思科为移动安全设置了标杆

以前的 12 第二页

如果不把这个测试变成一大堆特性的话，很难描述AnyConnect客户体验有多完整。思科已经做了很好地覆盖所有的基地,支持严格和宽松的安全策略,以及多个部署选项(如预先安装客户端或让终端用户下载它从ASA设备使用一个Web浏览器)和身份验证设置(如是否用户登录前的VPN客户端启动Windows或之后)。我们对这些特性进行了很好的尝试，发现AnyConnect客户端在这方面的工作如广告所示。

我们在终端安全态势检查方面有成功也有失败。基本的主机扫描是ASA AnyConnect高级许可证的一部分，而补救功能(如强制反恶意软件更新或打开桌面防火墙)则需要高级端点评估许可证。

在AnyConnect客户端中端点安全的部分困难在于该策略分散在ASDM的不同部分。例如，您在ASDM的某个部分中查找是否存在某个特定的反病毒包，但是要确保您没有在策略的完全不同部分的虚拟机中执行该程序。

ASDM管理工具允许您使用传统的流程图符号构建姿态检查决策树，这种技术与F5在其SSL VPN产品中开创的技术很像。在任何情况下，这种端点姿态检查的配置方法比思科基于ACS RADIUS/TACACS的旧方法更容易理解和可扩展性约为1000%服务器。

AnyConnect客户端的端点安全方法代表了思科目前对如何在同一个客户端同时进行NAC和VPN姿态检查的思考。思科继续避开Trusted Computing Group关于姿态检查的开放标准，并在单一供应商解决方案上取得了进步，将其自己的Cisco Secure Desktop和OPSWAT的end-point姿态检查工具包合并成一个完美的合并解决方案。(Oesis Framework是OPSWAT产品，是一个包含在其他安全产品中的软件库，用于检测各种终端安全产品的存在和状态。)

总的来说，网络管理人员必须在思科战略的简单性与思科和OPSWAT愿意支持的内容之间取得平衡，思科战略只需要一个客户端，不需要终端安全供应商的特别合作。

多年来，我们在NAC和SSL VPN安全测试中使用OPSWAT的经验一直不错，尽管在使用实验室的标准反病毒包Sophos进行测试时，我们经常难以获得一致的结果。这种经验在这个测试中得到了体现，同一个杀毒包的不同配置在AnyConnect客户机中给出了不同的结果。使用AnyConnect客户端进行端点姿态检查的网络管理人员将希望试验自己的配置和端点，以避免出现假阳性和阴性结果。

网络安全要靠云

思科的安全移动解决方案有三个具体的策略来保护终端用户不受广阔的互联网荒地的影响:终端安全、基于云的安全和企业代理保护。

在终端，AnyConnect客户端和它的Cisco安全桌面特性集本身并没有提供太多的保护(除了一个基本的个人防火墙之外)，但是可以用来检测终端安全的状态，并且，通过购买一个高级端点评估许可证，执行一些有限的控制。

第二种策略是云安全，与思科最近收购的ScanSafe合作提供。思科已经将ScanSafe客户端工具并入AnyConnect客户端，并将ScanSafe策略管理工具并入ASDM，使得部署基于云的恶意软件扫描和网页过滤功能的选项变得相当简单。ScanSafe许可证是完全独立于所有其他安全移动许可证，ScanSafe只支持在Windows平台。

虽然这种集成使得企业可以很容易地选择基于云的扫描，但我们认为，大多数企业将把基于云的扫描和企业代理保护视为“非此一非”的选择。从政策的角度来看，思科已经对整个ScanSafe界面进行了非常轻的接触。

例如，AnyConnect客户端有可信的网络检测功能，ScanSafe也有类似的功能。并不是将两者结合在一起，而是各自独立运行，让ScanSafe可以在非anyconnect环境中工作。类似地，在IronPort S-Series网络代理上建立的所有基于Web的安全策略都完全独立于为ScanSafe建立的策略;您不能重用任何组件，也不能轻松地将策略从一个组件转换到另一个组件。

我们选择关注第三种类型的Web安全:Web代理。思科将基于Web的安全性应用到VPN用户的方法需要ASA VPN集中器和s系列Web代理之间进行紧密连接，以便将身份验证信息传输到Web代理。进行链接非常简单——只需将公共端口号和共享密钥放入两个设备中，单击“test”按钮，如果一切正常，就完成了。

ASA向IronPort S-series发送用户名，但不发送任何组成员信息，因此我们必须链接到Active Directory(支持NTLM或LDAP)来获得这些信息。一旦解决了这个问题，我们就能够应用基于用户和组的Web安全策略。

在AnyConnect客户端、ASA设备和IronPort s系列集成中，最重要的部分之一是向AnyConnect客户端自动下载代理信息。我们在Windows (Internet Explorer)、Mac (Safari、Chrome和Firefox)和iPhone系统上进行了测试，这些系统都运行着AnyConnect客户端，通过VPN通道、通过IronPort s系列代理，以及通过互联网进行无缝浏览。

IronPort s系列有一套相当标准的保护措施，包括URL过滤(例如，阻止赌博网站)，用两种不同的引擎(Webroot和McAfee在我们的测试系统中)进行恶意软件扫描，以及网络声誉检查(用于阻止访问已知的不良网页或对象)。IronPort s系列还支持“中间人认证”(approved man-in- middle)，这是一种通过使用伪造的公钥基础设施证书假装成加密的Web服务器来“入侵”SSL对话的方式。

我们简要地测试了恶意软件扫描和URL过滤。与所有的URL过滤产品一样，我们有一个非常高的成功率，但能够通过一些违反策略的URL。10个最近被传输到我们的测试实验室网络的病毒都被恶意软件扫描器捕获。

我们“喜欢”Facebook的控制

IronPort s系列的一个新特性是应用的可见性和控制。这使得网络管理器可以直接监视和阻塞各种基于web的应用程序，与产品的URL过滤部分分开。我们测试的版本更多的是一个概念验证，而不是一个完整的应用可见性工具，只有八个类别，包括“博客”、“Facebook”、“IM”、“LinkedIn”、“媒体”、“P2P/文件共享”、“会议”和“社交网络”。

这些是不同应用程序的大杂烩，其中许多可以通过简单的URL过滤捕获。然而，应用程序可见性背后的思想似乎超越了简单的阻塞/允许/警告URL过滤，而在控件中获得了更具体的内容。

例如，Facebook被分成15个子类别，如“Facebook应用:游戏”和“Facebook应用:教育”，这将允许你区分不同类型的Facebook使用，屏蔽那些你不允许的。在我们的测试中，s系列能够区分不同类型的Facebook使用，并相应地阻止访问。事实上，Facebook是最复杂的控件之一。例如，你可以屏蔽所有Facebook事件，或者你可以屏蔽发布事件，但允许“喜欢”事件。在领英的控件中，你可以将招聘栏和消息栏分开，也可以将求职栏和招聘启事分开。

在我们的测试中，IronPort s系列完全做到了它所说的——识别应用程序并应用应用程序控制，包括带宽限制，作为Web代理。但是，要使其工作，显然需要适当的配置。

例如，现在许多Facebook用户选择加密他们的会话，您必须使用经过批准的中间人来解密SSL，否则就不可能应用细粒度的应用程序控制。类似地，如果你想控制BitTorrent，你必须通过阻止VPN用户试图绕过代理来强制通过代理的流量。

总的来说，思科的安全移动解决方案中的Web安全选项为网络管理员提供了足够的选择，为终端用户提供强大的政策执行，无论他们在哪里。

斯奈德是亚利桑那州图森市Opus One的高级合伙人。请联系他Joel.Snyder@opus1.com。