本文讲的是下一代磁盘加密:Bitlocker管理和监控,纵观这些年来,IT业的某些元素已经从“值得具备”演变为“绝对的必要条件”。如果回望十年前,IT环境非常不同:企业对修复系统还存在问题,配置基本不是标准化配置,并且数据被存储在很多不同的地点。快进到2011年,我们看到了很多方面的改进:补丁修复管理大部分都已经自动化,配置管理可以规范服务器和桌面架构,而数据仍然存储在很多不同地点。不管你喜不喜欢,数据加密是必须的,而且应该强制要求。事实上,移动设备变得越来越普遍,越来越多的雇主开始意识到当员工在家、咖啡厅或者飞机场使用公司配备的笔记本,将会为公司制造麻烦,这些移动设备可能会丢失、遗忘在的士或飞机上,或者遭受恶意攻击。现在很少公司在争论数据加密的原因,重点已经转移到如何进行数据加密。
内建磁盘加密还是选择第三方?
六七年前,磁盘加密产品还只是“生态位空间”;Guardian Edge、Safe Boot和 PGP等供应商出售的磁盘加密产品能够被安装在当时运行Windows XP的计算机上,而为这些产品颁布证书是独立的,企业趋向于为他们的移动设备的这些产品颁布证书,并将移动设备与传统的“固定”设备分隔开来。
在2006年,微软推出了Bitlocker Drive Encryption,该产品被嵌入到操作系统(Windows Vista Enterprise和Windows Vista Ultimate)的某种SKU中。由于Vista系统的普及度并不高,所以Bitlocker也鲜有人问津。内建磁盘加密已经足够好,还是说IT专家需要继续证明第三方磁盘加密软件的许可费用?
微软在Windows7中对Bitlocker进行了改进,包括加密多个卷的能力(在Vista中,引导卷是唯一能够被加密的)等。他们还添加了Bitlocker To Go功能,该功能允许对能够在其他Windows 7设备以及旧颁布操作系统(Windows Vista和Windows XP)上使用的可移动设备(例如usb闪存盘或移动硬盘)进行加密。然而,在微软的内建解决方案中仍然存在一些缺点,特别是,报告和综合管理能力。
一体化
很多IT部门面临着残酷的现实:随着公司不断发展,环境变得越来越复杂,能够帮助降低成本和消除复杂性的综合一站式解决方案对企业不仅仅是吸引,而且逐渐成为必需品。安全供应商也开始意识到这种一体式理念,他们收购磁盘加密“单点解决方案”(例如McAfee收购Safe Boot)并将其整合到他们的套件中。但是对于那些无法负担这些解决方案的IT部门该怎么办?微软的内建技术中是否提供了具有竞争力的功能?
现在很多IT专家都在构建和部署新的windows 7映象,这些问题也开始浮出水面,现在是时候认真研究一下微软应该在这个领域提供哪些功能了。微软在MBAM解决方案中增加了更多对Bitlocker的控制,该解决方案目前还是测试版本。很多人批评微软没有为企业报告磁盘加密状况提供完整的解决方案。
MBAM 的优点和缺点
MBAM具有几个显著的优点。首先,整合到windows 7中的构建和部署映象是很广泛的。MBAM“客户端”可以用于与你选择的部署工具,以自动化加密过程(当系统被映象化或换出的时候)。针对性也是很有效的,如果你只想针对某些设备子集,例如确定没有问题的笔记本模型。建议你从磁盘加密基线开始,因为非移动设备也并不意味着它不能移动,特别是在物理上不安全的区域。
报告功能也相当完善。报告引擎建立在SQL Reporting Services上面,正如图1中所示,根据操作系统、合规状态、计算机类型等来分类,都可以通过浏览器的形式来观看。用户可以快速查看某设备是否符合标准,以及快速识别设备不符合规则的根本原因。
▲图1: SQL Reporting Services Source生成的报告
密钥托管和管理方面有很大的提高,这也是Vista和Windows 7磁盘加密功能存在不足的地方。Bitlocker支持基于Active Directory的密钥托管,但是在对这些宝贵私钥信息的访问权限方面存在问题。Active Directory真的是所有企业存储密钥的最佳位置吗?从合规的角度来看,企业如何处理密钥的监管链?
在MBAM中,密钥托管现在可以被传输到加密的SQL数据库中,而不是Active Directory。这为密钥信息安全提供了更好的保障。移除服务台或桌面支持团队对Active Directory的访问权限也是MBAM吸引人的功能之一。密钥恢复也大大提高了,用户现在可以通过网页执行恢复。当然,他们将需要一个单独的机器来完成,如果他们的机器位于“前启动”Bitlocker Recovery控制台。
在企业部署windows 7映象作为“标准”用户方面,微软也进行了重大改进,现在最终用户可以进行加密过程(内建windows要求由管理员进行)。另外更改启动PIIN等管理任务也进行了调整。
当然,MBAM也有缺点。MBAM将不会是一个免费的附件,微软正计划将其包含在微软桌面优化包(MDOP)中,其中包括应用虚拟化以及诊断和恢复工具集(DART)等功能。这将是一个额外需要订购的服务。
总结
不管你坚持现有的“附加”产品还是正在评估windows的内建解决方案,磁盘加密都是每个操作系统的必要组成部分。对于很多想要降低成本和充分利用操作系统集成功能的企业而言,MBAM提供的密钥报告和管理功能已足够满足他们的要求。
作者:邹铮/译
来源:it168网站
原文标题:下一代磁盘加密:Bitlocker管理和监控