我们到处都会看见或听到关于麦金塔电脑(Macintosh,简称Mac机或苹果机)正 “大举入侵”企业的报道和趣闻轶事。更确切地说,当你奔走于技术会议时,比起听到熟悉的微软Windows系统启动声,你更多的是看到精巧夺目的苹果产品正盯着你。还有个安全会议上永远不变的话题,“苹果产品还没到适合企业部署的时候”。
那么,真相何在?Mac机比Windows平台更加安全?它们对你的企业网络而言是安全的吗?在本文中,我们将提供一个简要的企业终端安全对比,看看这两种设备在几个关键类别方面表现如何,并总结了一些建议,帮助你评估增加更多的Mac终端产品到以Windows为主的环境中的风险。
首先,为了充分的披露,我最近已承认自己实际上是个苹果粉丝。我完全不知道怎么会这样,但几年前我买了第一代iPhone,然后突然间,我的家庭和办公室就充满了苹果产品。最近我才意识到,任我驱使的Windows平台仅仅是一个运行着Vista的老爷车,被我的孩子用来做家庭作业和玩游戏。除此之外,现在对我来说,Windows完全是一个通过使用Boot Camp或是Parallels软件的虚拟体验而已(注:Boot Camp和Parallels都是用于在Mac主机上运行Windows系统的软件)。当我们探索网络上Windows与Mac的安全性时,我会把这些个人喜好放一边。
让我们从以下类别看看Mac与Windows设备的表现:
网络安全协议
网络安全专业人士依靠常见的工具包来保护网络上传输的敏感信息。我们使用VPN来保护连接到家庭网络的远程用户,并且依赖强健的IPsec和SSL VPN技术来提供如岩石般可靠的安全。我们也花了很多时间关注无线网络的安全,并依靠WPA(WiFi Protected Access)标准来确保这些通信的安全。
结论是什么呢?
平局。Mac和PC主机都支持需要的基本网络安全工具,从而在公共网络和私人网络上提供安全的通信。只要你在这两种设备上都配置使用强加密,那这里就没有一个平台拥有优势。
基于网络的管理
你的企业越庞大,你越可能依赖中心化的工具来管理你的桌面配置、反恶意软件防护、数据防泄漏以及其它网络安全技术。Windows商店通常依赖活动目录(AD)来管理这些任务,而且尚没有一个可靠的、始终如一的方法来接手AD策略并将它们应用于你的MAC平台。
当谈及对Mac主机的支持时,即使是原本打算减轻集中化设备管理的第三方产品,通常也不符合要求。他们给管理员这样的感觉(可能不是错觉!),那就是厂商的开发人员几个月或是多年来专注于开发基于Windows系统的产品,但随后他们迅速地赶工出对Mac主机的支持,然后他们就可以宣称他们支持Mac系统。事实上,在最近的一款DLP产品发布中,我就经历了这种感觉。通过AD,PC上的部署进展很顺利,但在Mac主机上部署,要求技术人员访问每个单独的机器并安装客户端。这可真不是一个流畅的体验!
这里的关键问题是,对于企业管理来说PC机拥有绝对的优势。苹果还没有发展到足够对企业提供真正的支持。这局中,Redmond的人们占据优势(注:Redmond是微软在华盛顿州的总部所在地)。
服务器网络安全
你考虑过在环境中运行一台Mac OS X系统的服务器吗?你可能想三思而后行。从网络安全的角度来看,微软已经投入更多的时间和努力来开发可用于企业部署的产品。
在2011年的黑帽大会上,来自iSEC Partners公司的研究人员分享了一份关于Windows和Mac机安全比较的详细结果。其中一个章节中,他们比较了Windows Server 2008 R2版本与Mac OS X 10.7版本服务器的漏洞。结论是什么呢?根据iSEC的结果,Windows以令人震惊的成绩取得全面优势,“OS X网络更容易遭到网络权限提升攻击。几乎每台OS X服务器的服务提供的都是脆弱或已被攻破的认证方法”。
再一次,微软在这个类别中拔得头筹。事实上,我不知道一家企业会试图完全的依赖于苹果产品。(在你开始朝我发火前,我说过我个人不了解这样的案例——我敢肯定,你也不知道!)
那你该做什么?
首先,接受你不再可能运行一个纯Windows环境的事实。科技的消费化以及用户对Mac产品的需求的共同推动意味着,在不久的将来你会在你的网络中看到更多的Mac设备,假设它们还没有部署在你的网络中。
也就是说,即使像我这样很多的Mac爱好者讨厌承认这个事实,但苹果还没有生产出一件产品可以用于任何大型的企业环境。我怀疑他们会继续把那些能自己维护设备、并只需要能在Mac主机上运行的工具(并且有专门的IT支持人员来做他们的后援)的创新型IT专业人员攥在手里面(你会不得不把我的手从Macbook上撬开),但是在企业能容易地支持并确保混合环境的安全之前, Cupertino(注:苹果总部所在地)的员工们仍然有许多工作要做。
所以在此期间,确保你仔细地考虑过拥有Mac机对网络安全意味着什么。当你选择并且部署配置管理产品来帮助你的网络安全管理时,确保Mac产品出现在你考虑到的使用案例中。如果你将使用VPN或是无线网络,确保在其部署到生产环境前,在一些不同版本的Mac OS X 系统上进行了测试。在我们的网络中,Mac产品的出现是不可避免的,并且该轮到我们来保证它们的安全了。