4有价值的增加你的云安全工具包

如果你问高管为什么他们犹豫是否搬到公共云,安全出现在列表的顶部。但安全厂商应对这些担忧一系列新产品。这里有四个有趣的云安全工具,我们测试了。

数字角色的ProWorkgroup SaaS云安全工具,自动加密硬盘最终用户个人电脑和笔记本电脑。在云中GlobalScapeMIX提供一个安全的FTP服务。NetIQ云安全服务provides a secure proxy for logging into SaaS apps, like Google Apps and Salesforce.com. And CloudPassage embeds a security monitoring and policy enforcement tool into online cloud instances.

DigitalPersona专业工作组SaaS

DigitalPersona大部分的工作已经在bio-authentication -指纹读者及其相关安全组件。但在7月,DigitalPersona推出专业工作组SaaS,云安全产品提供硬盘加密窗户机器。

而产品已经针对OEM系统制造商(惠普),现在可以通过SaaS(也作为本地服务器设备)。我们喜欢它,尽管它的目前只兼容Windows是一个缺点。

与眼睛向小型/中型组织发达,DigitalPersona做复杂,然而简单:它推动政策的Windows机器启动加密、管理密钥,然后使用它的驱动程序来填充一个服务器数据库报告目的的指标。

对于一些组织、系统的磁盘加密都是一个至关重要的能力。在笔记本电脑/笔记本电脑磁盘损失或盗窃可以产生巨大的责任和昂贵的减损流程,DigitalPersona相信其aes - 256加密耦合到一个完整的审计跟踪(机器电话家里每90分钟左右状态)是至关重要的。

表面上是敏感数据保护;我们所使用的技术是强大的。

虽然DigitalPersona的方法听起来不错,有一些问题DigitalPersona声称是在将来的版本中解决。第一:这是Windows和Active Directory。其次,这是托管在亚马逊网络服务,这对一些组织会没事的,而不是为别人因为AWS感知问题,包括中断和安全。

DigitalPersona也可作为一个服务器设备,但是以这种方式使用时,备份和应用程序安全性是一个组织的支持下,责任,和政策。

最后,它的内部驱动,而不是可移动驱动器或驱动器不是相同的控制器。这不是一个复杂的应用程序,我们不能把它或阻止它。

我们发现所需的步骤可以分为三个方面:设置初始服务器和用户,获得政策推动和驱动器加密,然后处理善后事宜的服务用户忘记密码。

钻是你安装(在设备的情况下),或登录DigitalPersona预生成的网站获得,然后根据广告会员设置组和用户。然后建立一个政策文件;向最终用户交付文件通过电子邮件,文本,闪存驱动器,等等。

用户下载应用程序、政策和加密开始(BIOS或软件)——但整个驱动器加密,包括重要的masterboot记录。DigitalPersona还支持备用引导装载器,GRUB 2如果需要。用户需要输入密码,希望长,很难猜。密码类型是根据广告政策执行。

如果用户忘记密码,或机器需要投降,有两种方法可以获得密码。可以生成一个临时密码的SaaS或服务器应用程序。交替,最初的二次身份验证(问和回答一个问题)才能得到一个新的密码。

您还可以使用智能和/或bio-authentication卡作为身份验证选项。在我们试验的两个笔记本,它工作。加密需要一段时间,这取决于笔记本(ssd可能快得多),可以成功地打断/继续。

但是没有电脑,没有Linux,几单点故障。然而,对于那些讨厌的想法发出很大的世界,一个笔记本有有价值的数据丢了不知何故没有加密,这是一个强有力的工具。

GlobalScapeMIX

GlobalScapeMIX(管理信息交易所)是一个SaaS云安全工具和门户来取代自托管安全的文件存储和传输。GlobalScape与自上而下的就像一个安全的FTP服务锁定谁获得访问,在什么情况下和多长时间。

组合提供了一个历史谁得到什么,什么认证,从IP地址,所有交易数据链的有关文件。

它是一个托管服务,大火。这不是用户可编程在某种意义上,你不能使用SAML或其他安全语言获取数据文件和离开。这是由几乎任何访问客户机和web身份验证通过加密的会话。对文件和文件夹,虽然它不是专为使用的大对象存储云VM实例,尽管混合几乎可以吞下任何文件大小。

GlobalScape提供我们自己的门户。我们检查了https安全,发现他们有自签名证书,与256位的公钥证书sha - 1,包括额外的加密证书都在秩序。

他们轻而易举地抢走我们的标志从我们的网站发布在门户网站使我们有宾至如归的感觉。接受两个证书后,我们就可以发布或下载文件单独或通过刻度线选择。Globalscape声称三个独立路线他们的服务器,内部全冗余。我们能够验证的很大一部分他们的硬件/路由索赔和缺乏地理测试,但是他们持有大量认证支持他们的观点。

下载速度我们曾经能够获得在我们的网络运营中心(NOC)或通过康卡斯特的有些古老的路由。nFrame NOC,我们能够达到58 mbps和稍快上传下载。用户界面非常简单,任何平民可以在几分钟内找出答案。可以同时排队上传和下载文件。可以停止和恢复的过程。小培训需要帮助用户利用混合。

GlobalScape混合使用的网站是符合FIPS 140 - 2和sas - 70 ii认证。GlobalScape提供“紧”服务水平协议(SLA),在Rackspace,目前主持,虽然我们被告知其他网站。

好处非常好:组织得到文件托管离线和不需要处理文档交换与合作伙伴的管理,但接收邮箱地址发送敏感文件(如果需要的话)。

想交换医用x射线、法律文档、房地产关闭文档。用户可以快速意义的UI,发送和接收文件从任何地方,在任何时间,在session-managed环境中。缺点是它不是直接寻址通过SAML或其他安全标记语言,但也不能被他们。它不是廉价的,但也许比做内部的成本。

NetIQ云安全服务

NetIQ (以前Novell)云安全服务是一种基于SaaS的代理系统登陆SAML2-based SaaS应用程序的服务,比如Google Apps和Salesforce.com。

像其他越来越多的SaaS服务,GoogleApps和Salesforce证书和代理身份验证保护,我们注意到在我们的审查Symplified。

服务目前OEM和重新包装,云服务提供商,和管理服务提供商(MSP)供客户使用,通常作为一个包的一部分,或作为一个选项不同的主机服务。这是一个联邦身份组件使用微软Active Directory(测试),Novell eDirectory或Oracle / Sun的目录服务。

每个CSS-subscribing MSP开发一个定制的门户,许多已知的SaaS服务可以通过客户的代理活动目录作为一个增值,审计验证机制。的好处是,客户端可以启动和停止验证通过活动目录和使用活动目录管理身份验证凭证的简约SaaS服务。

我们与我们的测试活动目录NetIQ测试门户,这是功能所使用的相同的议员。一旦完成,web访问门户建立用户、组和SaaS服务。首先,我们time-synced服务器;变得不同步会导致问题的生成和证书过期,导致SaaS网站拒绝登录凭证通过CSS,导致后续的支持问题。

每个MSP负责他们的服务支持,但不支持的SaaS提供商可以“编程”如果服务支持SAML登录。NetIQ CSS代码示例如果需要新的/未知的服务,和精明的SAML和Java程序员可以把它们放在一起作为SaaS服务选择代理访问。通常,CSS负责后台SAML代码。

我们生成一个链接和一个MSI (Windows安装包)为我们的服务器。反过来,通过运行服务门户服务器的链接。正如预期的那样,服务安装到我们的Windows 2008 R2服务器建立了一个实时链接测试门户,和审计的部分软件知道当服务器。

事实上,如果服务器的下降,其数据库的证书和证书不能访问或更新,我们偶然发现了这个。这也可以防止旧/死凭证被错误地授权。教训:保持连接服务器或多余地可用。

每个所需的SaaS服务最初谈判;作为一个例子,GoogleApps建立服务和先进的登录修改证书和代理服务(或一个或其他)。我们开始清洁GoogleApps帐户,并指出凭证。

反过来,我们建立了用户登录门户应用程序内GoogleApps标准。然后用于身份验证的证书,以及代理登录url所需的服务,例如:GoogleApps。这个加密和验证user-SaaS对话,并允许管理员控制谁可以访问,当访问可以撤销或授予。

唯一的缺点我们看到CSS门户之间的通信,我们的服务器,SaaS网站我们连接到可以缓慢更新和同步。

Symplfied相比,NetIQ CSS是一种更原始的在某些方面,但是对于那些试图把他们的许多应用程序云,但保留一个兼容的目录服务(我们的示例:Active directory),这是一个很好的方法来管理安全、可撤销的认证没有太多麻烦。

它是由那些使用行政背景至少,和其产品——平民使用的URL到他们的应用程序——高度简化。下面,它使用LDAP, cross-directory服务兼容的,是的,我们使用Mac。

CloudPassage光环守护进程

CloudPassage有云服务设计嵌入一个安全监测和在线云实例策略执行守护进程。云服务可以控制的情况下,添加一些安全元素推送到服务器。

产品是有限的Linux实例(2.16 +内核),但适应其他Linux机器。brown-belt-in-Linux +产品,而不是企图的平民,但他们不太可能想包装12个Linux实例到AWS心血来潮,。

CloudPassage当前提供的服务是免费的,根据CloudPassage发言人,仍将免费“永远”。未来的选择是做更多的计划。现在,CloudPassage安装对Linux的两个主要分支指令,Debian和RedHat,及其变体。指令在网站上注册并安装设备有一些错误,但上述brownbelts图出来。

一旦一个实例的设置(最小)和CloudPassage守护进程运行,服务器电话提供给每个客户的实例,然后描述了与服务器的感觉是错误的登录。

CloudPassage提出了三种级别的警报,所有相关配置。有细节和引用,和最佳实践建议——其中一些可以忽略,只是信息,如“我们告诉你这可能是坏的”。这并不表明“技巧”,而最佳配置。

我们测试了CloudPassage在两个方面,独立(单一)实例,然后旋转半打克隆AWS图像和通过我们的nFrame NOC嵌入式里面的守护进程2020欧洲杯预赛。光环守护进程唤醒最初并运行扫描图像,然后报告结果,并使政策变化,基于三大类,配置,软件和防火墙问题。

它读取多个配置文件,批评他们,提高警报服务器和信息的建议。然后要进行定期更新趋势变化和教育管理者。