企業終端安全比較:Windows對比Mac
我們到處都會看見或聽到關于麥金塔電腦(Macintosh,簡稱Mac機或蘋果機)正 “大舉入侵”企業的報道和趣聞軼事。更確切地說,當你奔走于技術會議時,比起聽到熟悉的微軟Windows系統啟動聲,你更多的是看到精巧奪目的蘋果產品正盯著你。還有個安全會議上永遠不變的話題,“蘋果產品還沒到適合企業部署的時候”。
那么,真相何在?Mac機比Windows平臺更加安全?它們對你的企業網絡而言是安全的嗎?在本文中,我們將提供一個簡要的企業終端安全對比,看看這兩種設備在幾個關鍵類別方面表現如何,并總結了一些建議,幫助你評估增加更多的Mac終端產品到以Windows為主的環境中的風險。
首先,為了充分的披露,我最近已承認自己實際上是個蘋果粉絲。我完全不知道怎么會這樣,但幾年前我買了第一代iPhone,然后突然間,我的家庭和辦公室就充滿了蘋果產品。最近我才意識到,任我驅使的Windows平臺僅僅是一個運行著Vista的老爺車,被我的孩子用來做家庭作業和玩游戲。除此之外,現在對我來說,Windows完全是一個通過使用Boot Camp或是Parallels軟件的虛擬體驗而已(注:Boot Camp和Parallels都是用于在Mac主機上運行Windows系統的軟件)。當我們探索網絡上Windows與Mac的安全性時,我會把這些個人喜好放一邊。
讓我們從以下類別看看Mac與Windows設備的表現:
網絡安全協議
網絡安全專業人士依靠常見的工具包來保護網絡上傳輸的敏感信息。我們使用VPN來保護連接到家庭網絡的遠程用戶,并且依賴強健的IPsec和SSL VPN技術來提供如巖石般可靠的安全。我們也花了很多時間關注無線網絡的安全,并依靠WPA(WiFi Protected Access)標準來確保這些通信的安全。
結論是什么呢?
平局。Mac和PC主機都支持需要的基本網絡安全工具,從而在公共網絡和私人網絡上提供安全的通信。只要你在這兩種設備上都配置使用強加密,那這里就沒有一個平臺擁有優勢。
基于網絡的管理
你的企業越龐大,你越可能依賴中心化的工具來管理你的桌面配置、反惡意軟件防護、數據防泄漏以及其它網絡安全技術。Windows商店通常依賴活動目錄(AD)來管理這些任務,而且尚沒有一個可靠的、始終如一的方法來接手AD策略并將它們應用于你的MAC平臺。
當談及對Mac主機的支持時,即使是原本打算減輕集中化設備管理的第三方產品,通常也不符合要求。他們給管理員這樣的感覺(可能不是錯覺!),那就是廠商的開發人員幾個月或是多年來專注于開發基于Windows系統的產品,但隨后他們迅速地趕工出對Mac主機的支持,然后他們就可以宣稱他們支持Mac系統。事實上,在最近的一款DLP產品發布中,我就經歷了這種感覺。通過AD,PC上的部署進展很順利,但在Mac主機上部署,要求技術人員訪問每個單獨的機器并安裝客戶端。這可真不是一個流暢的體驗!
這里的關鍵問題是,對于企業管理來說PC機擁有絕對的優勢。蘋果還沒有發展到足夠對企業提供真正的支持。這局中,Redmond的人們占據優勢(注:Redmond是微軟在華盛頓州的總部所在地)。
服務器網絡安全
你考慮過在環境中運行一臺Mac OS X系統的服務器嗎?你可能想三思而后行。從網絡安全的角度來看,微軟已經投入更多的時間和努力來開發可用于企業部署的產品。
在2011年的黑帽大會上,來自iSEC Partners公司的研究人員分享了一份關于Windows和Mac機安全比較的詳細結果。其中一個章節中,他們比較了Windows Server 2008 R2版本與Mac OS X 10.7版本服務器的漏洞。結論是什么呢?根據iSEC的結果,Windows以令人震驚的成績取得全面優勢,“OS X網絡更容易遭到網絡權限提升攻擊。幾乎每臺OS X服務器的服務提供的都是脆弱或已被攻破的認證方法”。
再一次,微軟在這個類別中拔得頭籌。事實上,我不知道一家企業會試圖完全的依賴于蘋果產品。(在你開始朝我發火前,我說過我個人不了解這樣的案例——我敢肯定,你也不知道!)
那你該做什么?
首先,接受你不再可能運行一個純Windows環境的事實。科技的消費化以及用戶對Mac產品的需求的共同推動意味著,在不久的將來你會在你的網絡中看到更多的Mac設備,假設它們還沒有部署在你的網絡中。
也就是說,即使像我這樣很多的Mac愛好者討厭承認這個事實,但蘋果還沒有生產出一件產品可以用于任何大型的企業環境。我懷疑他們會繼續把那些能自己維護設備、并只需要能在Mac主機上運行的工具(并且有專門的IT支持人員來做他們的后援)的創新型IT專業人員攥在手里面(你會不得不把我的手從Macbook上撬開),但是在企業能容易地支持并確保混合環境的安全之前, Cupertino(注:蘋果總部所在地)的員工們仍然有許多工作要做。
所以在此期間,確保你仔細地考慮過擁有Mac機對網絡安全意味著什么。當你選擇并且部署配置管理產品來幫助你的網絡安全管理時,確保Mac產品出現在你考慮到的使用案例中。如果你將使用VPN或是無線網絡,確保在其部署到生產環境前,在一些不同版本的Mac OS X 系統上進行了測試。在我們的網絡中,Mac產品的出現是不可避免的,并且該輪到我們來保證它們的安全了。
