Traps：保護對資源敏感的環境

This post is also available in: English (英語) 简体中文 (簡體中文) 日本語 (日語) 한국어 (韓語)

虛擬端點和伺服器，無論是處在 VDI 環境或雲端工作負載，都仍然會遇到和實體設備一樣的網路安全難題。對於受託要保障它們安全的專業人士而言，這將造成許多新的作業與技術難題。

要保護端點不受已知弱點攻擊，必須經常性進行防毒軟體 (AV) 特徵碼更新、應用程式修補程式和作業系統更新，而這對於在虛擬端點佈建「黃金映像」的虛擬環境而言尤其困難。許多傳統的實體端點產品在套用至虛擬環境後皆可能產生始料未及的作業與技術複雜性。除此之外，若未採用整合過的安全基礎設施，就算有專用的虛擬安全產品，往往在整體安全架構上仍會留下可趁之機。

我們需要以新方法來從頭開始打造虛擬及雲端環境的防護措施，即提供持續性的防護效果並且不需要仰賴特徵碼、修補程式或更新的方法；能無縫整合至任何「虛擬」環境的方法，是實體、虛擬及雲端運算環境中端對端安全平台一部份的方法。

不需要修補程式或特徵碼更新

為了維護 VDI 及雲端工作負載不受到已知弱點攻擊，傳統安全程序要求應用程式在黃金映像初次「開機」後套用最新的防毒特徵碼、應用程式修補程式及作業系統更新。這些要求帶來數個技術與作業上的難題。

舉例而言，所需的防毒軟體更新、應用程式修補程式及系統更新皆會增加網路流量，進而消耗可用的頻寬及系統資源。若未立即執行更新，系統管理員將需要背負在離峰時間排程更新的作業責任，這在要求 24 小時不停機的組織中將是個難題。自黃金映像初次開機起，這些端點和工作負載的弱點將一直存在，直到所有必要的安全更新皆完成為止。

Palo Alto Networks Traps 不使用特徵碼，也無須仰賴修補或更新，便能保護好端點及伺服器。Traps 能保護實體及虛擬系統。它能預防已知及未知的入侵，以及針對作業系統和應用程式弱點的惡意執行檔，但卻不需要特徵碼或特徵碼更新。無論是實體、虛擬或雲端的端點及伺服器，都能在開始使用時受到保護。無論是對黃金映像的緊急修補，或者即時運行系統，皆已成為過往的文物。

傳統安全產品不適合在 VDI 和雲端環境中部署，並且可能需要各組織克服難以預見的技術及作業難題。Traps 提出保護虛擬環境的新方式，消除了許多的難題：

• Traps 不使用特徵碼，也無須仰賴修補或更新，便能預防虛擬 (及實體) 端點與伺服器不受入侵及惡意軟體侵擾。
• Traps 在 VDI 端點及伺服器啟動時即開始防護。
• 授權的彈性與擴充性早已內建於 Traps 架構中。
• Traps 無須執行任何系統掃描，因此也不會對共用儲存空間或終端使用者的生產力造成任何影響。
• Traps 進階端點防護已經完全整合至 Palo Alto Networks Security Operating Platform 中，而此平台中還包括 WildFire 惡意軟體防禦服務和新世代防火牆。

已針對虛擬及雲端環境進行優化

若想將專為實體端點建造的安全產品部署到虛擬環境中，各組織必須克服額外的後勤與架構難題。舉例而言，各組織必須研發出能追蹤並套用軟體及系統授權的機制，因為虛擬執行個體會頻繁擴大或縮小。

安全產品必須能夠規模化可靠運作，才能應付成千上萬個同時出現的虛擬工作階段。在虛擬工作階段往往共用儲存空間的 VDI 環境中，各組織必須減輕系統掃描所產生的影響，而系統掃描通常位於「搜查式」安全產品的核心。

Traps 專為在這些環境中無縫運作而設計。授權彈性及可水平延展至成千上萬個端點的能力皆已內建於 Traps 架構中。Traps 無須執行任何系統掃描，因此也不會對共用儲存空間或終端使用者的生產力造成任何影響。

能延伸至端點以外的安全平台

專為保護虛擬端點而打造的安全產品往往缺乏更廣闊的脈絡情報，然而這卻是高效企業安全架構的核心組成。擁有包含現有或過往網路攻擊所運用之策略、技術及程序 (TPP) 的整合式威脅情報，是成功防禦企業系統及網路的關鍵。

Traps 是 Palo Alto Networks Security Operating Platform 中不可或缺的一部份，無論端點是實體還是虛擬，無論組織部署何種系統，它都能自動且即時地預防網路攻擊。WildFire 則是 Traps 中的主要組成，無論威脅發生在組織中的何處，它都能帶來更多針對相關威脅執行者及活動的脈絡可視性，並且提供防護。

觀賞網路研討會「5 Endpoint Protection Best Practices」來瞭解端點防護的基本需求，同時瞭解 Traps 進階端點系統為何在部署和管理上都如此簡便，還能提供以預防為先的方法，保護端點不受惡意軟體、入侵及勒索軟體威脅。