NAC的复杂性阻碍了部署

网络访问控制承诺了一个备受期待的，多方面的工具集，可以检查端点顺从，即不及格修复机，定义和执行用户访问权限，并监控用户活动，以确保持续符合。

那么，为什么大多数NAC部署的目标都是让来宾用户远离公司网络这一最基本的任务？

---

阅读NAC如何保护联合国机构安全大师乔尔·斯奈德和理查德·斯蒂农之间。7月22日他们认为NAC的优点与斯奈德卫冕NAC和斯蒂农瞧不起它。

查看什么是混淆约NAC幻灯片。

阅读现场聊天辩论的记录

另外，请阅读之前在NAC上与Snyder的聊天。

---

答案很简单：NAC竟然是难得多在大型企业推出比客户想象的。

“这应该是人们一直在寻找 - 织造的基础设施和安全一起，” Yankee集团分析师Phil Hochmuth说。“这原来是一个很多困难比任何人都认为这将是，很多东西都没有工作，或者未送达了很长一段时间。”

Forrester分析师罗布·怀特利说，NAC的声誉已经采取的跳动后期或许是因为用户误解了成功部署它的复杂性。企业安装了NAC设备进行访客访问，然后试图扩大筛查安全遵守和所有管理企业端点控制访问，他说。这加重了NAC机到齿轮不能处理的点负载。

“现在，你可能会花更多的时间和精力改造环境比你曾经在初始部署一样，”怀特利说。

让NAC为你工作

当然，NAC是不是一个全有或全无的问题。有很多有用的东西，企业可以用NAC是访客访问之间落在光谱的一端，一个完整的部署中是通吃的NAC的功能优势做。

Whiteley说：“公司开始对他们如何处理网络访问控制有了更多的了解，结果他们得到了他们所投入的。”。

事实上，Gartner预测，今年NAC gear的销量将翻番。Gartner的长期观点是，2009年和2010年，NAC特定产品的销售将继续增长，然后趋于平缓并开始下降，因为其他NAC选项（在端点上安装NAC、将其嵌入交换机、服务器和计算机操作系统）开始成为部署该技术的首选方法。

这些非设备部署规模的方法更好，将使用更NAC功能牧羊犬，怀特利说。现在，许多谁曾试图NAC专注于单次使用。

例如，哈佛大学肯尼迪政府学院（Kennedy School of Government）部署NAC仅仅是为了识别网络上引起故障的机器并切断它们，该校信息安全经理凯文•阿莫林（Kevin Amorin）表示。

他不是在为NAC自动告知用户，因为这些指令产生比他们更防止帮助台工作如何修复自己的机器感兴趣。“所有需要我，将识别和分离的过程，”他说。

美国Bancard博卡拉顿，佛罗里达州，用途安全的该公司的首席技术官史蒂芬•斯科普（Steven Scop）说，该公司的SafeAccess NAC软件有助于满足支付卡行业标准的要求。他的公司处理来自商家的信用卡索赔，因此它必须遵守PCI，并能够向审计员证明这一点。

他说，StillSecure的NAC可以部分帮助解决这一问题，因为这些工具具有合规性报告功能，旨在解决PCI的特定方面。所以软件可以证明，只有特定的机器获得访问敏感数据，他们分别获得了健康检查之前，他们被允许。

而报告也帮助美国Bancard确定其PCI缺点并加以改正。“有不同的东西，它看起来对，并根据不同的PCI审计的问题，它说，这击中了目标，这也没有，”他说。“有很多事情找到我们需要改变。”

联合国人口基金联合国人口基金（UNFPA）纽约总部的网络基础设施/安全专家道格拉斯·康塞普西翁（Douglas Concepcion）说，该公司使用NAC来筛选从该机构网络进出并携带病毒的管理笔记本电脑。（参见NAC帮助安全人口基金.)

该ForeScout的齿轮人口基金现在使用的赛门铁克防病毒更新和当前的Windows补丁检查允许网络上的机器前，他说。如果他们失败的扫描，用户被拒绝访问，并针对呼叫帮助台。

该机构正在全球开设11个网站，并计划在每个网站安装一个ForeScout反作用NAC设备。康塞普西翁说，这将有助于保护总部网络不受感染，因为远程工作人员通过联合国人口基金VPN进行访问。

在其他安全平台仔细检查是另一个NAC功能，是潜在用户的吸引力。“NAC可以备份漏洞扫描和补丁管理，”约翰·奥康纳，在管理信息系统的副总裁说：BankFive福尔里弗，马萨诸塞州，谁是购物的NAC提供重叠银行的网络保护。“这是一个额外的一层，评估补丁设备，例如，”他说。“如果一个补丁已经分发，而不是应用，NAC可以在其上回升。”以这种方式，可以逆止银行的补丁管理软件。

挑选

OpusOne咨询公司的高级合伙人乔尔斯奈德（Joel Snyder）说，企业应该认识到NAC的各种用途，并选择自己想要的他说：“NAC不是一个你可以购买并进入你的网络的东西。”不是每个人都有或需要它，但它是一套有用的工具，如果它摆在桌面上，你可以从中选择。”(阅读聊天斯奈德对NAC的成绩单。）

他说，标准将鼓励这种挑选和选择，使之能够插入不同供应商的设备，这些供应商生产的产品满足NAC的某些方面——端点检查、端点姿态评估、政策决策、执行、补救和持续行为监测。他说，企业将能够创造他们需要的NAC环境，而不必购买NAC的所有功能。

这些标准会谈仍处于IETF，迄今是继由行业协会制定了标准正在进行可信计算组。虽然标准将有助于缓解使用NAC的，该技术面临的持续挑战。

例如，随着桌面的出现虚拟化弗雷斯特的怀特利说，NAC将面临进一步的批评。如果正在使用NAC设备，那么它将很难在单个物理硬件内相互通信的虚拟机上强制实施策略。流量永远不会通过NAC设备，因此NAC设备无法看到它或对此做任何操作。

他说，供应商开始专门为虚拟机发行NAC软件，但这并不能阻止那些购买NAC设备的人的攻击，他们因为在虚拟环境中没有帮助而感到沮丧。

“因为虚拟化有很多背后的嗡嗡声，如果无效的NAC设计，公司可能会说，‘咦，NAC失败，’”怀特利说。“这并不是说失败，它只是没有设计时考虑到该方案中。”

高德纳的劳伦斯·奥兰斯说，NAC在某种程度上已经成熟，但还有一段路要走。目前，NAC在其发展过程中处于低谷，但他预计，NAC将作为一种网络安全工具出现，得到更好的理解。”对于所有技术来说，这是一件很自然的事情，”他说。

一句话：NAC正在成为企业开始理解和部署的一种工具，随着时间的推移，它们将逐渐依赖于防火墙、入侵防御和VPN，这些都是几乎无处不在的技术。

了解更多关于这个话题