縱觀這些年來,IT業的某些元素已經從“值得具備”演變為“絕對的必要條件”。如果回望十年前,IT環境非常不同:企業對修復系統還存在問題,配置基本不是標準化配置,并且數據被存儲在很多不同的地點。快進到2011年,我們看到了很多方面的改進:補丁修復管理大部分都已經自動化,配置管理可以規范服務器和桌面架構,而數據仍然存儲在很多不同地點。不管你喜不喜歡,數據加密是必須的,而且應該強制要求。事實上,移動設備變得越來越普遍,越來越多的雇主開始意識到當員工在家、咖啡廳或者飛機場使用公司配備的筆記本,將會為公司制造麻煩,這些移動設備可能會丟失、遺忘在的士或飛機上,或者遭受惡意攻擊。現在很少公司在爭論數據加密的原因,重點已經轉移到如何進行數據加密。
內建磁盤加密還是選擇第三方?
六七年前,磁盤加密產品還只是“生態位空間”;Guardian Edge、Safe Boot和 PGP等供應商出售的磁盤加密產品能夠被安裝在當時運行Windows XP的計算機上,而為這些產品頒布證書是獨立的,企業趨向于為他們的移動設備的這些產品頒布證書,并將移動設備與傳統的“固定”設備分隔開來。
在2006年,微軟推出了Bitlocker Drive Encryption,該產品被嵌入到操作系統(Windows Vista Enterprise和Windows Vista Ultimate)的某種SKU中。由于Vista系統的普及度并不高,所以Bitlocker也鮮有人問津。內建磁盤加密已經足夠好,還是說IT專家需要繼續證明第三方磁盤加密軟件的許可費用?
微軟在Windows7中對Bitlocker進行了改進,包括加密多個卷的能力(在Vista中,引導卷是唯一能夠被加密的)等。他們還添加了Bitlocker To Go功能,該功能允許對能夠在其他Windows 7設備以及舊頒布操作系統(Windows Vista和Windows XP)上使用的可移動設備(例如usb閃存盤或移動硬盤)進行加密。然而,在微軟的內建解決方案中仍然存在一些缺點,特別是,報告和綜合管理能力。
一體化
很多IT部門面臨著殘酷的現實:隨著公司不斷發展,環境變得越來越復雜,能夠幫助降低成本和消除復雜性的綜合一站式解決方案對企業不僅僅是吸引,而且逐漸成為必需品。安全供應商也開始意識到這種一體式理念,他們收購磁盤加密“單點解決方案”(例如McAfee收購Safe Boot)并將其整合到他們的套件中。但是對于那些無法負擔這些解決方案的IT部門該怎么辦?微軟的內建技術中是否提供了具有競爭力的功能?
現在很多IT專家都在構建和部署新的windows 7映象,這些問題也開始浮出水面,現在是時候認真研究一下微軟應該在這個領域提供哪些功能了。微軟在MBAM解決方案中增加了更多對Bitlocker的控制,該解決方案目前還是測試版本。很多人批評微軟沒有為企業報告磁盤加密狀況提供完整的解決方案。
MBAM 的優點和缺點
MBAM具有幾個顯著的優點。首先,整合到windows 7中的構建和部署映象是很廣泛的。MBAM“客戶端”可以用于與你選擇的部署工具,以自動化加密過程(當系統被映象化或換出的時候)。針對性也是很有效的,如果你只想針對某些設備子集,例如確定沒有問題的筆記本模型。建議你從磁盤加密基線開始,因為非移動設備也并不意味著它不能移動,特別是在物理上不安全的區域。
報告功能也相當完善。報告引擎建立在SQL Reporting Services上面,正如圖1中所示,根據操作系統、合規狀態、計算機類型等來分類,都可以通過瀏覽器的形式來觀看。用戶可以快速查看某設備是否符合標準,以及快速識別設備不符合規則的根本原因。
▲圖1: SQL Reporting Services Source生成的報告
密鑰托管和管理方面有很大的提高,這也是Vista和Windows 7磁盤加密功能存在不足的地方。Bitlocker支持基于Active Directory的密鑰托管,但是在對這些寶貴私鑰信息的訪問權限方面存在問題。Active Directory真的是所有企業存儲密鑰的最佳位置嗎?從合規的角度來看,企業如何處理密鑰的監管鏈?
在MBAM中,密鑰托管現在可以被傳輸到加密的SQL數據庫中,而不是Active Directory。這為密鑰信息安全提供了更好的保障。移除服務臺或桌面支持團隊對Active Directory的訪問權限也是MBAM吸引人的功能之一。密鑰恢復也大大提高了,用戶現在可以通過網頁執行恢復。當然,他們將需要一個單獨的機器來完成,如果他們的機器位于“前啟動”Bitlocker Recovery控制臺。
在企業部署windows 7映象作為“標準”用戶方面,微軟也進行了重大改進,現在最終用戶可以進行加密過程(內建windows要求由管理員進行)。另外更改啟動PIIN等管理任務也進行了調整。
當然,MBAM也有缺點。MBAM將不會是一個免費的附件,微軟正計劃將其包含在微軟桌面優化包(MDOP)中,其中包括應用虛擬化以及診斷和恢復工具集(DART)等功能。這將是一個額外需要訂購的服務。
總結
不管你堅持現有的“附加”產品還是正在評估windows的內建解決方案,磁盤加密都是每個操作系統的必要組成部分。對于很多想要降低成本和充分利用操作系統集成功能的企業而言,MBAM提供的密鑰報告和管理功能已足夠滿足他們的要求。
原文鏈接:http://safe.it168.com/a2011/0819/1235/000001235244.shtml
