网络访问控制是一种很有前景但用户不多的技术,尽管解决方案已经存在多年了。部署一个NAC解决方案有很多挑战,包括成本、网络安全和基础设施。几位经验丰富的思科工程师着手解决这些挑战,并提出了一个基于标准的解决方案,将NAC与身份管理相结合。
网络访问控制是的,有很多的承诺,但不是很多的用户对这些技术的类别之一,尽管解决方案已经问世多年。可以有部署的企业级解决方案显著的挑战。例如,而不过于激进的创造只提供安全的适当水平的政策是不容易的。此外,它很难找到一个解决方案,装配到多厂商基础设施,都在网络上以及客户端。
2006年,一对夫妇在思科工作的工程师创办了一家公司,以解决那些似乎持股待客户从部署NAC回非常的问题。这是Avenda系统的诞生及其对网络访问的安全性多功能平台。从一开始的设计目标是确保Avenda的解决方案将工作于任何环境,无论网络基础设施,终端设备和身份商店。
Avenda的eTIPS家电坐落在传统的NAC的十字路口和身份管理领域。传统NAC通常集中在允许设备连接到网络之前补救端点的健康问题。身份管理是使用基于身份的策略来确定用户访问权限一个流行的概念。Avenda结婚身份信息和物理装置信息提供了非常详尽的访问条件。
根据角色不同的访问可以被授予员工,合作伙伴,合同或临时工,客人到极限,在网络上的每个组都有访问控制。员工可以被授予根据自己的工作或组完全的网络访问权限,而客人可能只被允许访问互联网。细粒度的访问权限也可以授予根据类型和终点位置的健康,一天多的时间。例如,在一个桌面雇员可访问更多敏感数据时通过智能电话通过公共VPN连接到所述网络比。或在医院,是被插入到网络医疗车可以给出访问只有当它是在一个特定的楼层或翅膀。要限制病毒和恶意软件的攻击,端点完整性或健康检查可以被触发,以确保用户正在使用杀毒要求,反间谍软件和防火墙应用程序。
您可以在端点设备上使用完整代理或可分解代理来运行检查,以确定每个设备的运行状况。代理向策略引擎报告,策略引擎确定访问需求是否已经满足。一旦检查完成,该代理可以简单地从设备上解散。
Avenda使用策略构建块的概念来加速策略创建过程。政策的要素是非常明确的;例如,身份验证方法、身份验证源、内部姿态、外部姿态等等。构建策略构建块并使用特定服务(如有线网络)所需的信息填充它之后,可以在添加其他服务(如无线网络或VPN访问)时重用构建块。有一些预先配置的模板可以为您的策略提供一个起点。
一旦您创建了策略,您就可以在部署之前测试它以确保它是正确的。这有助于防止过于激进的政策。Avenda有一个独特的策略模拟引擎,可以让您测试策略将如何执行。一旦一切正常,您就可以将该设备以监视模式放在网络上。它将贯彻实际政策,但不会付诸实施。但是,这会生成详细的报告,让您看到策略的效果,以便您可以根据需要进行更改。一旦一切都“干净”了,您就可以将设备切换到强制模式并使其工作。
Avenda解决方案的一个主要卖点是,它适用于几乎任何类型的终端设备(如Windows、Mac、Linux、智能手机);种类繁多的网络设备;以及多个身份验证协议和身份存储。正是这种开放性说服了东大急流城公立学校区部署了一套Avenda门径控制解决方案。
杰夫·克劳福德(Jeff Crawford)是学区网络和安全部门的经理。他所在的地区的网络上有大约1100台电脑,随时都有超过200台客户电脑——而且这个数字每年都在增长。终端设备混合了Windows、Linux和Macintosh电脑。
在部署部署访问控制解决方案之前,学区要求访客用户填写一个表格来请求网络访问。IT技术人员将评估机器并决定是否允许它进入网络。这个手工过程非常费时且不方便。然而,克劳福德认为允许客人连接到学区的网络是很重要的。
克劳福德说:“我坚信每个学区都应该安装一个网络接入控制系统。“一个学区试图为每个学生提供一台电脑,这是不可持续的。因此,你需要允许学生、家长、演讲者和其他社区成员携带他们自己的设备并利用一些网络服务。与此同时,纳税人为这个网络付费,所以我们必须能够保证用户来学校时的安全。”
克劳福德希望得到一个基于策略的身份解决方案,这将有助于该地区部署一个基于标准的802.1X NAC解决方案。许多解决方案,他看了看就已经创建了一个事实上的供应商锁定的情况。“我们考察了市场上的几种解决方案。如果我们从一个特定的供应商部署的‘解决方案A’,我们不得不与所有‘方案A’成分去,因为他们并不依赖于已知标准,”克劳福德说。“Avenda系统让我们继续,无论我们已经到位,他们与任何人,每个人的工作,而不是我锁到某个开关或某个无线控制器。这让我买什么有意义的我们的学区。”
克劳福德说,该解决方案可让客人快速插入网络。策略引擎,让客人进入,让基于Web的服务,而不是学区的生产网络的用户接入网络的分割区域之前强制执行有限的预备姿势检查。
“在我们部署802.1X技术之前,我们的安全性很弱,”Crawford说。“现在,我们有了更好的安全性,更多人参与使用我们的网络。”克劳福德还喜欢Avenda以巫师为基础的用户界面,他参与了其中。他预测:“这个UI将使NAC面向大众。”