网络访问控制(NAC)已经成了一个无法回避的
网络安全时髦词语。
IXPUB技术博客�J!Z |
V"{�T 由于50余家厂商声称拥有某种形式的NAC解决方案,这个领域显得一片混乱、令人困惑。如果厂商是正确的,那么现在正是部署NAC的时机。而种种迹象表明,这些厂商的说法还不是太离谱。IXPUB技术博客2B"z�@�i:l+Y
6a�V�_3A�D1m�_-N�t�L0 Gartner公司的副总裁、知名分析师John Pescatore说:“外面有很多言过其实的说法。所有厂商都自称拥有某种NAC解决方案。但是,你不必为实施哪种技术而焦急和等待。”据他声称,企业必须首先分析一下:自己期望使用NAC来解决哪些具体的棘手问题。这些问题可能会表明哪种NAC部署方案是一个好的开端。IXPUB技术博客:r�i�`1@%l�|*e�S�X:o
�U0N�r+D�S�j0 确定NAC目标
�q;o;s:Q(Z�c0IXPUB技术博客3D/Q�R!]�^�z&Z
t�p�O�`0S Current Analysis公司的高级分析师Andrew Braunberg说:“每个人都对NAC极感兴趣。”不过他又说,确定NAC是否准备就绪、是否需要,这归结为企业首先要问自己几个看似简单却又十分必要的问题。“要牢记的事情有:你从何处开始入手?设法要解决的棘手问题是什么?NAC解决方案能达到这个目标吗?部署完毕后,NAC解决方案的整个覆盖范围是什么?”IXPUB技术博客0V�\�t/X�L�}*`6p�~
/P�o�B6U1{+b�Q0D�Q0 Pescatore和Braunberg一致认为,总的来说,许多企业指望把NAC用于访客网络访问。虽然实现安全可靠的访客访问是考虑采用NAC的一个正当理由,但是不需要全新的基础设施,就可以适应思科的网络准入控制(NAC)框架或者微软的网络访问保护(NAP)等方案。
#W�J8{3a
\�x'M0�a P,s�z f0 Braunberg说,事先弄清楚NAC部署的范围很有好处;特别是许多公司有这样的心态“如果你没有部署到每个地方,NAC有什么用处?”,那更是如此。IXPUB技术博客 K;b,O�?/Z�}�{
�{ Q O�h"K�w8G0 他说:“我认为,人们应该开始解决目前存在的棘手问题,不过仍有许多市场教育工作要做。”
�P;b�E8Y�P�e�v0IXPUB技术博客:]
D2}�C�Q;c-H1S.J 研究公司伯顿集团的高级分析师Eric Maiwald赞同这种看法。被问到企业现在应不应当开始考虑采用NAC时,他说:“我认为这个问题没有答案。”
�D�B1t�r�d�h
T0�I�T y!L+d5a�O�J0 他说,公司一定要评估到底是什么促使自己采用NAC。通常来说,许多公司如今之所以考虑NAC,有多种理由:由于它是一项最新、最好的技术;由于法规遵从问题;由于想要控制恶意软件;或者是由于想要控制访客即非员工的访问。
�i q�l�D"p�r�L0IXPUB技术博客�[-B;f/~/o$G 他说:“控制谁可以进入你的网络是很早以前就能做到的事情。NAC到底是一项新技术呢?还是下一代漏洞管理技术?NAC是下一代入侵预防技术吗?”
�e�c;W&q�{2}0�r�D�^:@�o�G�@0 由于NAC可以部署在网络上的不同点(嵌入式、带外式以及作为软件代理),公司就要分析一下自己的执行点(enforcement point)应部署在什么地方。IXPUB技术博客(}1T;c8]�N�S
J3w�n
IXPUB技术博客3v9?'j:c-~9t%N4f�R Maiwald说:“执行点是这里的关键之一。需要在什么地方进行执行?要是我使用嵌入式NAC,那万一设备出故障,我该怎么办?”IXPUB技术博客7Q$@�d�|"w-C�Y�Z9M�j+j
IXPUB技术博客
Z�m�A�t�|�k�e 企业还应当慎重考虑哪一种NAC对自身环境带来的影响最小。是ConSentry、Vernier和Nevis等这些公司的嵌入解决方案;Lockdown和Forescout等公司的带外解决方案;还是Elemental和InfoExpress等公司的软件代理?IXPUB技术博客
G2d�z2o�_�|�?�s
�~9v�y
R�D�P�U�G%c0 他说:“嵌入设备和带外设备确实似乎引起了许多人的关注。”
&g+a�F�J6t-o�m0*L�Z�V�w�e
N�m�v0NAC的五大功能IXPUB技术博客5~�?�}�z�O
�Z�Z�R�L�R�r(F�Z0 Braunberg说,完整的NAC解决方案应该能够堵住五个漏洞。它应当执行准入前的检查、主机状况检查以及准入后的检查;还应当能够感知ID、感知基于ID的网络资源。
2q-J�A&P�t�^�H0IXPUB技术博客�[&b�g�x�t1I 他说,总的来讲,没有一家厂商提供的最佳解决方案能够提供同时涵盖这五个方面。不过通常而言,这项技术已经足够成熟,每一个特定方面都有非常强大的功能。眼下,Juniper公司的统一访问控制(Unified Access Control)产品的第二阶段是所有方案中涵盖方面最广的。IXPUB技术博客0@�_$i
U�B�Y
"Q6i#z1]'|�f�Z�y�X/U0 不过,如果企业想准备开展初期的NAC部署工作,未必需要全部涵盖NAC的这五个方面。Braunberg说:“我认为你用不着为了现在得益于NAC而着手解决所有这些方面。”IXPUB技术博客%f \�[�`(k'S(Z ^&C
2M�K�?6i*k"R0 Gartner公司的Pescatore说,目前有三大类NAC技术,它们都具有不同的监控级别。首先,你可以从思科和微软等公司获得基础设施升级方案。他说,这些是最完整的NAC解决方案,不过许多公司不会一开始就采用如此广泛的部署方案,因为这种方案价格不菲,而且需要全面升级基础设施。IXPUB技术博客2i5u5c�@4z4Q8b.N
�?.j�N
^4I0 他说:“大多数企业不准备这么做。我们告诉客户‘如果你升级了自己的思科网络,才应当考虑这么做。’”
5\5}�r1J�K1G�[0IXPUB技术博客,k0B�U#m�T3~!K�Y�S�A Pescatore说,你还可以获得软件代理方式的NAC,如反病毒软件、个人防火墙和配置管理工具。几家小厂商还生产NAC设备。这些设备不会解决NAC针对的每一个现有棘手问题,但是它们确实为将来进行更大范围的部署创造了条件。他建议:“你应当坐下来,弄清楚采用NAC的真正动机是什么。”IXPUB技术博客)K�A�u�c6F9D
IXPUB技术博客�i�u�S-M�I 有些公司希望在允许设备访问网络之前,确定该设备是危险的还是没有安全漏洞的。而另一些公司不得不允许非员工和非员工的PC访问网络。IXPUB技术博客�E�E�n)E#F�T(Z
IXPUB技术博客�]#V�@
h s
I�p�g Pescatore说:“如果这就是你的全部动机,其实不需要全面升级所需各个方面的费用。”
1G�m�P+x1}0�|
B�g�q)_-T8h0 其他公司的动机是出于担心多方面的安全问题。举例说,一家公司可能想允许非员工的PC访问网络,但也可能希望寻求能够监控网络、查找潜在安全威胁的工具。
�`1i�?;d�i�y$u0�\4Y+P�J
`�O�~7f P3w0 他说:“你可以从小处着手,先做好访客访问网络方面的工作,然后扩大部署范围。如果网络小组明年要升级路由器和交换机,那么可以考虑思科的NAC和微软的NAP。”
A)h�X�V(y6V!}�N0(s+f�S�k�` M�L�w0 有些公司仍对这个蓬勃发展而又充斥炒作的NAC技术市场的成熟程度提出了质疑,不过Pescatore指出,有几家公司如今使用各种类型的NAC,并没有出现什么大的问题。至于完整的NAC框架,他建议一小步一小步来实施。IXPUB技术博客;b�b�K;h(~*z5G4O
IXPUB技术博客0e�o5f-l$|�r�j 他说:“许多公司把NAC用于访客访问,效果很好。真正的问题是,‘大爆炸’(big bang)方案很少起作用,除非你目前遇到了‘大爆炸’变化。”
�c(f!l1q�^'W�Q�|0IXPUB技术博客�h�x�F�E%_
W�\.r H'Z,n 不过,无论你从什么地方开始起步,任何规模的NAC部署“都不是一次性的投资。”
5J�N7q X�D
v0
