AVC控件的焦点。从社交网络应用程序到游戏和即时消息,保持与最新应用程序特性的接近,对于任何能够快速交付管理控制的解决方案都是有利的。网络应用动态特性的最新例子之一是Facebook的“地点”。今年8月发布的Facebook Places功能允许用户根据你的位置分享你所在的位置,与附近的朋友联系,甚至找到当地的商店交易。用户只需使用移动设备登录Facebook,然后“签到”即可。传统的过滤方法不能仅仅基于URL区分Places活动,因为网络通信都是对facebook.com的流量,“签到”功能在整个Facebook网站上都很活跃。随着Places功能的发布,许多供应商的选择是发布一个操作系统或平台更新,正如我之前提到的,这需要几个月的时间才能交付。思科的AVC功能能够在几周内做到这一点,因为它的动态签名更新系统。这个引擎的工作非常像AV引擎如何更新他们的签名和配置可用的简单使用复选框。 On the backend AVC is powered by the Cisco Security Intelligence Operation, which pulls data from email security, web security, IPS, IDS, and 3rd party web traffic feeds. This key feature gives Cisco the ability to see more data in real-time and use that data to drive updates and controls.
图3 - Facebook粒度控制
图4 -向下钻取特性设置关注用户Cisco的IronPort AVC功能的最终关键点是其专注于用户以及它们最多的东西。今天人们越来越多地使用Facebook,Twitter,Games,IM和文件填充应用程序。这些是IronPort WSA专注于的应用程序。思科拥有较少的驱动器,可以涵盖今天的技术精明用户常常使用的遗产和模糊应用程序。思科的安全智能操作提供了对全球使用的Web流量行为和应用程序类型的深度可视性。然后使用此数据来定制需要将应用程序添加到其AVC功能中。
回顾过去,网络过滤一开始是一种可接受的使用工具,但后来不断演变为思科所谓的“互联网使用政策”。这种类型的策略有更详细的恶意软件过滤、安全控制和访问要求,而不是旧的笼统的URL类别。再加上金融、医疗保健和企业行业的法规遵从性规则,一项政策适用所有行业的日子早已一去不复返了。互联网的使用需要允许用户在网站上与特定的应用程序互动,如博客和网络社区,但限制在Facebook内的文件共享。此外,管理员还在寻找实现外发过滤的常识性控制的方法,因为大多数数据泄露和策略违规往往是偶然的,因为用户之间通过网络发送数据。思科将如何继续改进他们在IronPort WSA上的应用程序可见性控制,这将是很有趣的。当然,从用户的使用情况出发是一个很好的方法。然而,对于这个领域的任何供应商来说,衡量成功的标准很可能是对Facebook、twitter、myspace等当今最常见的应用程序所提供的控制水平、及时性和深度。