自从企业需要关注网络的安全问题以来,IT系统管理人员一直被安全保护方案的四个标准所困扰,依次为安全性、灵活性、可管理度及价格水平。最理想的情况是十全十美,但现实是四个标准是互相制约的,IT系统管理人员往往只能取得一个综合评分较高的安全方案,也可以说是选用一个较少缺点的方案。
Check Point 软件技术有限公司中国区总经理刘伟表示,安全保护技术过往十多年的演进过程,充分反映了用户及业界不断力争取得平衡上述四个标准的较佳效果。
他表示:“在十多年前网络开始普及时,企业首次察觉需要面对安全问题,当时它们的要求是十分单纯的,就是安全性是最重要、大多时候也是唯一的考虑。碰到一个新的安全挑战时,企业的解决方法是在市场上寻觅更好的解决方案,它和企业现用的安全方案是否兼容配套,它们是否来自同一个厂商都不是太重要的考虑。”
用一个浅白的譬喻,有个人肚子饿了,他首先去A餐厅享用了一个头盘和一道汤,但不久后他发现肚子还没有填饱,于是去了B 餐厅吃了主菜及主食,然而之后他发觉自己意犹未尽,因为还没有吃甜品,于是再到一家C餐厅享用美味的蛋糕及香浓咖啡。这种“穿花蝴蝶”式的用餐方法的优劣点是显而易见的,可能他在A、B、C 餐厅享用的美食都是其招牌菜式,但这种拼凑用餐的花费会很高,而且几家餐厅的菜式可能不太“对味”,回到企业使用安全方案的情况,这就是指各种厂商产品的互操作性及管理问题。
刘伟表示,随着新的网络安全挑战不断涌现,企业发现用“穿花蝴蝶”式的安全部署方针在成本控制、统一管理等问题上的难度越来越大。“目前在网络安全领域中,有数百家不同厂商提供基于数十种不同技术的上千种安全应用,这对企业的首席信息官来说已经变成一个噩梦。”
安全厂商为了应对市场的上述难题,在近年相继推出标榜安全保护一应俱全的UTM设备,但顾此失彼,其灵活性有很大的问题。刘伟指出:“大部分UTM 产品是通过一个特定平台,以划一的价格为客户提供一套相同的安全功能,用户不能关闭某些功能以提高设备的性能表现,同时不能选择增添额外的安全功能。”
再用上述用餐的例子,这名顾客选择在同一家餐厅享用头盘、汤、主菜、主食、蛋糕及咖啡,总体消费会比先前的方式低一些,各种食品的风味也很统一,进餐也十分方便,因为不用四出寻觅不同的餐馆。然而这家餐厅的消费方法很没有弹性 – 它只提供“套餐”,无论顾客的饭量如何,他都要照单全收头盘、汤、主菜、主食、蛋糕及咖啡,如果吃不消就只好浪费了。UTM 的情况也与此相仿,不论企业的安全需要如何,UTM都是提供同一整套的各种保护,就算有些功能是不需要的也没有办法。
刘伟表示:“有鉴于此,企业自然会期望安全厂商提供灵活性更高的部署方式,能不能同样是由单一餐厅提供实惠、可口、风味统一的菜式,但不仅限于‘套餐’的形式,顾客可以按需、按自己的喜好来‘零点’,甚至是自助餐的方式?”
Check Point 软件技术有限公司最近推出的软件刀片架构(Software Blade architecture)就是这顿理想中的“完美丰盛大餐”,这是业界首个可以为企业提供全面、高度灵活及容易管理的安全架构。通过这个全新的架构,企业能够从20多个软件刀片库中选用其所需要的安全保护,并可根据不同的IT环境和站点情况,灵活地配置适合的安全网关。
Check Point软件刀片架构为企业提供一个通用平台,使得它们能够部署可独立操作的、模块化以及具备可互操作的安全应用程序或“软件刀片”,例如防火墙、虚拟专用网(VPN)、入侵防御系统(IPS)、防病毒、政策管理或配置刀片。此架构可帮助用户根据自身需求选用恰到好处的安全软件刀片,并将其整合到一个单一集中管理网关。企业要对抗一种新的风险十分容易,它只需在Check Point安全平台上激活有关的软件刀片,整合其多个安全系统。
用户通过全新的软件刀片架构可以把功能从一个系统挪到另一个系统,或者把不同系统的功能整合或分拆,设置使用水平保证每个软件刀片的性能表现。这些功能令客户可以灵活扩展其安全保护,同时降低拥有总成本。例如,企业最初可以部署单核、单一刀片的防火墙系统,随后可在系统上添加四个刀片,运行VPN、网络防病毒、VoIP安全和入侵防御等功能,使其成为拥有五个刀片的系统。为了满足企业的性能要求,系统可升级为一个双核、四核或八核的计算机系统,通过附加功能支持多Gb性能要求。
刘伟总结说:“软件刀片架构的最大优点是为用户提供选择,让首席信息官可以投资在他们需要的体系结构,而不是对安全业界及厂商提倡的模式马首是瞻。”
