尽管有一些缺点,基于软件的网络访问控制技术执行政策网络端点是常有的第一选择的客户采用的技术。
通常一个公司已经使用一套终端安全软件可以添加一个南汽终端客户,最大限度地减少所需的培训和投资,他们说。
例如,伊达尔戈,德克萨斯,看着思科南汽设备部署解决其endpoint-compliance问题,县的首席信息官升拉米雷斯说。“思科的解决方案是将成本六位数,”他说,但县选择Sophos南汽,成本约50000美元。(比较网络访问控制产品。)
县已经准备购买Sophos杀毒软件和南汽的增量成本使它值得的,他说。“成本否决一切,”拉米雷斯说。
拉米雷斯和其他潜在客户有三个基本选择当选择南京汽车产品和服务端点NAC就是其中之一。另外两个轨道,使用开关来执行政策,并使用一个专用的基于硬件设备来执行政策(可能与其他网络元素)。
每一种都有其缺点。例如,南京汽车产品实施政策通过动态主机配置协议(DHCP)代理服务器根本无法阻止机器获取静态IP地址和不使用DHCP网络连接。使绝大部分的公司网络无形的NAC访问控制产品,方法阿金说,南京汽车供应商的首席技术官Insightix。他是一篇论文的作者概述了NAC缺陷。
每一个客户都必须决定哪些架构最适合他们,Forrester Research的分析师罗伯·怀特利说。“不存在放之四海而皆准的,”他说。
南汽的好处,使用端点软件执行政策是,它可以提供全面的数据端点以及补救机制时,NAC代理端点安全套件的一部分。它还收集了大量的数据,可用于向监管部门证明行业或政府政策支持。
endpoint-enforced NAC的主要缺点是基本理论迄今为止,客户似乎愿意忽略。问题是,rootkit能接管机器让他们谎报他们的健康。这个潜在的端点问题可以减轻由软件监测机器的行为确定它们是否严重。和躺在端点实际上还没有证明许多客户的问题。
“(躺端点)理论对我们比实用,”赛斯Shestack说,副主任在费城坦普尔大学的信息安全,28大大学在美国“我们有三年的经验(赛门铁克NAC),我们还没有遇到它在我们的经验。”
Shestack的主要目标是保持兼容的笔记本电脑,从寺庙的五个校园,和南汽,包括电器不会规模。“我们需要很多的设备,它将被浪费,”他说。学校已经推出了NAC - 15000端点,他说。
安装NAC的另一个目标是消除造成拒绝服务攻击僵尸机器,他说。“南汽DoS攻击核心网络为零。我信用南汽。这正是停止它,”他说。
基于软件的NAC的一个缺点是它不能做得与非托管机器没有NAC代理上运行它们。“如果你不自己的端点将一个代理或在许多情况下,责任是不可能的。你不会这样做。我仅认为原因是为什么端点解决方案得到这样的一个坏名声,”怀特利说。
为了处理这个问题,迈克菲例如,添加NAC政策的执行是基于行为通过IPS通过专用的南京汽车电器设备和明年。
公司认识到,客户可能使用多个类别的南京汽车产品。(Vinit Duggal CISO 22亿美元的卫星通信公司国际通信卫星公司使用McAfee南汽。他测试了802.1 x开关基于NAC但觉得它没有提供足够的网络知名度。
可见性可以通过分发软件的端点,这实际上是一个相对简单的选择国际通信卫星。公司已收购其他公司,给他们的端点将需要访问控制软件和知识网络活动,Duggal说。“我们的问题都是关于在国际电信卫星可见性,”他说。
管理机与南京软件和McAfee安全套件可以保持最新或锁定如果他们是不一致的,他说,直到他们纠正。“它解决了问题,管理机器需要更新,“Duggal说。“它不会解决这个问题(托管)的机器你不知道。”
公司有许多承包商和伴侣连接到国际电信卫星网络与自己的笔记本电脑,他需要一种方法来控制它们。他们不允许Intelsat安装NAC软件。但McAfee已经加强了IPS设备执行南京,这解决了问题,Duggal说。设备发现行为不端的机器,托管或非托管,可以阻止他们的访问。
一些客户的价格是一个很大的因素。一般来说,服务端点NAC成本低于其他选项,怀特利表示,100美元/端点是一个大概的数字。
它的实用性,软件NAC没有回答所有的问题。在伊达尔戈,拉米雷斯说它不解决他的问题筛选嘉宾用户。“我们可能仍在南汽设备市场,也是。”
这是常见的,怀特利说。“我认为你会发现大部分的基于软件的NAC产品最终使用的后端DHCP解决方案或与设备发现非托管合作系统,它不是一个优美的建筑,”他说。
标准观察到供应商的所有类型的NAC齿轮缓解这个问题,或许会让一个中央NAC政策执行在任何平台,他说,他希望会发生。“如果他们不互相支持的今天,会有一个相对容易的升级路径得到所有这些一起工作,”他说。
与此同时,大多数软件NAC客户补充以另一种形式。“大约一半的部署仍在混合模式下的组织正在使用端点的组合——和基于网络的解决方案运行起来,”他说。