Ochrana koncových bodů musí být prioritou číslo jedna

9. 8. 2010

Sdílet

Zabezpečení koncových firemních bodů, tj. klientských stanic, popřípadě i serverů, se ve firemním IT těší patřičné pozornosti. Tvoří totiž základ úspěšné prevence před hrozbami, kterými se dnešní internet jen hemží.

Pokud je berete opravdu vážně, je jasné, že vás neuklidní instalace běžného antiviru a osobního firewallu, ale budete žádat i další pokročilé a doplňkové funkce, jež současná řešení nabízejí.

Řešení pro ochranu klientských stanic a serverů ve firemní síti – ale dnes stále častěji i mimo ni – zpravidla nabízejí také funkce, jako jsou ochrana při prohlížení webových stránek, kontrola aplikací, nebo také šifrování dat na disku a různých médiích, kontrola přístupu do sítě apod. Aktuální verze některých softwarových produktů tohoto typu jsme si podrobněji popsali v letošním sedmém vydání Computerworldu, nyní se k tomtuo tématu vracíme, abychom se blíže podívali, co v této oblasti nabízí společnost Check Point.

Check Point Endpoint Security

Řešení společnosti Check Point určené pro ochranu koncových bodů představuje ucelený balíček bezpečnostních služeb orientovaných na uživatele pracující na platformě Windows. Jak je u většiny produktů tohoto typu běžné, je dodáván v několika variantách.

K základním funkcím patří desktopový firewall, antivirus a antispyware, remote access VPN, funkce WebCheck, programová kontrola a NAC – tato sada odpovídá verzi označované atributem Secure Access. Nejúplnější balík s názvem Total Security obsahuje navíc funkce OneCheck pro jednotné přihlašování a dále šifrování celého disku, šifrování výměnných médií a ochranu portů. Kromě toho pak výrobce nabízí dva úžeji zaměřené balíčky, jimiž jsou Full Disk Encryption pro šifrování celého disku a Media Encryption pro šifrování médií a ochranu portů. To je docela zajímavá nabídka zejména pro zákazníky, kteří již nějaké antimalwarové produkty nasadili a hledají specificky tuto funkcionalitu, která například výrazně zvýší bezpečnost přenosných počítačů apod.

Na klientské straně jsou všechny uvedené funkce zajišťovány jediným agentem, který podporuje Windows ve verzích XP Pro, Vista a 7. Tento přístup je výhodný jak pro uživatele, tak pro administrátory, kteří se nemusejí starat o větší počet bezpečnostních aplikací. Uživatel vidí pouze jednu ikonu a jednotně se provádějí také veškeré aktualizace. Během testování si agent pro sebe uzurpoval něco málo přes 100 MB RAM, což je pro daný typ řešení docela běžná hodnota. Důležitější je, že dopad na procesor byl v klidovém stavu minimální, prakticky nulový. Při manuálně spuštěném skenování se využití CPU vyšplhalo až na hodnotu přes 50 %.

Klientský software Check Pointu příjemně překvapil dobře navrženými a spolehlivými funkcemi. Kladné hodnocení si zaslouží především firewall s dobře navrženou sadou základních pravidel pro příchozí i odchozí provoz, která ta lze jednoduše upravovat nebo doplňovat. Ocenili jsme také propracovanou VPN pro vzdálený přístup. Nabízí také funkci Auto-Connect, díky níž se uživatel nemusí při připojení ze vzdálené sítě o nic starat, neboť VPN klient nejenom automaticky vytvoří VPN session, ale také udržuje spojení, pokud pak například přecházíte mezi pevnou sítí LAN a bezdrátovým připojením Wi-Fi nebo 3G.

Antivirus/antispyware využívá osvědčený engine Kaspersky a doplňuje jej antispywarovou technologií Check Pointu. Podporovány jsou však i další enginy třetích stran (Symantec, Sophos, McAfee atd.). antivirová kontrola nabízí heuristickou analýzu, skenování při přístupu i hloubkové skenování na vyžádání včetně možnosti definice cílových složek a typů souborů či výjimek. Antispyware dovoluje jak inteligentní rychlé, tak úplné a hloubkové skenování. Samozřejmě je možné si nadefinovat příslušné akce při nalezení škodlivého kódu – během testů si agent s několika desítkami našich vzorků malwaru poradil bez potíží.

Užitečnou funkcí je WebCheck, jenž slouží k ochraně před známými i neznámými webovými hrozbami. Jde mnohem dál než jiné aplikace typu webového štítu, neboť v podstatě s využitím sandboxu virtualizuje prostředí prohlížeče, a pokud prostřednictvím heuristiky odhalí rizikový kód na webu, varuje uživatele před jeho návštěvou. Případný útok pak proběhne pouze uvnitř sandboxu bez škodlivého dopadu na systém. WebCheck také hodnotí stránky na základě řady kritérií, jako jsou délka existence domény, přítomnost IP na seznamech distributorů spamu či země, v níž je hostována.

K zajímavým funkcím specifickým pro oblast zabezpečení koncových bodů patří aplikační kontrola, Program Control, u níž jsme ocenili zejména snadné nastavení, které programy budou povoleny či zakázány na počítačích či serverech. Pracuje na principu bílé listiny a aplikace jsou přehledně členěny do logických skupin (prohlížeče, e-mailoví klienty apod.). Pro zjednodušení konfigurace je k dispozici Program Advisor, což je databáze důvěryhodných i podezřelých programů, která v reálném čase umožňuje automatizovat nastavení.
Pro podniková prostředí, kde je implementována kontrola přístupu do sítě, nabízí Endpoint Security také NAC. K dosažení maximální ochrany můžete využít také zmíněné silné 256bitové šifrování celého disku či výměnných médií, jako jsou CD či USB flash paměti, které je dostupné v balíku Total Security. V případě zakódování disku je autentizace vyžadována ještě před bootováním, takže jej není možno obejít. S tím souvisí funkce OneCheck, která slouží k jednotnému přihlášení do Windows a ke všem bezpečnostním funkcím včetně šifrování.

Check Point dovoluje aplikovat různé politiky podle toho, kde se právě nachází uživatel – různé restrikce tak můžete uplatnit na pracovníka připojeného s notebookem do firemní LAN, do veřejného internetu nebo přes Wi-Fi. V případě, že je uživatel off-line, zůstává v platnosti poslední verze příslušné politiky. Editor politik je přitom navržený velmi dobře, což aplikaci bezpečnostních opatření na veškeré firemní počítače činí relativně snadno zvládnutelným úkolem. Přitom ale nabízí velkou hloubku kontroly nad všemi aspekty zabezpečení.

Konzole pro centrální správu běží nad Windows Serverem 2003 a přístup k ní je možný prostřednictvím internetového prohlížeče (Internet Explorer nebo Firefox). V první řadě je třeba ocenit dobře navržené rozhraní, se kterým se dá velmi efektivně pracovat. Instalaci agenta na PC v síti je možné provádět buďto pomocí klasických nástrojů pro distribuci softwaru, s využitím sdílené složky, Active Directory a skupinové politiky. Správní rozhraní nenabízí funkci push, ale pro většinu administrátorů v prostředí orientovaném na Windows to nebude závažný problém. Reporting vypadá na první pohled trochu jednoduše, ale při bližším pohledu nabízí veškeré informace, které potřebujete k rychlému vyhodnocení stavu zabezpečení ve vaší síti – a na rozdíl od některých jiných systémů tohoto typu se k nim dostanete rychle. Podpora klientských platforem, tj. aktuálních verzí Windows, není tak široká, jako u některých konkurenčních řešení, ale požadavkům většiny firem i tak vyhoví, neboť Linux a jiné platformy jsou tak jako tak využívány často pro specifické aplikace, a tudíž i jejich zabezpečení lze řešit mimo Endpoint Security.

Celkově vzato představuje Check Point Endpoint Security vyspělou sadu bezpečnostních funkcí, která poskytne všechny dnes žádané funkce pro vytvoření neprůstřelné ochranné bariéry na úrovni koncových bodů firmy. Kromě toho kladně hodnotíme také propracované a logické rozhraní správní konzole, které umožňuje udržet si plnou kontrolu nad všemi počítači v síti a sledovat celkový stav zabezpečení.